WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Mã độc tống tiền khóa Master Boot Records của ổ cứng
Các nhà nghiên cứu vừa phát hiện một dòng ransomware mới tấn công bản ghi quản lý khởi động (MBR-Master Boot Record) của ổ cứng và ngăn cản việc khởi động máy tính sau khi mã hóa các file.
Mã độc này có tên HDDCryptor (hay Mamba) xuất hiện từ khoảng tháng 1 năm 2016.
Về mặt kỹ thuật HDDCryptor giống với dòng mã độc Petya và sau này là Satana, hoạt động theo cùng nguyên lý ghi đè lên MBR và ngăn cản máy tính khởi động
Làn sóng ảnh hưởng của HDDCryptor
Dựa vào các báo cáo, có vẻ như một chiến dịch gần đây đã phát tán phiên bản mới của HDDCrypto tới người dùng trên toàn thế giới.
Người đầu tiên phát hiện ra HDDCryptor là Renato Marinho, nhà nghiên cứu của Morphus Labs. Ông đã điều tra việc lây nhiễm HDDCryptor tại một công ty đa quốc gia, ảnh hưởng đến trụ sở chính của công ty đó ở Mỹ, Brazil, và Ấn Độ.
HDDCryptor bắt đầu lây nhiễm khi người dùng truy cập các website độc hại và tải file độc về máy tính. Các file này hoặc là trực tiếp nhiễm HDDCryptor hoặc đi kèm với một mã độc trung gian có chứa HDDCryptor.
HDDCryptor sử dụng công cụ mã nguồn mở để tấn công và khóa máy tính
HDDCryptor về bản chất là một loạt các tập tin nhị phân. Khi các tập tin nhị phân lớn này được thực thi, nó sẽ thả các file vào máy tính và chạy theo thứ tự cụ thể.
Đầu tiên HDDCryptor quét mạng nội bộ của các ổ đĩa mạng, sau đó sử dụng công cụ miễn phí có tên Network Password Recovery để tìm kiếm và lấy thông tin của các thư mục hiện tại hay trước đây được chia sẻ trong mạng.
Qúa trình tiếp tục bằng việc thiết lập một công cụ mã nguồn mở khác có tên DiskCryptor để mã hóa các file được tìm thấy trong phân vùng ổ cứng. Công cụ này được sử dụng kết hợp với quá trình quét trước đó và mật khẩu để kết nối vào ổ đĩa mạng và mã hóa dữ liệu.
Ransomware hoạt động khá hiệu quả
Cuối cùng, HDDCrypter ghi đè lên MBR với bộ nạp khởi động tùy chỉnh và khởi động lại máy tính, quá trình này sẽ dừng lại với một thông báo đòi tiền chuộc.
Người dùng được thông báo liên lạc với tác giả ransomware thông qua email, tại đây họ sẽ phải trả 1 Bitcoin (khoảng 610 USD).
Theo số tiền được phát hiện trong một tài khoản Bitcoin chia sẻ qua email, ít nhất đã có 4 người phải trả tiền chuộc. Số lượng có lẽ nhiều hơn ở những tài khoản Bitcoin khác của kẻ lừa đảo.
Mã độc này có tên HDDCryptor (hay Mamba) xuất hiện từ khoảng tháng 1 năm 2016.
Về mặt kỹ thuật HDDCryptor giống với dòng mã độc Petya và sau này là Satana, hoạt động theo cùng nguyên lý ghi đè lên MBR và ngăn cản máy tính khởi động
Làn sóng ảnh hưởng của HDDCryptor
Dựa vào các báo cáo, có vẻ như một chiến dịch gần đây đã phát tán phiên bản mới của HDDCrypto tới người dùng trên toàn thế giới.
Người đầu tiên phát hiện ra HDDCryptor là Renato Marinho, nhà nghiên cứu của Morphus Labs. Ông đã điều tra việc lây nhiễm HDDCryptor tại một công ty đa quốc gia, ảnh hưởng đến trụ sở chính của công ty đó ở Mỹ, Brazil, và Ấn Độ.
HDDCryptor bắt đầu lây nhiễm khi người dùng truy cập các website độc hại và tải file độc về máy tính. Các file này hoặc là trực tiếp nhiễm HDDCryptor hoặc đi kèm với một mã độc trung gian có chứa HDDCryptor.
HDDCryptor sử dụng công cụ mã nguồn mở để tấn công và khóa máy tính
HDDCryptor về bản chất là một loạt các tập tin nhị phân. Khi các tập tin nhị phân lớn này được thực thi, nó sẽ thả các file vào máy tính và chạy theo thứ tự cụ thể.
Đầu tiên HDDCryptor quét mạng nội bộ của các ổ đĩa mạng, sau đó sử dụng công cụ miễn phí có tên Network Password Recovery để tìm kiếm và lấy thông tin của các thư mục hiện tại hay trước đây được chia sẻ trong mạng.
Qúa trình tiếp tục bằng việc thiết lập một công cụ mã nguồn mở khác có tên DiskCryptor để mã hóa các file được tìm thấy trong phân vùng ổ cứng. Công cụ này được sử dụng kết hợp với quá trình quét trước đó và mật khẩu để kết nối vào ổ đĩa mạng và mã hóa dữ liệu.
Ransomware hoạt động khá hiệu quả
Cuối cùng, HDDCrypter ghi đè lên MBR với bộ nạp khởi động tùy chỉnh và khởi động lại máy tính, quá trình này sẽ dừng lại với một thông báo đòi tiền chuộc.
Người dùng được thông báo liên lạc với tác giả ransomware thông qua email, tại đây họ sẽ phải trả 1 Bitcoin (khoảng 610 USD).
Theo số tiền được phát hiện trong một tài khoản Bitcoin chia sẻ qua email, ít nhất đã có 4 người phải trả tiền chuộc. Số lượng có lẽ nhiều hơn ở những tài khoản Bitcoin khác của kẻ lừa đảo.
Theo: SoftPedia
Chỉnh sửa lần cuối bởi người điều hành: