Scribd
Importer
22 vues13 pages

Analyse des ransomwares et détection

Le document traite de l'analyse d'un ransomware nommé REX, en détaillant son installation et les outils utilisés pour l'analyse statique et dynamique, notamment l'anti-malware clamav et la commande strace. Il aborde également les raisons pour lesquelles certains antivirus peuvent ne pas détecter ce type de menace, comme la nouveauté, les techniques d'évasion, et les signatures non reconnues. Enfin, il mentionne les systèmes de gestion de contenu (CMS) susceptibles d'être ciblés par ce ransomware.

Transféré par

iheb mastouri
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
22 vues13 pages

Analyse des ransomwares et détection

Le document traite de l'analyse d'un ransomware nommé REX, en détaillant son installation et les outils utilisés pour l'analyse statique et dynamique, notamment l'anti-malware clamav et la commande strace. Il aborde également les raisons pour lesquelles certains antivirus peuvent ne pas détecter ce type de menace, comme la nouveauté, les techniques d'évasion, et les signatures non reconnues. Enfin, il mentionne les systèmes de gestion de contenu (CMS) susceptibles d'être ciblés par ce ransomware.

Transféré par

iheb mastouri
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

?

Ransomware WEB
téléchargement de Ransomware REX :

Installation de l’anti-malware clamav :

Analyse Statique:
L'outil file

ELF 32-bit LSB executable: It indicates that the file is an ELF (Executable and Linkable Format) executable.
Intel 80386: This specifies the target architecture for which the executable is compiled. In this case, it is compiled
for the Intel 80386 processor architecture.
version 1 (SYSV): It indicates that the executable follows the System V ABI (Application Binary Interface) version
1.
statically linked: This means that the executable is linked with all necessary libraries at compile-time, so it does
not require external shared libraries to run.

1/13
Go BuildID=fc5a3d09dbaf04f6ec0587eae8c207fe211c5530: This provides the Go build ID of the executable, which
is a unique identifier generated during the Go language build process.
stripped: It indicates that the debugging symbols have been removed from the executable, making it smaller in
size and harder to analyze or debug.

Récupération de la Template du mail de notif utilisé pour envoyer la demande de la rançon à la victime:

Liste des CMS qui peuvent être victime à ce ransomware:

2/13
3/13
L’outil clamav:

4/13
5/13
6/13
7/13
VIRUS TOTAL:

8/13
6/Il y a plusieurs raisons pour lesquelles certains antivirus ou anti-malware peuvent ne pas détecter un
ransomware :

1. Nouveauté : Si le ransomware est récemment apparu et que les bases de données de l'antivirus ne sont pas
encore mises à jour pour reconnaître cette nouvelle menace, il est possible qu'il ne soit pas détecté. Les
développeurs d'antivirus mettent régulièrement à jour leurs logiciels pour inclure des signatures et des règles de
détection pour les nouvelles variantes de ransomwares, mais cela peut prendre du temps.

2. Techniques d'évasion : Certains ransomwares utilisent des techniques d'évasion pour éviter la détection par les
logiciels de sécurité. Ils peuvent crypter ou compresser leur code malveillant, modifier leur structure ou utiliser
des méthodes de polymorphisme pour rendre leur signature difficile à détecter.

3. Signature non reconnue : Si le ransomware a été modifié ou personnalisé de manière unique, il est possible que
sa signature ne corresponde pas exactement à celles présentes dans la base de données de l'antivirus, ce qui
entraînerait une absence de détection.

4. Zero-day : Les zero-days sont des vulnérabilités ou des failles de sécurité inconnues qui sont exploitées par les
ransomwares avant que les développeurs d'antivirus ne puissent les détecter et y remédier. Dans de tels cas, les
antivirus peuvent ne pas être en mesure de détecter le ransomware jusqu'à ce qu'une mise à jour ou une solution
9/13
de contournement soit développée.

5. Protection en temps réel désactivée : Il est possible que la protection en temps réel de l'antivirus ne soit pas
activée ou fonctionne incorrectement, ce qui peut entraîner une absence de détection des ransomwares.

7/

Analyse Dynamique:

10/13
La commande strace est utilisée pour tracer les appels système effectués par un programme ou une commande.
Elle permet d'analyser et d'afficher les appels système et les interactions entre le programme en cours d'exécution
et le noyau du système d'exploitation.

11/13
12/13
13/13

Vous aimerez peut-être aussi