Vĩnh Long trả lời Phase 4:
_Xác định nguồn gốc tấn công:
Từ Mail whitehat@bkav.com , từ IP 118.70.80.143
Địa chỉ ví Bitcoin: 1Fk7kTapWuCLTCmLR64kYBd9o8UkcNeE
Phục hồi dữ liệu bằng cách tải các tập tin từ https://118.70.80.143:4443/!/#tailieu chép vào thư mục C:\Users\Bkav\Documents\tailieu
Vĩnh Long trả lời Phase 3:
Phân tích hành vi mã hóa:
_Phương thức mã hóa: thuật toán dùng để mã hóa: RSA ;
key mã hóa:
MIGeMA0GCSqGSIb3DQEBAQUAA4GMADCBiAKBgHNXVw8m22G9F4nyB02SU8aNO/Rc
6WTtOciMzCZu7n4oDN7qJuR9Qtc8kJ1xc3jJOk8+ekRjVvCKvwbEIz27bNxdkamm...
Kết quả phân tích 2 files word.
Khi mở file doc 1 kết nối đến địa chỉ http://118.70.80.143/getransomware.hta
Sau khi thực thi file getransomware.hta sẽ tải về file ransomware.exe lưu vào thư mục c:/windows/temp/ransomware.exe và thực thi
Khi mở file doc 2, nếu enable Macro sẽ tải file...
Vĩnh Long đã check trên Virustotal, kết quả 29/57 đối với file1 và 10/57 đối với file2
Đồng thời đóng rules trên Firewall ngoại trừ port 3389 Inbound
Hoàn thành Phase 2