WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Phát hiện ransomware "Magic" mới dựa trên mã nguồn mở
Một ransomware mới dựa trên mã nguồn mở đã được phát hiện trong thực tế, mã hóa tập tin người dùng và các quảng cáo với extension ".magic".
Được đặt tên “Magic”, mã độc này dựa trên ransomware mã nguồn mở eda2 được tạo ra vì mục đích giáo dục. Ransomware Magic được tạo ra trong C# và tác giả đòi người dùng 1 Bitcoin để có thể truy cập lại vào dữ liệu của mình.
Dựa trên bộ kit ransomware eda2, mã độc Magic dường như là tác phẩm của những tin tặc có tay nghề thấp. Tuy nhiên, bộ kit bao gồm tất cả các đoạn mã cần thiết, từ ransomware thực thi cho đến thuật toán mã hóa và PHP web panel được sử dụng như một máy chủ C&C để lưu trữ các khóa mã hóa của nạn nhân.
Các nhà nghiên cứu vẫn chưa xác định được Magic phát tán như thế nào, nhưng giả định là được phát tán thủ công qua các dịch vụ thiết bị đầu cuối hoặc máy tính để bàn từ xa. Ransomware này chứa các khóa AES được sử dụng để mã hóa các tập tin trên máy chủ C2, nhưng cũng sử dụng một khóa công khai RSA để mã hóa trước khi gửi tới máy chủ.
Vì những kẻ sử dụng ransomware Magic chưa thực sự chuyên nghiệp nên sử dụng máy chủ C2 trên các dịch vụ trang web miễn phí, có nghĩa là họ có thể dễ dàng bị đánh sập. Tuy nhiên, có một nguy cơ là các nhà cung cấp hosting web miễn phí có thể xóa cơ sở dữ liệu khóa giải mã trước khi các nhà nghiên cứu an ninh có thể truy cập, nghĩa là nạn nhân không có khả năng lấy lại khóa.
Ransomware này có khả năng mã hóa rất nhiều đuôi mở rộng và gắn thêm extension .magic cho bất kỳ tập tin bị mã hóa, nhưng không thể mã hóa các tập tin nằm trong thư mục chứa chuỗi $, C:Windows, hoặc c
rogram. Sau khi hoàn thành quá trình mã hóa, ransomware tạo ra tập tin batch deleteMyProgram.bat và thực thi, sử dụng vssadmin.exe để xóa Shadow Volume Copies của nạn nhân, sau đó xóa mã độc thực thi.
Ransomware này cũng để lại thông báo đòi tiền chuộc trên màn hình máy tính, cung cấp cho nạn nhân thông tin về những gì đã xảy ra và những gì cần phải làm để giải mã các tập tin.
Nguồn: SecurityWeek
Được đặt tên “Magic”, mã độc này dựa trên ransomware mã nguồn mở eda2 được tạo ra vì mục đích giáo dục. Ransomware Magic được tạo ra trong C# và tác giả đòi người dùng 1 Bitcoin để có thể truy cập lại vào dữ liệu của mình.
Dựa trên bộ kit ransomware eda2, mã độc Magic dường như là tác phẩm của những tin tặc có tay nghề thấp. Tuy nhiên, bộ kit bao gồm tất cả các đoạn mã cần thiết, từ ransomware thực thi cho đến thuật toán mã hóa và PHP web panel được sử dụng như một máy chủ C&C để lưu trữ các khóa mã hóa của nạn nhân.
Các nhà nghiên cứu vẫn chưa xác định được Magic phát tán như thế nào, nhưng giả định là được phát tán thủ công qua các dịch vụ thiết bị đầu cuối hoặc máy tính để bàn từ xa. Ransomware này chứa các khóa AES được sử dụng để mã hóa các tập tin trên máy chủ C2, nhưng cũng sử dụng một khóa công khai RSA để mã hóa trước khi gửi tới máy chủ.
Vì những kẻ sử dụng ransomware Magic chưa thực sự chuyên nghiệp nên sử dụng máy chủ C2 trên các dịch vụ trang web miễn phí, có nghĩa là họ có thể dễ dàng bị đánh sập. Tuy nhiên, có một nguy cơ là các nhà cung cấp hosting web miễn phí có thể xóa cơ sở dữ liệu khóa giải mã trước khi các nhà nghiên cứu an ninh có thể truy cập, nghĩa là nạn nhân không có khả năng lấy lại khóa.
Ransomware này có khả năng mã hóa rất nhiều đuôi mở rộng và gắn thêm extension .magic cho bất kỳ tập tin bị mã hóa, nhưng không thể mã hóa các tập tin nằm trong thư mục chứa chuỗi $, C:Windows, hoặc c
rogram. Sau khi hoàn thành quá trình mã hóa, ransomware tạo ra tập tin batch deleteMyProgram.bat và thực thi, sử dụng vssadmin.exe để xóa Shadow Volume Copies của nạn nhân, sau đó xóa mã độc thực thi.Ransomware này cũng để lại thông báo đòi tiền chuộc trên màn hình máy tính, cung cấp cho nạn nhân thông tin về những gì đã xảy ra và những gì cần phải làm để giải mã các tập tin.
Nguồn: SecurityWeek