Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:ransomware:analiza_phobos_ransomware-a [2020/01/10 00:08]
igredicak [Zaključak] 		racfor_wiki:ransomware:analiza_phobos_ransomware-a [2024/12/05 12:24] (trenutno)
Redak 108: Redak 108:
 {{  :racfor_wiki:ransomware:simuac.png?nolink&460x402  }} {{  :racfor_wiki:ransomware:simuac.png?nolink&460x402  }}
  
-Potvrdom na navedenom prozoru se pokreće izvršna datoteka i otvara se prozor prikazan niže na slici.+Potvrdom na navedenom prozoru u 1:34 se pokreće izvršna datoteka i otvara se prozor prikazan niže na slici.
  
-{{  :racfor_wiki:ransomware:simcmd.png?nolink&650x339  }}+{{  :racfor_wiki:ransomware:simcmd2.png?nolink&650x336  }}
  
 Kao i u primjeru u prethodnom poglavlju vidljivo je da program stvara svoju kopiju (koja ima veće ovlasti) i izvršava neke komande kroz CMD (na slici ispod). Kao i u primjeru u prethodnom poglavlju vidljivo je da program stvara svoju kopiju (koja ima veće ovlasti) i izvršava neke komande kroz CMD (na slici ispod).
Redak 116: Redak 116:
 {{  :racfor_wiki:ransomware:simdrtv.png?nolink&645x77  }} {{  :racfor_wiki:ransomware:simdrtv.png?nolink&645x77  }}
  
-Nakon nekoliko sekundi komandni prozor se zatvara, a proces prelazi u pozadinske procese i tada započinje kriptiranje. Tijekom enkripcije isključena je internetska veza i proces je nastavio s enkripcijom što dovodi do zaključka kako je enkripcijski ključ upisan u izvršnu datoteku (uspješan napad je bio i bez internetske veze od samog početka).+Pokrenuti zloćudni proces ima PID 952 (slika ispod). 
 + 
 +{{  :racfor_wiki:ransomware:pid.png?nolink&465x480  }} 
 + 
 +Nakon nekoliko minuta (u 1:36) komandni prozor se zatvara, a proces prelazi u pozadinske procese i tada započinje kriptiranje. Tijekom enkripcije isključena je internetska veza i proces je nastavio s enkripcijom što dovodi do zaključka kako je enkripcijski ključ upisan u izvršnu datoteku (uspješan napad je bio i bez internetske veze od samog početka).
  
 {{  :racfor_wiki:ransomware:simbkg.png?nolink&647x202  }} {{  :racfor_wiki:ransomware:simbkg.png?nolink&647x202  }}
  
-Kada kriptiranje završotvara se .hte datoteka s porukom o napadaču i detaljima o uplati koju je potrebno ispuniti kako bi se datoteke otključale te obavijest kako je potrebno skinuti Jabber client. Osim .hte datoteke na desktopu se javlja Encrypted.txt datoteka koja sadrži iste informacije. Datoteke su prikazane na slikama niže.+Prva datoteka je kriptirana u 1:37 i to je bila stoppedEvent.js. 
 + 
 +Kada kriptiranje završava (u 2:11) otvara se .hte datoteka s porukom o napadaču i detaljima o uplati koju je potrebno ispuniti kako bi se datoteke otključale te obavijest kako je potrebno skinuti Jabber client. Osim .hte datoteke na desktopu se javlja Encrypted.txt datoteka koja sadrži iste informacije. Datoteke su prikazane na slikama niže.
  
 {{  :racfor_wiki:ransomware:hte.png?nolink&650x290  }} {{  :racfor_wiki:ransomware:hte.png?nolink&650x290  }}
Redak 128: Redak 134:
 Kada proces jednom izbaci inicijalnu poruku nastavlja se izvršavati u pozadini, no nije zamijećeno da on nastavlja s kriptiranjem sljedećih nekoliko sati. U ovoj varijanti Phobos-a pri ponovnom pokretanju ne dolazi do pokretanja ransomware-a što znači da nije upisan u startup te ga to razlikuje od primjera u prethodnom poglavlju. Prilikom prisilnog zaustavljanja i ponovnog pokretanja izvršne datoteke enkripcija završava puno brže jer program prepoznaje datoteke koje su već enkriptirane Phobos-om i preskače ih. Kada proces jednom izbaci inicijalnu poruku nastavlja se izvršavati u pozadini, no nije zamijećeno da on nastavlja s kriptiranjem sljedećih nekoliko sati. U ovoj varijanti Phobos-a pri ponovnom pokretanju ne dolazi do pokretanja ransomware-a što znači da nije upisan u startup te ga to razlikuje od primjera u prethodnom poglavlju. Prilikom prisilnog zaustavljanja i ponovnog pokretanja izvršne datoteke enkripcija završava puno brže jer program prepoznaje datoteke koje su već enkriptirane Phobos-om i preskače ih.
  
-Phobos kriptiranim datotekama dodaje ekstenziju .phobos, a osim toga novo ime se sastoji od originalnog naziva datoteke i ekstenzije, ključne riječi ID i identifikacijskog broja programa te mail adrese napadača (vidljivo na slici niže). Ukoliko pogledamo unutar datoteka vidjet ćemo kako sve kriptirane datoteke u istom pokretanju ransomware-a sadrže identičan zadnji 141 bajt. Od toga su 3 null bajta koja odvajaju kriptiranu poruku od tog završnog dijela, 129 bajta koji vjerojatno sadrže enkripcijski ključ i odvojena su s 3 null bajta od završne ključne riječi od 6 bajta koja za ovaj primjer Phobosa glasi SKYS28 (na slici niže).+Phobos kriptiranim datotekama dodaje ekstenziju .phobos, a osim toga novo ime se sastoji od originalnog naziva datoteke i ekstenzije, ključne riječi ID i identifikacijskog broja programa te mail adrese napadača (vidljivo na slici niže). Ukoliko pogledamo unutar datoteka vidjet ćemo kako sve kriptirane datoteke u istom pokretanju ransomware-a sadrže identičan zadnji 141 bajt. Od toga su 3 null bajta koja odvajaju kriptiranu poruku od tog završnog dijela, 129 bajta koji vjerojatno sadrže enkripcijski ključ i odvojena su s 3 null bajta od završne ključne riječi od 6 bajta koja za ovaj primjer Phobosa glasi SKYS28 (na slici niže). Također pri višestrukom pokretanju Phobos-a, dio koji sadrži enkripcijski ključ se mijenja, ali sve datoteke enkriptirane u istom izvršavanju imaju taj dio identičan.
  
 {{  :racfor_wiki:ransomware:zavr.png?nolink&650x477  }} {{  :racfor_wiki:ransomware:zavr.png?nolink&650x477  }}
racfor_wiki/ransomware/analiza_phobos_ransomware-a.1578614917.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0