Phân tích RansomewareTác động

# Phân tích Ransomware ## Tác động của malware: mã hóa các file văn bản, hình ảnh trong đường dẫn - Tôi sẽ thực hiện phân tích, đánh giá, giải mã tệp tin được mã hóa bởi ransomware ### Đối tượng phân tích: ![image](https://hackmd.io/_uploads/HkhV6gsNT.png) Đây là một bản demo về ransomware giảng viên đã đưa trong môn học của tôi. Nó khá cơ bản nhưng có thể giúp tôi khái quát, bước đầu hiểu cơ bản về cách thức mã hóa của ransomware. - Tệp tin tôi đang phân tích được viết bằng *autoit* vì vậy tôi sẽ sử dụng công cụ ```myAutToExe``` để decompile và phân tích nó rõ hơn. ![image](https://hackmd.io/_uploads/H1VhZWi4T.png) ### Phân tích chi tiết: ![image](https://hackmd.io/_uploads/B17GPbjVT.png) - Đây sẽ là đường dẫn đến các tệp tin sẽ bị mã hóa ```C:\data\test\at19n``` mà tác giả đã biên dịch. Bây giờ chúng ta có thể tùy chỉnh đường dẫn này theo ý của mình =))))) ![image](https://hackmd.io/_uploads/SyiYFZjVa.png) - List file có thể bị mã hóa và có sử dụng loại trừ ![image](https://hackmd.io/_uploads/Hkte9bjN6.png) ![image](https://hackmd.io/_uploads/HJaQ9Zs4T.png) - Sau khi bị mã hóa các file sẽ có đuôi là ```.CryptXXX``` và nó được mã hóa bởi AES_256 ![image](https://hackmd.io/_uploads/rkVc9boV6.png) - Ngoài ra tôi còn tìm được một hàm CREATEKEY() có thể đây là key dùng để mã hóa tệp tin sẽ được sử dụng ![image](https://hackmd.io/_uploads/HyIvqMoVp.png) > Việc phân tích cơ bản đã hoàn thành. ## Thử nghiệm chạy thử trên Windows 10 - Tôi sẽ tạo các tệp tin khác nhau theo đường dẫn C:\data\test\at19n để test hoạt động của ransomware ![image](https://hackmd.io/_uploads/HJpkCboN6.png) ![image](https://hackmd.io/_uploads/Hyv7RboNT.png) - Đúng như đã phân tích toàn bộ file nằm trong list file đã bị mã hóa hoàn toàn với đuôi .CryptXXX, ransomware hoạt động khá tốt. ## Tiến hành giải mã tệp tin bị mã hóa bởi ransomware ### Các công cụ hỗ trợ (tham khảo) - Công cụ bắt gói tin: Wireshark - Kiểm tra sự thay đổi trong Registry của hệ thống: CRegistry Comparison *link tham khảo tool* [https://listoffreeware.com/best-free-software-to-compare-registry/](https://) - Công cụ dùng để Static Analysis file là PEid. Dùng nó để đọc header của file virus (.exe) ### Giải mã - Sử dụng công cụ CRegistry Comparison để kiểm tra sự thay đổi trong Registry của hệ thống ![image](https://hackmd.io/_uploads/BkiYQfsV6.png) ![image](https://hackmd.io/_uploads/SJCrVziEp.png) - Một list key được hiển thị ở đây. Bây giờ việc tiếp theo là tạo tool để decrypt file - Tôi sẽ tạo tool decrypt_file bằng autoit (tham khảo tool): [https://actvneduvn-my.sharepoint.com/:u:/g/personal/at19n0106_actvn_edu_vn/EeEMtSpMg8lPtOw-KpVmGb8B-aL8ooFEbIt_YJdyl4lOig?e=cHxWWA](https://) ![image](https://hackmd.io/_uploads/rJhOUzi4a.png) - Tôi sẽ demo decrypt_file text1.txt đã bị mã hóa ở trên ![image](https://hackmd.io/_uploads/B1ofPMsNp.png) với password là một trong các key được lọc nhờ công cụ CRegistry Comparison ![image](https://hackmd.io/_uploads/r1lCB_ziEa.png) - Đúng như tất cả những gì đã phân tích trên tôi đã decrypt file thành công. ![image](https://hackmd.io/_uploads/BkmudziNp.png) - Như vậy tôi đã hoàn thành decrypt file.