Lý thuyết - Ransomware phần 2

Trong phần trước của bài viết, Quản Trị Mạng đã giới thiệu với các bạn một số thông tin cơ bản về Ransomware, CryptoLocker... cũng như cách thức hoạt động, "vòi tiền" của những phần mềm giả mạo, gián điệp này. Và lần này, chúng ta sẽ tiếp tục đi sâu về Ransomware cũng như các biến thể, "họ hàng" trong gia đình CryptoLocker rộng lớn.

1. Cách thức mã hóa dữ liệu của CryptoLocker:

Lần trước, Quản Trị Mạng đã đề cập đến việc giao thức mã hóa dữ liệu của Ransomware là RSA-2048, nhưng dựa theo bảng báo cáo phân tích của TrendMicro thì lại là cơ chế AES + RSA.

• Phần 1 của bài viết Ransomware là gì?

Nếu dịch theo tiếng Anh thì RSA là kiểu mã hóa bất đối xứng. Hiểu nôm na như nào cho đúng nhỉ? Có nghĩa là phương pháp mã hóa này sẽ sử dụng tới 2 key:

• 1 key được dùng để mã hóa dữ liệu, các file mà CryptopLocker tìm được (public key)
• 1 key còn lại làm nhiệm vụ giải mã những file đã bị mã hóa (private key).

Và đồng thời, đây cũng là cách thức hoạt động của AES. Các loại Malware thường dùng chuẩn AES để mã hóa dữ liệu, thông tin cá nhân của người dùng. Và cũng có điểm khác biệt giữa AES và RSA tại đây:

• Key AES để giải mã dữ liệu lại nằm trong chính file đã mã hóa.
• RSA Public Key lại nằm trong chính Malware, điều này có nghĩa là gì? Là người dùng sẽ cần phải có Private Key để giải mã dữ liệu.

Các bản nghiên cứu, phân tích kỹ càng hơn của nhiều hãng bảo mật danh tiếng đã chỉ ra rằng, CryptoLocker không hoạt động theo hướng bộc phát, mà có cả chiến dịch Spam cụ thể đi kèm. Cụ thể hơn, các file độc hại đính kèm trong email mà người dùng nhận được, thường "khuyến mãi" của Trojan TROJ_UPATRE - một dạng Malware, với dung lượng vô cùng nhỏ gọn (chỉ vài KB) có chức năng tải ZBOT về máy tính của nạn nhân. Và sau đó, các ZBOT này sẽ tiếp tục tải và cài đặt CryptoLocker hoàn chỉnh.

Cho đến gần cuối năm 2013, 1 chủng loại mới của CryptoLocker đã xuất hiện.Đó là WORM_CRILOCK.A - có thể lây lan qua các thiết bị lưu trữ cắm ngoài như ổ Flash USB, ổ cứng cắm ngoài... (tương tự như CRILOCK). Điểm khác biệt của loại Malware này là chúng không cần đến downloader hay file đính kèm qua email để lây lan vào máy tính của nạn nhân, mà chủ yếu chúng xâm nhập qua giao thức P2P (các bạn hay dùng, download file qua Torrent sẽ hiểu).

Bên cạnh đó, một biến tướng khác của Ransomware cũng xuất hiện ở giai đoạn này. Đó là hình thức lây nhiễm qua các file ảnh đính kèm trong email, chúng có tên gọi chung là CryptoDefense hoặc Cryptorbit. Được phát hiện bởi TrendMicro, chủng Ransomware này có tên gọi là TROJ_CRYPTRBIT.H, chúng có nhiệm vụ mã hóa các file cơ sở dữ liệu - database, web (file *.html), file văn bản (Office), file video, audio, ảnh, text... hay nói ngắn gọn là bất cứ file nào không phải dạng *.msi hoặc *.exe trên máy tính của nạn nhân. Bên cạnh đó, chúng còn "gặm nhấm" các file backup - sao lưu của Windows để ngăn chặn quá trình Restore.

2. Mục đích chính của CryptoLocker - Tiền:

Như đã đề cập đến mục tiêu của nạn nhân mà CryptoLocker nhắm vào, tống tiền nạn nhân, và trong giai đoạn này thì hacker chủ yếu nhắm đến đồng tiền ảo - Bitcoin (đang làm mưa làm gió lúc bấy giờ). Cụ thể hơn, chỉ có 2 biến thể chính của loại Malware này, được gọi chung là BitCrypt:

• Loại đầu tiên: TROJ_CRIBIT.A mã hóa tất cả các file dữ liệu mà nó tìm được thành file .bitcrypt. Chủ yếu dùng ngôn ngữ tiếng Anh.
• Loại thứ 2: TROJ_CRIBIT.B tương tự như loại trên, nhưng lại khác biệt hơn. Đó là biến dữ liệu của nạn nhân thành .bitcrypt 2, đồng thời sử dụng nhiều ngôn ngữ khác nhau (có tới hơn 10 loại được phát hiện).

Cả 2 loại Cribit này đều áp dụng thuật toán RSA(426)-AES và RSA(1024)-AES để mã hóa thông tin, dữ liệu. Bên cạnh đó, vẫn còn 1 loại Malware khác cũng hoành hành rất ghê gớm tại thời điểm này, đó là FareIT. TSPY_FAREIT.BB đơn giản chỉ có nhiệm vụ tải Trojan về máy tính, xâm nhập và đánh cắp các dữ liệu của cá nhân có liên quan đến cơ sở dữ liệu wallet.dat(Bitcoin), electrum.dat (Electrum), và.wallet (MultiBit). Vì sao? Vì những file đó có chứa dữ liệu cá nhân, các thông tin về giao dịch tiền tệ, tài khoản...

3. POSHCODER: PowerShell Abuse:

Khi công nghệ phát triển, đó cũng là lúc nhiều tính năng của hệ điều hành Windows bị khai thác. Lần này là PowerShell trên nền tảng Windows của Microsoft. TrendMicro một lần nữa đã phát hiện ra TROJ_POSHCODER.A xâm nhập và chiếm quyền điều khiển PowerShell trên máy tính của nạn nhân. PowerShell chỉ xuất hiện trên phiên bản Windows 7 (cho đến Windows 10 - phiên bản mới nhất vẫn còn), mục đích chính của hacker khi xâm nhập qua PowerShell là tránh khỏi sự phát hiện của hệ thống, những người quản trị (vì PowerShell là công cụ điều khiển cấp cao của Windows).

Về mặt kỹ thuật, POSHCODER sử dụng cơ chế AES để mã hóa dữ liệu, thông tin, và Public key RSA 4096. Và khi tất cả các file trên hệ thống bị mã hóa, thì hacker sẽ cho hiển thị thông báo:

4. Ransomware tiếp tục ngắm đến những file quan trọng:

Khi các chủng loại Ransomware ngày càng lộng hành, phổ biến (hiểu theo nghĩa nào đó) thì điều này không có nghĩa là những chủng Ransomware ít tên tuổi khác đã biến mất, mà chúng đơn giản chỉ ẩn mình chờ thời cơ đến:

Điều gì đã làm cho loại Ransomware khác biệt với các anh em, họ hàng của chúng? Câu trả lời là các bản Vector của Ransomware bị thay thế bởi chính 1 loại Malware độc hại khác - gọi chung là Patched Malware. Hiểu nôm na là các "bán vá" của Malware sau khi được chỉnh sửa và lây nhiễm vào máy tính của người dùng thông qua hình thức cài thêm add-on vào trình duyệt, tải file downloader, file đính kèm từ email... bằng các đoạn mã độc. Dựa vào tần suất sử dụng các loại file trên máy tính mà hacker có thể dễ dàng xác định được mục đích, những file hệ thống quan trong nào mà chúng đang nhắm đến (ví dụ nếu bạn thường xuyên chơi game, duyệt Internet thì hacker sẽ tạo ra các bản, file patch đề phù hợp với những file game, trình duyệt đó).

Một cách thức tấn công khác vào máy tính của nạn nhân là xâm nhập thẳng vào file user32.DLL (nằm trong thư mục c:\Windows\System32). Tương tự như cách tấn công vào PowerShell, đây được coi là 1 phương pháp tự phòng vệ của hacker, vì khi một khi xâm nhập thành công vào những file quan trọng này, thì hệ thống sẽ không có cách nào phát hiện ra sự tồn tại của phần mềm độc hại. 

5. Tương lai nào cho Ransomware:

Trước khi tiếp tục, mời các bạn xem qua video "trình diễn" quy trình hoạt động của TorrentLocker - môt dạng Ransomware xuất hiện vào năm 2014:

Bảng liệt kê các "thành viên" nổi tiếng trong đại gia đình Ransomware:

6. Cách phòng tránh Ransomware:

Ngăn chặn:

Trong trường hợp máy tính của bạn có những biểu hiện như đã mô tả phía bên trên, hãy làm theo các bước dưới đây:

• Tắt System Restore (xem hướng dẫn tắt System Restore trên Windows 10)
• Dùng các chương trình Anti Malware để Scan và xóa các file nghi ngờ. (khuyên dùng AntiMalware của MalwareByte)

Phòng tránh:

Vì Ransomware là phần mềm độc hại, nên nó có thể xuất hiện và xâm nhập bất cứ lúc nào. Do vậy, chúng ta - những người dùng máy tính phải để ý những điều sau:

• Thường xuyên sao lưu những dữ liệu quan trọng.
• Cập nhật phần mềm lên phiên bản ổn định mới nhất.
• Hạn chế dùng crack, key (dạng *.exe) để bẻ khóa phần mềm.
• Hạn chế truy cập vào các website khiêu dâm, website đen.
• Không click và tải các file không rõ nguồn gốc qua email.
• Cài và update thường xuyên các chương trình bảo mật, dạng Internet Security (hiện có bán rất nhiều tại siêu thị trực tuyến META). Các bạn có thể tham khảo tại đây, thường xuyên có chương trình giảm giá.
• Phần mềm diệt virus Trend Micro Maximum Security 2015
• Thao khảo các bài viết bảo mật trên website QuanTriMang.com hoặc Fanpage Quản Trị Mạng

Chúc các bạn thành công!

Nguồn: Quan Tri Mang