Detect Ransomware

Mình share cách mà mình tìm ra 1 con virus nào đó bất kỳ đây là cách cơ bản ko có gì là cao siêu cả nhưng các chú IT phải nhớ để xài khi hệ thống của các chú bị các chú virus ghé thăm và dạo này đang HOT chú ransomware tống tính nhằm tống tiền :p



Tìm ra nó để làm gì?
+ Tìm rồi send mẫu: hiện giờ trong và ngoài VN đang có khá nhiều team đang nghiêu cứu từng ngày phân tích các mẫu ransomware để tìm ra cách giải mã.
+ Tìm rồi xóa: tránh tình trạng lây lang trong toàn bộ network
3 step thần thánh

1. Kill process – tắt các tiến trình “tào lao”
2. Reveal hidden files – hiện các file bị ẩn
3. Locate startup location – xác định vị trí (Registry)

Trước khi đi vào phân tích từng step mình sẽ đưa ra demo để các bạn dễ hiểu cũng như dựa vào 1 vài manh mối nhỏ để bạn dễ dàng xác định được đâu là ransomware.

Chúng ta dựa vào các manh mối sau đây
+ Time modified của file bị mã hóa: time chỉnh sửa lần cuối cùng là ngày nào mấy giờ? => time này thường sẽ trùng với time mà con ransomware bắt đầu chui zô máy và bèm cái mớ file data của bạn.
+ Tên email: manh mối này hên xui phải kết hợp với manh mối time phía trên.

+ Còn 1 cách nữa là các bạn vào Run gõ msconfig, chuyển qua tab Startup => list show ra là all những gì sẽ được khởi động cùng với OS của bạn. Nếu bạn thấy có 1 soft nào là lạ bạn ko sure là chính bạn đã cài nó vào thì bạn hãy Disabled nó đi nghĩa là bạn sẽ ko cho phép nó khởi động cùng Win, sau đó bạn khởi động máy lại.

• Khi máy đã khởi động xong, bạn lại vào Startup xem lại, biểu hiện cho thấy nó là virus (trong bài này là ransomware) là nó sẽ vẫn Enable :p dù lúc nãy bạn Disabled ko cho khởi động cùng Win nhưng reset máy lại thì nó vẫn đc tự khởi động.

Ok bây giờ mình sẽ đi vào từng step để các bạn hiểu rỏ để sau này có thể ứng dụng vào các trường hợp khác

1. Kill process – xác định tiến trình tào lao :p

+ Mở task manager lên bằng Ctrl + Shift + Esc
+ Bạn kiểm tra danh sách processes đang chạy, xem thử có process nào có cái tên tào lao mía lao đáng nghi hay ko.
+ Process nào mà bạn nghi ngờ thì hãy chuột phải và chọn Open file location. 1 cửa sổ hiện ra cho ta biết được file đó đang nằm ở đâu trong máy, bạn rê chuột vào file đó thông tin sẽ hiện ra trong đó có cái Date created, bạn so sánh với cái time modified của file bị mã hóa. Nếu nó trùng nhau thì tỷ lệ e nó là hung thủ rất cao.
+ Sau khi tìm đc vị trí của em nó thì nhớ end process đó trong task manager đi nhé. Trong tình huống demo thì tên của process là mouse

2. Reveal hidden files – hiện các file bị ẩn: step này dùng để show all file bị ẩn tùy con ransomware mà nó có ẩn trốn hay ko nên làm thêm bước này để sure là sẽ show all :p

+ Vào một thư mục bất kỳ
+ Click on “Organize”
+ Chọn “Folder and Search Options”
+ Chuyển qua tab “View”
+ Check “Show hidden files and folders” option
+ Uncheck “Hide protected operating system files”
+ Click “Apply” và  “OK”

3. Locate startup location – xác định vị trí (Registry)

+ Nhấn nút Windows + R, gõ Regedit
+ Tìm 1 trong 3 địa chỉ sau
+ [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] or
+ [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] or
+ HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

+ Sau khi thấy tên em nó thì nhớ xóa đi nhé
+ Vào 1 folder bất kỳ, copy past lên thanh địa chỉ những thư mục sau đây, sau khi kiểm tra ở từng thu mực và xóa các file virus đi thì coi như xong.

• %AppData%
• %LocalAppData%
• %ProgramData%
• %WinDir%
• %Temp%

+ Tại step 1: khi nhấn open file location thì bạn đã biết chính xác vị trí của file thực thi của ransomware, trước khi bạn xóa thì hãy nén lại và liên lạc vớ các team support để được hỗ trợ trước khi xóa nhé.