Monitoring Serwerów - Forum o monitoringu infrastruktury IT
CryptoLocker Ransomware Virus - Printable Version

+- Monitoring Serwerów - Forum o monitoringu infrastruktury IT (https://monitoringserwerow.pl)
+-- Forum: MONITORING INFRASTRUKTURY IT (https://monitoringserwerow.pl/forumdisplay.php?fid=1)
+--- Forum: Goverlan (https://monitoringserwerow.pl/forumdisplay.php?fid=17)
+--- Thread: CryptoLocker Ransomware Virus (/showthread.php?tid=9)



CryptoLocker Ransomware Virus - ArturB - 07-29-2019

CryptoLocker to wirus znany również pod nazwą Trojan:Win32/Crilock.A. Celem działania tego wirusa jest szyfrowanie plików na dyskach lokalnego komputera oraz zmapowanych udziałach sieciowych. Zainfekowany komputer wyświetli nam wiadomość na ekranie z sugestią uiszczenia opłaty za odszyfrowanie plików. Od momentu zarażenia wirusem będziemy oglądać na ekranie mniej więcej taki widok:

[Image: CryptoLockerScreen.png]
CRYPTOLOCKER RANSOMWARE SCREEN YOUR PERSONAL FILES ARE ENCRYPTED

Przydatną cechą oprogramowania Goverlan jest możliwość wyszukiwania kluczy rejestrów na zarządzanych stacjach PC. Wykorzystamy tę funkcjonalność do wyszukania zarażonych komputerów.

CryptoLocker tworzy dość specyficzne klucze rejestru, których wartość możemy odczytać za pomocą Goverlan Scope Action.

Klucze których szukamy to:

HKEY_CURRENT_USER\Software\CryptoLocker

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Value: CryptoLocker

Value: CryptoLocker_<random_number>



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Value: *CryptoLocker

Value: *CryptoLocker_<random_number>

Pamiętajmy, że “*” oznacza iż CryptoLocker może być również uruchamiany w trybie Safe Mode.

Lista plików zaszyfrowanych przez CryptoLocker znajduje się w poniższym kluczu:

HKEY_CURRENT_USER\Software\CryptoLocker\Files


Zobaczmy jak za pomocą Goverlana możemy wychwycić zawirusowane stacje. 

Stwórzmy nową akcję typu Scope której zadaniem będzie odpytanie systemów o klucze rejestrów.

Poniżej znajdziecie dwa przykłady konfiguracji Scope Action.

http://blog.goverlan.com/2013/03/scope- ... s-support/




Zobaczmy jak powinien wglądać stworzony moduł.
[Image: CryptoLockerRegActMod.png]

A teraz uruchommy zdefiniowane zadanie i rozpocznijmy poszukiwania zainfekowanych komputerów.

Gdy Scope Action zakończy pracę wybierzmy raport typu Data Sheet aby wyświetlić listę zainfekowanych maszyn.
http://blog.goverlan.com/wp-content/upl ... Report.png

Wybierając konkretny system widzimy jego szczegóły jak i wartość kluczy rejestru.
[Image: CryptoLockerRegReport.png]

Po tych szybkich krokach możemy przystępować do akcji naprawczej.