WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
Ransomware .NET mới sử dụng mã nguồn mở
Các nhà nghiên cứu an ninh của Zscaler vừa phát hiện hai loại ransomeware .NET sử dụng kho mã nguồn mở để mã hóa các tệp tin của người dùng.
Vortex và BUGWARE là 2 loại ransomware được tìm thấy trong các cuộc tấn công trực tiếp qua các email rác chứa các URL độc hại. Cả hai loại mới này đều được biên dịch trong Microsoft Intermediate Language (MSIL – Ngôn ngữ trung gian) và được tập hợp trong “Confuser” packer.
Vortex được viết bằng tiếng Ba Lan và sử dụng mật mã AES-256 để mã hóa hình ảnh, video, âm thanh, tài liệu và các file dữ liệu quan trong khác trên máy nạn nhân.
Tương tự các biến thể ransomeware khác, mã độc này gửi một thông báo tiền chuộc khi hoàn thành xong quá trình mã hóa, thông báo cho nạn nhân về cách để lấy lại dữ liệu và gửi tiền chuộc.
Mã độc cho phép người dùng giải mã hai trong số các file miễn phí và yêu cầu tiền chuộc 100$, sau đó đề nghị tăng lên 200$ trong 4 ngày. Nạn nhân được yêu cầu liên hệ với kẻ tấn công sử dụng địa chỉ email [email protected] và [email protected].
Sau khi cài đặt, mã độc sẽ tạo ra một registry entry, cũng như key đăng ký “AESxWin”, giám sát việc xóa các bản sao để ngăn chặn người dùng khôi phục dữ liệu mà không cần trả tiền.
Khi phân tích các phương thức liên lạc C&C của mã độc, các nhà nghiên cứu nhận thấy mã độc gửi thông tin hệ thống và yêu cầu một mật khẩu API dùng cho các khóa mã hóa và giải mã.
Vortex hoàn toàn dựa trên AESxWin, một tiện ích mã hóa và giải mã trên GitHub. Vì vậy, các file được giải mã bằng cách sử dụng AESxWin, miễn là các mật khẩu dùng để mã hóa từng được sử dụng.
BUGWARE lại dựa trên mã nguồn mở Hidden Tear, dùng để tạo ra các loại ransomeware khác nhau.
Mã độc tạo ra một danh sách các đường dẫn để mã hóa và lưu trữ trong file Criptografia.pathstoencrypt, đồng thời tìm đến tất cả đường dẫn các ổ đĩa di động và cố định để đưa vào danh sách này.
BUGWARE được cho là tạo các key mã hóa và sử dụng thuật toán AES 256-bit để mã hóa các file người dùng, cũng như đặt lại tên các file mã hóa. Các khóa AES cũng được mã hóa, sử dụng khóa RSA public và khóa base64.
Mã độc tạo ra một khóa để đảm bảo được thực thi mỗi lần người dùng đăng nhập máy tính. Nếu phát hiện có ổ đĩa di động, mã độc sẽ thả một bản sao với tên “fatura-vencida.pdf.scr” vào các ổ đĩa đó.
Ransomware thay đổi hình nền desktop trên máy nạn nhân bằng các file hình ảnh, được tải từ “i[.]imgur.com/NpKQ3KZ.jpg".
Vortex và BUGWARE là 2 loại ransomware được tìm thấy trong các cuộc tấn công trực tiếp qua các email rác chứa các URL độc hại. Cả hai loại mới này đều được biên dịch trong Microsoft Intermediate Language (MSIL – Ngôn ngữ trung gian) và được tập hợp trong “Confuser” packer.
Vortex được viết bằng tiếng Ba Lan và sử dụng mật mã AES-256 để mã hóa hình ảnh, video, âm thanh, tài liệu và các file dữ liệu quan trong khác trên máy nạn nhân.
Tương tự các biến thể ransomeware khác, mã độc này gửi một thông báo tiền chuộc khi hoàn thành xong quá trình mã hóa, thông báo cho nạn nhân về cách để lấy lại dữ liệu và gửi tiền chuộc.
Mã độc cho phép người dùng giải mã hai trong số các file miễn phí và yêu cầu tiền chuộc 100$, sau đó đề nghị tăng lên 200$ trong 4 ngày. Nạn nhân được yêu cầu liên hệ với kẻ tấn công sử dụng địa chỉ email [email protected] và [email protected].
Sau khi cài đặt, mã độc sẽ tạo ra một registry entry, cũng như key đăng ký “AESxWin”, giám sát việc xóa các bản sao để ngăn chặn người dùng khôi phục dữ liệu mà không cần trả tiền.
Khi phân tích các phương thức liên lạc C&C của mã độc, các nhà nghiên cứu nhận thấy mã độc gửi thông tin hệ thống và yêu cầu một mật khẩu API dùng cho các khóa mã hóa và giải mã.
Vortex hoàn toàn dựa trên AESxWin, một tiện ích mã hóa và giải mã trên GitHub. Vì vậy, các file được giải mã bằng cách sử dụng AESxWin, miễn là các mật khẩu dùng để mã hóa từng được sử dụng.
BUGWARE lại dựa trên mã nguồn mở Hidden Tear, dùng để tạo ra các loại ransomeware khác nhau.
Mã độc tạo ra một danh sách các đường dẫn để mã hóa và lưu trữ trong file Criptografia.pathstoencrypt, đồng thời tìm đến tất cả đường dẫn các ổ đĩa di động và cố định để đưa vào danh sách này.
BUGWARE được cho là tạo các key mã hóa và sử dụng thuật toán AES 256-bit để mã hóa các file người dùng, cũng như đặt lại tên các file mã hóa. Các khóa AES cũng được mã hóa, sử dụng khóa RSA public và khóa base64.
Mã độc tạo ra một khóa để đảm bảo được thực thi mỗi lần người dùng đăng nhập máy tính. Nếu phát hiện có ổ đĩa di động, mã độc sẽ thả một bản sao với tên “fatura-vencida.pdf.scr” vào các ổ đĩa đó.
Ransomware thay đổi hình nền desktop trên máy nạn nhân bằng các file hình ảnh, được tải từ “i[.]imgur.com/NpKQ3KZ.jpg".
Theo SecurityWeek