Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Mã độc tống tiền Locky mã hóa cả tập tin trên mạng chia sẻ
Các chuyên gia an ninh vừa phát hiện mã độc tống tiền mới có tên Locky, sử dụng thuật toán mã hóa AES để mã hóa cả tập tin nội bộ và tập tin trên mạng chia sẻ (Network share), ngay cả khi các tập tin này ở các mạng chia sẻ unmap (không được ánh xạ).
Locky là dòng mã độc tống tiền thứ hai được phát hiện trong vài tuần trở lại đây có khả năng mã hóa dữ liệu trên mạng chia sẻ unmap. Điều này cho thấy các mã độc đời sau được tin tặc xây dựng có xu hướng “kế thừa” các tính năng của “đàn anh” trước đó. Trường hợp của Hidden Tear là một ví dụ, mã độc được gọi là “educational ransomeware” (tạm dịch là “mã độc kế thừa”).
Thực tế, Locky chỉ đơn giản là sử dụng lại những kỹ thuật giống như các mã độc khác, như khả năng thay đổi hoàn toàn tên file cho tập tin mã hóa để gây khó khăn cho việc khôi phục dữ liệu. Tính năng này đã được biết đến trước đó trên CrytoWall.
Mã độc mới Locky phát tán thông qua email giả mạo hóa đơn thanh toán, với file word đính kèm chứa macro độc hại. Khi người dùng kích hoạt macro để xem nội dung file đính kèm, đồng thời sẽ tải về Locky từ máy chủ từ xa và thực thi mã độc. Ngay lập tức, Locky bắt đầu mã hóa file trên hệ thống bị xâm nhập.
Để mã hóa, Locky tạo và chỉ định một số 16 hexa cho máy tính của nạn nhân và quét toàn bộ drive và các mạng chia sẻ unmap để tìm các tập tin sẽ mã hóa. Mã độc sử dụng thuật toán AES và chỉ nhắm tới các file có phần đuôi mở rộng đáp ứng tiêu chuẩn nhất định.
Locky sẽ bỏ qua các tập tin chứa các chuỗi dưới đây trong pathname và filename: tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot và Windows.
Toàn bộ các tập tin mã hóa được đặt lại tên tự động thành unique_id][identifier].locky với ID duy nhất và các thông tin khác cũng được nhúng vào cuối tập tin được mã hóa. Ngoài ra, mã độc sẽ xóa toàn bộ các Shadow Volume Copies (thuộc System Restore, có chức năng khôi phục dữ liệu) trên thiết bị, để ngăn cản nạn nhân khôi phục lại những tập tin của họ.
Locky để lại một thông báo đòi tiền chuộc _Locky_recover_instructions.txt trong mỗi tập tin mà nó mã hóa, cung cấp cho nạn nhân thông tin về việc điều gì đã xảy ra với file của họ kèm theo các đường dẫn đến trang giải mã. Ngoài ra, mã độc cũng thay đổi hình nền Desktop thành một hình ảnh .bmp cũng chứa các hướng dẫn như trong đoạn thông báo “tống tiền”, và yêu cầu người dùng trả 0,5 bitcoin để khôi phục các tập tin của mình.
Locky lưu trữ thông tin trong phần đăng ký, bao gồm ID duy nhất được chỉ định cho thiết bị nạn nhân, khóa public RSA, đoạn text trong phần thông báo đòi tiền chuộc, và các thông tin về việc mã độc đã hoàn thành việc mã hóa thiết bị nạn nhân. Trang giải mã Locky Decrypter Page hiển thị thông tin về cách thức mua bitcoin để trả tiền chuộc và cung cấp mã khóa khi khoản thanh toán được gửi tới địa chỉ yêu cầu.
Locky là dòng mã độc tống tiền thứ hai được phát hiện trong vài tuần trở lại đây có khả năng mã hóa dữ liệu trên mạng chia sẻ unmap. Điều này cho thấy các mã độc đời sau được tin tặc xây dựng có xu hướng “kế thừa” các tính năng của “đàn anh” trước đó. Trường hợp của Hidden Tear là một ví dụ, mã độc được gọi là “educational ransomeware” (tạm dịch là “mã độc kế thừa”).
Thực tế, Locky chỉ đơn giản là sử dụng lại những kỹ thuật giống như các mã độc khác, như khả năng thay đổi hoàn toàn tên file cho tập tin mã hóa để gây khó khăn cho việc khôi phục dữ liệu. Tính năng này đã được biết đến trước đó trên CrytoWall.
Mã độc mới Locky phát tán thông qua email giả mạo hóa đơn thanh toán, với file word đính kèm chứa macro độc hại. Khi người dùng kích hoạt macro để xem nội dung file đính kèm, đồng thời sẽ tải về Locky từ máy chủ từ xa và thực thi mã độc. Ngay lập tức, Locky bắt đầu mã hóa file trên hệ thống bị xâm nhập.
Để mã hóa, Locky tạo và chỉ định một số 16 hexa cho máy tính của nạn nhân và quét toàn bộ drive và các mạng chia sẻ unmap để tìm các tập tin sẽ mã hóa. Mã độc sử dụng thuật toán AES và chỉ nhắm tới các file có phần đuôi mở rộng đáp ứng tiêu chuẩn nhất định.
Locky sẽ bỏ qua các tập tin chứa các chuỗi dưới đây trong pathname và filename: tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot và Windows.
Toàn bộ các tập tin mã hóa được đặt lại tên tự động thành unique_id][identifier].locky với ID duy nhất và các thông tin khác cũng được nhúng vào cuối tập tin được mã hóa. Ngoài ra, mã độc sẽ xóa toàn bộ các Shadow Volume Copies (thuộc System Restore, có chức năng khôi phục dữ liệu) trên thiết bị, để ngăn cản nạn nhân khôi phục lại những tập tin của họ.
Locky để lại một thông báo đòi tiền chuộc _Locky_recover_instructions.txt trong mỗi tập tin mà nó mã hóa, cung cấp cho nạn nhân thông tin về việc điều gì đã xảy ra với file của họ kèm theo các đường dẫn đến trang giải mã. Ngoài ra, mã độc cũng thay đổi hình nền Desktop thành một hình ảnh .bmp cũng chứa các hướng dẫn như trong đoạn thông báo “tống tiền”, và yêu cầu người dùng trả 0,5 bitcoin để khôi phục các tập tin của mình.
Locky lưu trữ thông tin trong phần đăng ký, bao gồm ID duy nhất được chỉ định cho thiết bị nạn nhân, khóa public RSA, đoạn text trong phần thông báo đòi tiền chuộc, và các thông tin về việc mã độc đã hoàn thành việc mã hóa thiết bị nạn nhân. Trang giải mã Locky Decrypter Page hiển thị thông tin về cách thức mua bitcoin để trả tiền chuộc và cung cấp mã khóa khi khoản thanh toán được gửi tới địa chỉ yêu cầu.
Nguồn: SecurityWeek