Giới thiệu

Cryptowall là một phiên bản của phần mềm lừa đảo với mục đích tống tiền (ransomware) CryptoLocker. Một khi máy tính bị lây nhiễm, các tập tin của người dùng sẽ bị mã hóa và bạn sẽ có hai lựa chọn: Trả tiền chuộc để giải mã các tập tin hoặc bắt buộc khôi phục dữ liệu bằng các bản sao lưu. Nếu như người dùng không thực hiện một trong hai phương án trên thì đồng nghĩa với việc bạn chấp nhận mất tất cả dữ liệu trên máy tính bị lây nhiễm. Cryptowall yêu cầu một khoảng tiền chuộc để có thể lấy lại được các tập tin bị mã hóa. Theo Cisco, khoảng tiền chuộc sẽ tăng lên gấp ba lần cho đến khi đạt mức tối đa là 600$. Sau khi hết thời gian quy định, việc khôi phục các tập tin là không thể, và chỉ có thể sử dụng các bản sao lưu dữ liệu để phục hồi. Cryptowall tương tự như Cryptolocker, nhưng nó có thể xâm nhập các máy tính khác nhau và chấp nhận Bitcoins như một phương thức thanh toán tiền chuộc dữ liệu; trong khi Cryptolocker thì không. Cryptowall được sử dụng cùng lúc trong cả hai công cụ khai thác lỗ hổng (Exploit Kit) là Angler exploit kit (EK) và Neutrino EK.

Kết quả phân tích Cryptowall

Nhằm thực hiện phân tích các hành vi mã độc Cryptowall một cách nhanh chóng, công cụ Phân tích mã độc Beebox được sử dụng trong việc hỗ trợ thu thập các thông tin hành vi, quy trình hoạt động mức độ nguy hiểm của Cryptowall.

Thông tin tổng quan

Mẫu mã độc được phân tích hoạt động trên nền tảng Microsoft Windows với kiến trúc CPU Intel 80386.

Thông tin tổng quan Cryptowall

Thông tin tổng quan Cryptowall

Kết quả phân tích tĩnh

Chúng ta có kết quả phân tích tĩnh một cách tự động bao gồm thông tin trích xuất từ mẫu mã độc, qua đó chúng ta có được cái nhìn tổng quan về chức năng mà mã độc thực hiện tại máy tính bị lây nhiễm. Việc này được công cụ thực hiện một cách tự động và nhanh chóng với kết quả hiển thị chi tiết, đầy đủ và thân thiện với người dùng , các phân mục được chia ra thành từng nhóm, dễ dàng tìm kiếm.

Kết quả phân tích tĩnh của BeeBox

Kết quả phân tích tĩnh của BeeBox

Kết quả phân tích hành vi

Bên cạnh phân tích tĩnh, BeeBox cũng thực hiện phân tích tự động hành vi của mã độc. BeeBox có thể quan sát toàn bộ hành vi của mã độc trên mọi hướng, từ hệ thống, thanh ghi, tiến trình và kết nối mạng v.v…, người dùng có thể theo dõi hành động của tiến trình theo thời gian thực.

Từ kết quả BeeBox, chúng tôi đã phát hiện được ngoài các tiến trình hệ thống được gọi từ mã độc, mẫu phân tích còn gọi các tiến trình ứng dụng khác như NOTEPAD để thực hiện việc tạo ra tập tin thông báo cho người dùng về việc dính mã độc.

Kết quả phân tích hành vi

Kết quả phân tích hành vi

Traffic: Mẫu mã độc được chúng tôi sử dụng phân tích thực hiện kết nối đến máy chủ thông qua tên miền krp.unud.ac.id (IP: 180.250.210.23; Port: 80)
Tên miền được mã độc sử dụng

Tên miền được mã độc sử dụng

Các thông tin lưu lượng mạng của mã độc được thu thập như sau:

HOST

HTTP REQUEST

fga-agency.com POST /VOEHSQ.php?v=x4tk7t4jo6
fga-agency.com POST /VOEHSQ.php?h=ttfkjb668o38k1z
fga-agency.com POST /VOEHSQ.php?w=9m822y31lxud7aj
homealldaylong.com POST /76N1Lm.php?g=9m822y31lxud7aj
homealldaylong.com POST /76N1Lm.php?n=x4tk7t4jo6
homealldaylong.com POST /76N1Lm.php?i=ttfkjb668o38k1z
krp.unud.ac.id POST /dqSDR_.php?n=1ihqff57coja57
krp.unud.ac.id POST /dqSDR_.php?v=alzgbn884n9
krp.unud.ac.id POST /dqSDR_.php?f=3sw811y6qcn1skp
Kết quả phân tích HTTP

Kết quả phân tích HTTP

Thông tin các gói tin từ Wireshark

Thông tin các gói tin từ Wireshark

Người dùng có thể tải các tập tin PCAP được BeeBox tạo ra nhằm ghi lại toàn bộ hoạt động mạng của mã độc để có cái nhìn rõ ràng và chi tiết hơn, và từ đây chúng tôi cũng phát hiện ra được các thông tin khác:
Neutrino EK gởi nội dung trang web cảnh báo đến nạn nhân

Neutrino EK gởi nội dung trang web cảnh báo đến nạn nhân

Neutrino EK gửi mã khai thác Flash

Neutrino EK gửi mã khai thác Flash

Neutrino EK gởi payload của mã độc (đã được mã hóa)

Neutrino EK gởi payload của mã độc (đã được mã hóa)

Virus Total: Công cụ BeeBox được kết hợp với Virus Total thông qua một giao diện web duy nhất nhằm giúp người dùng nhanh chóng xác định mẫu mã độc thông qua các chương trình quét virus. Tại thời điểm chúng tôi thực hiện phân tích mẫu mã độc Cryptowall, hầu hết các chương trình diệt virus có xuất xứ từ Việt Nam vẫn chưa cập nhật mẫu mã độc khai thác này.
Kết quả phân tích Virus Total

Kết quả phân tích Virus Total

Hình ảnh thực thi mã độc tại Beebox (môi trường sandbox)

Hình ảnh thực thi mã độc tại Beebox (môi trường sandbox)

Chúng ta nên làm gì khi bị lây nhiễm?

Thật không may là một khi máy tính bạn đã bị nhiễm Cryptowall, bạn hầu như không thể làm được gì bởi mã độc sử dụng thuật toán mã hóa cao cấp và rất khó bị phá vỡ. Bạn chỉ còn lựa chọn hoặc trả tiền cho kẻ tấn công hoặc phải cài đặt mới lại máy tính và khôi phục dữ liệu từ bản sao lưu.

Tuy nhiên, chúng tôi không khuyến khích việc trả tiền cho kẻ tấn công, bởi không có gì bảo đảm bạn sẽ nhận được khóa giải mã dữ liệu và việc trả tiền cũng sẽ vô tình làm gia tăng hoạt động tội phạm có liên quan đến phương thức tương tự.

Cách phòng chống tốt nhất chính là tăng cường nhận thức về mức độ nguy hiểm của người dùng và việc duy trì bản sao lưu thường xuyên cũng là một giải pháp giảm thiểu rủi ro cũng như thiệt hại của loại hình tấn công này. Và tuyệt đối không được nhấn vào đường dẫn lạ được gửi qua Email hoặc các tập tin đính kèm mà không rõ nguồn gốc, bởi hầu hết virus phát tán thông qua tập tin đính kèm và đường dẫn của Email.