Giới thiệu
Cryptowall là một phiên bản của phần mềm lừa đảo với mục đích tống tiền (ransomware) CryptoLocker. Một khi máy tính bị lây nhiễm, các tập tin của người dùng sẽ bị mã hóa và bạn sẽ có hai lựa chọn: Trả tiền chuộc để giải mã các tập tin hoặc bắt buộc khôi phục dữ liệu bằng các bản sao lưu. Nếu như người dùng không thực hiện một trong hai phương án trên thì đồng nghĩa với việc bạn chấp nhận mất tất cả dữ liệu trên máy tính bị lây nhiễm. Cryptowall yêu cầu một khoảng tiền chuộc để có thể lấy lại được các tập tin bị mã hóa. Theo Cisco, khoảng tiền chuộc sẽ tăng lên gấp ba lần cho đến khi đạt mức tối đa là 600$. Sau khi hết thời gian quy định, việc khôi phục các tập tin là không thể, và chỉ có thể sử dụng các bản sao lưu dữ liệu để phục hồi. Cryptowall tương tự như Cryptolocker, nhưng nó có thể xâm nhập các máy tính khác nhau và chấp nhận Bitcoins như một phương thức thanh toán tiền chuộc dữ liệu; trong khi Cryptolocker thì không. Cryptowall được sử dụng cùng lúc trong cả hai công cụ khai thác lỗ hổng (Exploit Kit) là Angler exploit kit (EK) và Neutrino EK.
Kết quả phân tích Cryptowall
Nhằm thực hiện phân tích các hành vi mã độc Cryptowall một cách nhanh chóng, công cụ Phân tích mã độc Beebox được sử dụng trong việc hỗ trợ thu thập các thông tin hành vi, quy trình hoạt động mức độ nguy hiểm của Cryptowall.
Thông tin tổng quan
Mẫu mã độc được phân tích hoạt động trên nền tảng Microsoft Windows với kiến trúc CPU Intel 80386.
Kết quả phân tích tĩnh
Chúng ta có kết quả phân tích tĩnh một cách tự động bao gồm thông tin trích xuất từ mẫu mã độc, qua đó chúng ta có được cái nhìn tổng quan về chức năng mà mã độc thực hiện tại máy tính bị lây nhiễm. Việc này được công cụ thực hiện một cách tự động và nhanh chóng với kết quả hiển thị chi tiết, đầy đủ và thân thiện với người dùng , các phân mục được chia ra thành từng nhóm, dễ dàng tìm kiếm.
Kết quả phân tích hành vi
Bên cạnh phân tích tĩnh, BeeBox cũng thực hiện phân tích tự động hành vi của mã độc. BeeBox có thể quan sát toàn bộ hành vi của mã độc trên mọi hướng, từ hệ thống, thanh ghi, tiến trình và kết nối mạng v.v…, người dùng có thể theo dõi hành động của tiến trình theo thời gian thực.
Từ kết quả BeeBox, chúng tôi đã phát hiện được ngoài các tiến trình hệ thống được gọi từ mã độc, mẫu phân tích còn gọi các tiến trình ứng dụng khác như NOTEPAD để thực hiện việc tạo ra tập tin thông báo cho người dùng về việc dính mã độc.
Traffic: Mẫu mã độc được chúng tôi sử dụng phân tích thực hiện kết nối đến máy chủ thông qua tên miền krp.unud.ac.id (IP: 180.250.210.23; Port: 80) Các thông tin lưu lượng mạng của mã độc được thu thập như sau:
HOST |
HTTP REQUEST |
fga-agency.com | POST /VOEHSQ.php?v=x4tk7t4jo6 |
fga-agency.com | POST /VOEHSQ.php?h=ttfkjb668o38k1z |
fga-agency.com | POST /VOEHSQ.php?w=9m822y31lxud7aj |
homealldaylong.com | POST /76N1Lm.php?g=9m822y31lxud7aj |
homealldaylong.com | POST /76N1Lm.php?n=x4tk7t4jo6 |
homealldaylong.com | POST /76N1Lm.php?i=ttfkjb668o38k1z |
krp.unud.ac.id | POST /dqSDR_.php?n=1ihqff57coja57 |
krp.unud.ac.id | POST /dqSDR_.php?v=alzgbn884n9 |
krp.unud.ac.id | POST /dqSDR_.php?f=3sw811y6qcn1skp |
Chúng ta nên làm gì khi bị lây nhiễm?
Thật không may là một khi máy tính bạn đã bị nhiễm Cryptowall, bạn hầu như không thể làm được gì bởi mã độc sử dụng thuật toán mã hóa cao cấp và rất khó bị phá vỡ. Bạn chỉ còn lựa chọn hoặc trả tiền cho kẻ tấn công hoặc phải cài đặt mới lại máy tính và khôi phục dữ liệu từ bản sao lưu.
Tuy nhiên, chúng tôi không khuyến khích việc trả tiền cho kẻ tấn công, bởi không có gì bảo đảm bạn sẽ nhận được khóa giải mã dữ liệu và việc trả tiền cũng sẽ vô tình làm gia tăng hoạt động tội phạm có liên quan đến phương thức tương tự.
Cách phòng chống tốt nhất chính là tăng cường nhận thức về mức độ nguy hiểm của người dùng và việc duy trì bản sao lưu thường xuyên cũng là một giải pháp giảm thiểu rủi ro cũng như thiệt hại của loại hình tấn công này. Và tuyệt đối không được nhấn vào đường dẫn lạ được gửi qua Email hoặc các tập tin đính kèm mà không rõ nguồn gốc, bởi hầu hết virus phát tán thông qua tập tin đính kèm và đường dẫn của Email.