Phân tích ransomware CRAB

HustReMw

VIP Members
20/12/2016
251
544 bài viết
Phân tích ransomware CRAB
Chào các bạn, mình thấy gần đây bùng phát virus mã hóa dữ liệu Ransomware CRAB. Hôm nay, mình sẽ phân tích chi tiết về con này xem nó có những hành vi gì nhé!

1700120700152.png

Tổng quan, mẫu này gồm 2 thành phần chính. Thành phần worm chuyên chịu tránh nhiệm phát tán đến các máy tính nạn nhân khác nhau để tải thành phần thứ 2 là mã hóa dữ liệu.

1700120567681.png

Hành vi của mẫu phát tán (Worm)?

Tự động copy chính nó vào thư mục Window\M-5050876807550660607885860\winsvc.exe%. Các bạn có thể vào trong thư mục này để kiểm tra, nếu tồn tại đường dẫn này thì máy tính của bạn đã bị nhiễm mã độc này.

upload_2018-4-3_9-24-33.png

Tiếp theo nó sẽ đăng ký khởi động cùng máy tính thông qua registry với tên là “Microsoft Windows Service”. Có thể thấy nó cũng rất công phu khi giả dạng tên của microsoft.

upload_2018-4-3_9-24-42.png

Ngoài ra nó còn tắt các tính năng bảo vệ của windows defender

upload_2018-4-3_9-24-53.png

Phần quan trọng nhất của thành phần worm này là tải và và thực thi mẫu mã hóa dữ liệu. Một số biến thể còn cài thêm cả các mẫu đào tiền ảo. Chúng ta có thể thấy nó tải file wkl.exe từ địa chỉ 92.63.197.59.

upload_2018-4-3_9-25-6.png

Ngoài ra, mẫu này thực hiện phát tán thông qua usb, ổ share, như hình bên dưới chúng ta có thể thấy rõ điều này.

upload_2018-4-3_9-25-17.png

Và đây là một ổ share của máy tính của mình bị nhiễm con này, tất nhiên mình đã để hiển thị file ẩn thì mới thấy tất được các file như này, đối với một máy tính người dùng bình thường thì chỉ có file icon hình ổ đĩa, nếu không cẩn thận click vào thì máy tính chúng ta sẽ bị nhiễm virus và bị mã hóa dữ liệu.

upload_2018-4-3_9-25-27.png

Hành vi của mẫu ransomware?

Sau khi được mẫu worm tải và thực thi trong %temp%. Trước khi đi vào các hành vi quan trọng chúng ta quan sát tập các biến thể của mẫu này ở hình bên dưới. Có thể thấy kích thước nó rất khác nhau, nhưng khi tôi xem code của nó thì thấy chúng khá giống nhau về cấu trúc. Từ đó nhận định sơ bộ, có thể mẫu này được build bằng một công cụ nào đó để tạo ra các biến thể thể khác nhau để tránh sự nhận diện của các AV.

upload_2018-4-3_9-26-0.png
Mẫu ransomware này cũng được thiết kế khá công phu, qua bao bước mình đi theo quá trình giải mã code của nó cuối cùng mình cũng tới đoạn code đẹp.

Trước khi thực hiện mã hóa, nó tìm tới các tiến trình thuộc list dưới đây và kill nó. Mục đích của việc này nhằm tránh các tiến trình giữ các handle của file nó cần mã hóa.

upload_2018-4-3_9-26-13.png

Tiếp theo nó sẽ sử dụng thuật toán AES để mã hóa file và RSA để mã hóa key AES.

Nó sẽ tạo ra một 2 buffer ngẫu nhiên. Một buffer chứa 16byte làm định danh cho máy bị mã hóa và một buffer 32byte làm key AES để mã hóa file. 2 buffer này sẽ bị mã hóa bằng publickey RSA trước khi bị phá hủy.

Tất cả các file sau khi bị mã hóa sẽ bị đổi đuôi thành .CRAB.

upload_2018-4-3_9-26-27.png

Tổng kết lại

Khôi phục lại dữ liệu dường như là không thể, chúng ta hay phòng tránh bằng cách sử dụng AntiVirus, mở các file tải từ internet trong môi trường saferun. Và hay thận trọng trong việc sử dụng usb, cũng như các ổ chia sẻ dữ liệu trong mạng nội bộ.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: sunny
Thẻ
ransomware crab
Bên trên