Phân tích mẫu Locky Ransomware
Tuy đã xuất hiện từ rất lâu nhưng ransomware vẫn ngày càng phát tán rộng rãi và chưa có dấu hiệu dừng lại. Các biện pháp phòng chống hầu như rất hạn chế, mà hậu quả gây ra thì vô cùng. Vì vậy, hôm nay chúng ta sẽ cùng phân tích đại diện một biến thể ransomware mang tên Locky.
1. Ransomware là gì? Tại sao nó lại có thể mã hoá dữ liệu của chúng ta mà chỉ có hacker mới có thể khôi phục?
Một cách đơn giản nhất, ransomware là mã độc sau khi thực thi sẽ mã hoá tất cả các file tài liệu trong máy tính và đòi tiền chuộc để giải mã lấy lại tài liệu.
Bằng các công cụ dịch ngược hiện nay người ta hoàn toàn có thể dịch ngược mẫu virus về mã nguồn của chúng, qua đó hoàn toàn biết về phương pháp mã hóa, khóa sử dụng để mã hóa… Thế nhưng tại sao dù có biết tài liệu của chúng ta được mã hóa như thế nào ta vẫn không thể giải mã được chúng ngược lại? Hãy cùng điểm qua 1 số kiến thức về các hệ mật mã!
Người ta thường chia các hệ mật mã ra làm 2 loại
Hệ mật mã khoá đối xứng (bí mật): là hệ mật mã mà khoá để mã hoá cũng là khoá để giải mã.
Ví dụ: hệ mật mã Ceasar với khoá bằng 2 (khi đó a->c, b->d, …, y->a, z->b).
Nếu mã độc chỉ sử dụng thuần hệ mật mã đối xứng để mã hoá, thì sau khi dịch ngược ra hoàn toàn chúng ta có thể viết tools giải mã ngược lại.
Hệ mật mã khoá công khai (bất đối xứng): là hệ mật mã mà khoá dùng để mã hoá khác khoá dùng để giải mã.
Ví dụ về hệ mật mã này các bạn có thể tìm hiểu về hệ mật mã RSA.
Với hệ mật mã này, cho dù có biết khóa dùng để mã hóa và thuật toán mã hóa, chúng ta cũng không thể giải mã được, hoặc có thể giải mã với chi phí và tài nguyên rất lớn.
Tuy nhiên phương pháp nào cũng có ưu, nhược điểm riêng của nó. Mã hóa bằng hệ mật mã khóa công khai tuy đảm bảo không thể giải mã ngay cả khi biết khóa mã hóa, nhưng thời gian mã hóa lâu hơn sử dụng hệ mật mã khóa đối xứng rất nhiều. Vì vậy, các loại ransomware thường làm như sau (ví dụ về phương pháp mã hóa của Locky):
+ Sinh ngẫu nhiên khóa Kdx, sử dụng hệ mật khóa đối xứng với khoa Kdx để mã hóa 1 file tài liệu.
+ Sau khi mã hóa 1 file tài liệu bất kì, khoá Kdx đựoc mã hóa bằng hệ mật mã khóa công khai. Giá trị sau khi mã hoá được lưu vào trường tên file.
+ Để giải mã, hacker đọc giá trị tên file để giải mã lại khóa Kdx, sau đó giải mã file bằng khóa Kdx vừa tìm được.
2. Phân tích mẫu Locky Ransomware
a. Thông tin mẫu:
md5: 3371701C6EF795E5D6B3CFC32D9B1B61
SHA-1: E77D19B10C97EEA8D46D1927D284A89CE86A7081
File size: 131 KB
File type: PE32
b. Tổng quan hành vi
Cập nhật 10/12/2016: server của virus không còn hoạt động nên virus không còn hoạt động được nữa.
+ Kết nối đến server, tải về public key RSA-2048 lưu trong registry.
+ Địa chỉ kết nối:
109.237.111.168
192.121.16.196
46.108.39.224
185.82.216.213
Sau khi gửi request thành công, duyệt tất cả các file trong máy. Kiểm tra đuôi file, nếu đuôi file là 1 trong các loại định trước thì file sẽ bị mã hóa bằng thuật toán AES.
Tạo các file txt hướng dẫn lấy lại dữ liệu.Thay đổi màn hình nền.
Tự xóa file sau khi mã hóa xong.
c. Thông tin chi tiết hành vi
Gửi request lên server để lấy public key RSA-2048
Hình 1. Mở kết nối internet và gửi request đến server
Hình 2. Download file từ server
Locky sẽ không mã hóa file nếu như không connect được đến server. Lý do chính là do mỗi máy được gán bằng một id khác nhau, do vậy request đầu tiên đến server để hacker có thể biết xác định id máy của nạn nhân cũng như máy này được sử dụng cặp private-public key nào, như vậy sau khi mã hóa locky sẽ đưa cho nạn nhân 1 đường dẫn đến nơi có thể download tool giải mã đúng với máy của mình (tất nhiên là phải trả phí trước).
Duyệt tất cả các file trong máy và kiểm tra đuôi file để mã hóa dữ liệu
+ Duyệt file:
Hình 3. Duyệt file bằng các hàm FindFirstFile, FindNextFile
Kiểm tra loại file cần mã hóa:
Hình 4. Kiểm tra đuôi file
Hình 5. Các loại file có đuôi sẽ bị mã hóa
Các loại file mà virus sẽ mã hóa: key, crt, csr, p12, pem, doc, odt, ott, sxw, stw, ppt, xls, pdf, rtf, uot, csv, txt, xml, 3ds,max, 3dm, dot, docx, docm, dotx, dotm, 602, hwp, ods, ots, sxc, stc, dif, xlc, xlm, xlt, xlw, slk, xlsb, xlsm, xlsx, xltm, xltx, wk1, wks, 123, wb2, odp, otp, sxi, sti, pps, pot,sxd, std, pptm, pptx, potm ,potx, uop, odg, otg, sxm, mml, docb,ppam, ppsx, ppsm, sldx, sldm, ms11, lay, lay6, asc, onetoc2, pst, 001, 002, 003, 004, 005, 006, 007, 008, 009, 010, 011, sqlite3, sqlitedb, sql, mdb, db, dbf, odb, frm, myd, myi, ibd, mdf,ldf, php. c, cpp, pas, asm,h, js, vb, vbs, pl, dip, dch, sch, brd, cs, asp, rb, java, jar, class, pl, sh, bat, cmd, psd, nef, tiff, tif, jpg, jpeg, cgm, raw, gif, png, bmp, svg, djvu, djv, zip, rar, 7z, gz, tgz, tar, bak, tbk, tar.bz2, paq, arc, aes, gpg, vmx, vmdk, vdi, qcow2, mp3, wav, swf, fla, wmv, mpg, vob, mpeg, asf, avi, mov, mp4, 3gp, mkv, 3g2, flv, wma, mid, m3u, m4u
Thuật toán mã hóa: AES-192 with ebc mode
Hình 6. Tham số dùng trong các hàm để mã hóa là CALG_AES_192
Để mã hóa file bằng thuật toán AES-192, locky sử dụng các hàm mã hóa mà Windows API hỗ trợ. Chi tiết về cách sử dụng, các bạn tham khảo: https://msdn.microsoft.com/en-us/lib...(v=vs.85).aspx
Sau khi mã hóa hết các file, virus thay đổi ảnh đại diện và để lại lời nhắn đến cho người sử dụng.
Hình 7. Giao diện sau khi máy tính bị mã hóa tất cả các file
Để giải mã tài liệu của mình theo hướng dẫn của hacker, các bạn có thể truy cập đường dẫn như trong ảnh và trả phí để có thể download tool giải mã về.
3. Kết luận
Trên đây là bài viết sơ lược về hành vi của locky ransomware nói riêng và kỹ thuật mã hóa dùng trong các ransomware nói chung. Hi vọng bài viết cung cấp phần nào kiến thức để mọi người hiểu rõ hơn về loại mã độc nguy hiểm này.
Tuy đã xuất hiện từ rất lâu nhưng ransomware vẫn ngày càng phát tán rộng rãi và chưa có dấu hiệu dừng lại. Các biện pháp phòng chống hầu như rất hạn chế, mà hậu quả gây ra thì vô cùng. Vì vậy, hôm nay chúng ta sẽ cùng phân tích đại diện một biến thể ransomware mang tên Locky.
1. Ransomware là gì? Tại sao nó lại có thể mã hoá dữ liệu của chúng ta mà chỉ có hacker mới có thể khôi phục?
Một cách đơn giản nhất, ransomware là mã độc sau khi thực thi sẽ mã hoá tất cả các file tài liệu trong máy tính và đòi tiền chuộc để giải mã lấy lại tài liệu.
Bằng các công cụ dịch ngược hiện nay người ta hoàn toàn có thể dịch ngược mẫu virus về mã nguồn của chúng, qua đó hoàn toàn biết về phương pháp mã hóa, khóa sử dụng để mã hóa… Thế nhưng tại sao dù có biết tài liệu của chúng ta được mã hóa như thế nào ta vẫn không thể giải mã được chúng ngược lại? Hãy cùng điểm qua 1 số kiến thức về các hệ mật mã!
Người ta thường chia các hệ mật mã ra làm 2 loại
Hệ mật mã khoá đối xứng (bí mật): là hệ mật mã mà khoá để mã hoá cũng là khoá để giải mã.
Ví dụ: hệ mật mã Ceasar với khoá bằng 2 (khi đó a->c, b->d, …, y->a, z->b).
Nếu mã độc chỉ sử dụng thuần hệ mật mã đối xứng để mã hoá, thì sau khi dịch ngược ra hoàn toàn chúng ta có thể viết tools giải mã ngược lại.
Hệ mật mã khoá công khai (bất đối xứng): là hệ mật mã mà khoá dùng để mã hoá khác khoá dùng để giải mã.
Ví dụ về hệ mật mã này các bạn có thể tìm hiểu về hệ mật mã RSA.
Với hệ mật mã này, cho dù có biết khóa dùng để mã hóa và thuật toán mã hóa, chúng ta cũng không thể giải mã được, hoặc có thể giải mã với chi phí và tài nguyên rất lớn.
Tuy nhiên phương pháp nào cũng có ưu, nhược điểm riêng của nó. Mã hóa bằng hệ mật mã khóa công khai tuy đảm bảo không thể giải mã ngay cả khi biết khóa mã hóa, nhưng thời gian mã hóa lâu hơn sử dụng hệ mật mã khóa đối xứng rất nhiều. Vì vậy, các loại ransomware thường làm như sau (ví dụ về phương pháp mã hóa của Locky):
+ Sinh ngẫu nhiên khóa Kdx, sử dụng hệ mật khóa đối xứng với khoa Kdx để mã hóa 1 file tài liệu.
+ Sau khi mã hóa 1 file tài liệu bất kì, khoá Kdx đựoc mã hóa bằng hệ mật mã khóa công khai. Giá trị sau khi mã hoá được lưu vào trường tên file.
+ Để giải mã, hacker đọc giá trị tên file để giải mã lại khóa Kdx, sau đó giải mã file bằng khóa Kdx vừa tìm được.
2. Phân tích mẫu Locky Ransomware
a. Thông tin mẫu:
md5: 3371701C6EF795E5D6B3CFC32D9B1B61
SHA-1: E77D19B10C97EEA8D46D1927D284A89CE86A7081
File size: 131 KB
File type: PE32
b. Tổng quan hành vi
Cập nhật 10/12/2016: server của virus không còn hoạt động nên virus không còn hoạt động được nữa.
+ Kết nối đến server, tải về public key RSA-2048 lưu trong registry.
+ Địa chỉ kết nối:
109.237.111.168
192.121.16.196
46.108.39.224
185.82.216.213
Sau khi gửi request thành công, duyệt tất cả các file trong máy. Kiểm tra đuôi file, nếu đuôi file là 1 trong các loại định trước thì file sẽ bị mã hóa bằng thuật toán AES.
Tạo các file txt hướng dẫn lấy lại dữ liệu.Thay đổi màn hình nền.
Tự xóa file sau khi mã hóa xong.
c. Thông tin chi tiết hành vi
Gửi request lên server để lấy public key RSA-2048
Hình 1. Mở kết nối internet và gửi request đến server
Hình 2. Download file từ server
Locky sẽ không mã hóa file nếu như không connect được đến server. Lý do chính là do mỗi máy được gán bằng một id khác nhau, do vậy request đầu tiên đến server để hacker có thể biết xác định id máy của nạn nhân cũng như máy này được sử dụng cặp private-public key nào, như vậy sau khi mã hóa locky sẽ đưa cho nạn nhân 1 đường dẫn đến nơi có thể download tool giải mã đúng với máy của mình (tất nhiên là phải trả phí trước).
Duyệt tất cả các file trong máy và kiểm tra đuôi file để mã hóa dữ liệu
+ Duyệt file:
Hình 3. Duyệt file bằng các hàm FindFirstFile, FindNextFile
Kiểm tra loại file cần mã hóa:
Hình 4. Kiểm tra đuôi file
Hình 5. Các loại file có đuôi sẽ bị mã hóa
Các loại file mà virus sẽ mã hóa: key, crt, csr, p12, pem, doc, odt, ott, sxw, stw, ppt, xls, pdf, rtf, uot, csv, txt, xml, 3ds,max, 3dm, dot, docx, docm, dotx, dotm, 602, hwp, ods, ots, sxc, stc, dif, xlc, xlm, xlt, xlw, slk, xlsb, xlsm, xlsx, xltm, xltx, wk1, wks, 123, wb2, odp, otp, sxi, sti, pps, pot,sxd, std, pptm, pptx, potm ,potx, uop, odg, otg, sxm, mml, docb,ppam, ppsx, ppsm, sldx, sldm, ms11, lay, lay6, asc, onetoc2, pst, 001, 002, 003, 004, 005, 006, 007, 008, 009, 010, 011, sqlite3, sqlitedb, sql, mdb, db, dbf, odb, frm, myd, myi, ibd, mdf,ldf, php. c, cpp, pas, asm,h, js, vb, vbs, pl, dip, dch, sch, brd, cs, asp, rb, java, jar, class, pl, sh, bat, cmd, psd, nef, tiff, tif, jpg, jpeg, cgm, raw, gif, png, bmp, svg, djvu, djv, zip, rar, 7z, gz, tgz, tar, bak, tbk, tar.bz2, paq, arc, aes, gpg, vmx, vmdk, vdi, qcow2, mp3, wav, swf, fla, wmv, mpg, vob, mpeg, asf, avi, mov, mp4, 3gp, mkv, 3g2, flv, wma, mid, m3u, m4u
Thuật toán mã hóa: AES-192 with ebc mode
Hình 6. Tham số dùng trong các hàm để mã hóa là CALG_AES_192
Để mã hóa file bằng thuật toán AES-192, locky sử dụng các hàm mã hóa mà Windows API hỗ trợ. Chi tiết về cách sử dụng, các bạn tham khảo: https://msdn.microsoft.com/en-us/lib...(v=vs.85).aspx
Sau khi mã hóa hết các file, virus thay đổi ảnh đại diện và để lại lời nhắn đến cho người sử dụng.
Hình 7. Giao diện sau khi máy tính bị mã hóa tất cả các file
Để giải mã tài liệu của mình theo hướng dẫn của hacker, các bạn có thể truy cập đường dẫn như trong ảnh và trả phí để có thể download tool giải mã về.
3. Kết luận
Trên đây là bài viết sơ lược về hành vi của locky ransomware nói riêng và kỹ thuật mã hóa dùng trong các ransomware nói chung. Hi vọng bài viết cung cấp phần nào kiến thức để mọi người hiểu rõ hơn về loại mã độc nguy hiểm này.
Bài viết liên quan
Bài viết mới