Như chúng ta đã thảo luận vào ngày Thứ Sáu khi dịch bùng phát này bắt đầu , giá trị giam của WCry hoặc WanaCrypt0r đã nhanh chóng lan rộng khắp châu Âu và châu Á, ảnh hưởng tới gần 100 quốc gia và làm gián đoạn hoặc đóng cửa 45 bệnh viện ở Anh. Khi ransomware tiếp tục phổ biến, tôi lấy tay trên một mẫu và nhanh chóng bắt đầu phân tích phần mềm độc hại. Bài viết này sẽ đi qua các phát hiện của tôi và cung cấp một cái nhìn tổng quan về kỹ thuật của rước đuốc WCry đã gây ra tác động to lớn vào thứ Sáu. Nhiều người đã làm rất tốt công việc phân tích phần mềm độc hại này trong hành động và giúp ngăn chặn sự lây lan của nó, và tôi hy vọng phân tích tĩnh toàn diện của tôi sẽ cung cấp một bức tranh tổng thể tốt đẹp của biến thể ransomware cụ thể này trên đầu trang đó
Lưu ý
Với ước tính trên 100.000 máy tính bị ảnh hưởng toàn cầu cho đến nay, nhiều người đã nhận được ghi chú không mong muốn thứ sáu tương tự như những người dưới đây yêu cầu một khoản phí để giải mã các tập tin của họ. Những ghi chú như thế này thật đáng tiếc là tất cả đều quá phổ biến và điển hình của ransomware ngày nay. Mặc dù những lời hứa hứa hẹn trả lại dữ liệu, nhưng không đảm bảo rằng trả tiền chuộc sẽ trả lại dữ liệu an toàn và âm thanh, nhưng nếu nó được sao lưu và sao lưu đầy đủ không đúng chỗ, nó có thể là nạn nhân duy nhất sử dụng. Không ai muốn nhìn thấy một trong những điều này.
Dòng Thực hiện WCry
Các ransomware WCry sau một dòng chảy tương tự như các ransomware khác như nó thiệt hại cho một máy. Dòng chảy ở mức cao như sau: Nó bắt đầu với một đèn hiệu ban đầu, các nhà nghiên cứu khác đã báo cáo về cơ bản là một chức năng chuyển đổi killswitch . Nếu nó làm cho nó vượt qua bước đó, sau đó nó sẽ khai thác lỗ hổng ETERNALBLUE / MS17-010 và truyền cho các máy chủ khác. WCry sau đó đi làm việc làm thiệt hại cho hệ thống, trước tiên đặt nền móng cho việc làm thiệt hại và nhận được thanh toán cho phục hồi, và một khi đã xong, WCry bắt đầu mã hóa các tập tin trên hệ thống. Xem sơ đồ dưới đây để biết tổng quan về cách thức hoạt động của phần mềm độc hại này. Tôi sẽ đi qua từng bước trong các bước dưới đây chi tiết hơn bên dưới.
@ WanaDecryptor @ .exe Chi tiết :
Phần kết luận
Mặc dù khả năng truyền nhanh như vậy, các hoạt động ransomware được thực hiện bởi phần mềm độc hại này không phải là đặc biệt thú vị hay mới lạ. Như tôi đã chứng minh trong phần mềm độc hại này, chương trình chuyển đổi killswitch trong luồng thực hiện cung cấp một cơ hội duy nhất để làm chậm ransomware. MalwareTech đã phát hiện ra , và Talos mô tả chi tiết , phần mềm độc hại này được lập trình để cứu vãn khi kết nối thành công với máy chủ đó, nó sẽ ngăn chặn malware hoàn toàn. Tất cả chúng ta nên cảm ơn MalwareTech vì đã thiết lập lỗ hổng, gây ra sự bùng phát này sớm hơn nếu có.
Phần mềm độc hại này rất dễ sửa đổi. Như đã đề cập ở trên, các nhà nghiên cứu khác đã tìm thấy các biến thể trong tự nhiên. Nếu bạn đang chạy Windows và chưa vá được, bây giờ là thời gian để làm điều đó. Và trong khi bạn đang ở đó, hãy kiểm tra bản sao lưu của bạn để tạo ra sự tự tin rằng bạn sẽ không bị buộc phải chọn giữa trả tiền hoặc mất dữ liệu nếu điều tồi tệ nhất xảy ra cho bạn hoặc tổ chức của bạn.
