Phát hiện ransomware mới không chỉ mã hóa tệp mà còn giúp ‘dọn dẹp’ hệ thống

Rxomware vxCrypter có lẽ là loại ransomware đầu tiên trên thế giới không chỉ mã hóa dữ liệu của nạn nhân mà còn giúp dọn dẹp luôn cả máy tính của họ bằng cách xóa bớt các tệp trùng lặp trên hệ thống.

Trong tuần trước, các nhà nghiên cứu bảo mật của BleepingComputer đã phát hiện ra một ransomware mới có tên vxCrypter hiện đang được phát triển và lây lan trên toàn cầu. Đây là một ransomware .NET và được xây dựng dựa trên một ransomware cũ chưa bao giờ được phát tán, gọi là vxLock.

vxCrypter

Danh sách gần 600 địa chỉ MAC bị nhắm mục tiêu trong vụ hack hàng triệu người dùng máy tính ASUS gần đây

Khi lần đầu tiên thử nghiệm phần mềm ransomware này, các nhà nghiên cứu nhận thấy rằng bên cạnh việc mã hóa dữ liệu hệ thống như cách thức thông thường mà các mã độc tống tiền vẫn thường làm, nó còn tiến hành xóa bỏ mọi tệp trùng lặp trong thư mục và chỉ để lại một tệp duy nhất, như được minh họa trong các hình ảnh bên dưới. Theo nhận định của các chuyên gia thì nhiều khả năng đây chỉ là một lỗi xảy ra trong quy trình mã hóa bởi như đã nói, phần mềm ransomware này vẫn đang trong giai đoạn phát triển hoàn thiện, do đó nếu có xảy ra sai sót thì cũng là điều dễ hiểu.

Ransomware xóa bỏ mọi tệp trùng lặp trong thư mục và chỉ để lại một tệp duy nhất

Sau khi đã tiến hành một số thử nghiệm cần thiết, nhà nghiên cứu bảo mật Michael Gillespie cho biết rằng hành vi xóa tệp này là có chủ đích vì ransomware thực chất đang xóa bỏ các tệp trùng lặp chứ không hề xóa bừa. Hơn nữa, đây cũng là phần mềm ransomware đầu tiên trên thế giới được ghi nhận có hành vi lạ lùng này.

Khi phân tích ransomware, Michael Gillespie nhận thấy rằng nó sẽ theo dõi các hàm băm SHA256 của mỗi tệp bị mã hóa. Vì ransomware đã mã hóa nhiều tệp khác nhau trên hệ thống, do vậy, nếu nó gặp phải hàm băm SHA256 tương tự (trùng lặp), nó sẽ xóa tệp đó ngay lập tức thay vì giải mã.

Khi phân tích ransomware, Michael Gillespie nhận thấy rằng nó sẽ theo dõi các hàm băm SHA256 của mỗi tệp bị mã hóa

Tuy nhiên cũng cần lưu ý rằng ransomware này chỉ xóa những tệp trùng lặp sở hữu các phần mở rộng đuôi mà ngay từ đầu nó đã nhắm mục tiêu để mã hóa, bao gồm:

.txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .sqlite, .odt, .jpg, .jpeg, .bmp, .gif, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .xsd, .cpp, .c, .h, .hpp, .htm, .py, .reg, .rb, .pl, .zip, .rar, .tgz, .key, .jsp, .db, .sqlite3, .sqlitedb, .bat, .bak, .7z, .avi, .fla, .flv, .java, .mpeg, .pem, .wmv, .tar, .tgz, .tiff, .tif

Đối với các tệp ở định dạng khác ngoài danh sách trên, chẳng hạn như .exe hoặc .dll, tệp trùng lặp sẽ vẫn sẽ được giữ nguyên.

Hiện các nhà nghiên cứu vẫn chưa thể khẳng định chính xác sao ransomware vxCrypter lại làm điều này, giả thiết hợp lý nhất lúc này đó là việc xóa tệp trùng lặp là một cách có thể giúp mã độc tăng tốc độ mã hóa dữ liệu trên hệ thống. Bên cạnh đó, hành vi của vxCrypter cũng là một lời cảnh báo về việc chúng ta phải thực sự cảnh giác trong bối cảnh mà những kẻ tấn công tiếp tục phát triển phần mềm độc hại chứa đựng nhiều hành vi khác lạ để tăng hiệu suất gây thiệt hại của mã độc lên gấp bội.

Thứ Ba, 02/04/2019 21:46
53 👨 463