Home / Security / Virus/Malware / Phân tích ransomware CRAB

Phân tích ransomware CRAB

Thời gian gần đây chúng ta thường thấy bùng phát virus mã hóa dữ liệu Ransomware CRAB. Rất nhiều người đã bị mã hóa và không lấy lại được file cũ. Dưới đây là bài viết phân tích về Ransomware CRAB để xem virus này có những hành vi và nguy hiểm như thế nào.

upload_2018-4-3_9-22-18.png

Hành vi của mẫu phát tán(Worm)?

Tự động copy chính nó vào thư mục Window\M-5050876807550660607885860\winsvc.exe%. Các bạn có thể vào trong thư mục này để kiểm tra, nếu tồn tại đường dẫn này thì máy tính của bạn đã bị nhiễm mã độc này.

upload_2018-4-3_9-24-33.png

Tiếp theo nó sẽ đăng ký khởi động cùng máy tính thông qua registry với tên là “Microsoft Windows Service”. Có thể thấy nó cũng rất công phu khi giả dạng tên của microsoft.

upload_2018-4-3_9-24-42.png

Ngoài ra nó còn tắt các tính năng bảo vệ của windows defender

upload_2018-4-3_9-24-53.png

Phần quan trọng nhất của thành phần worm này là tải và và thực thi mẫu mã hóa dữ liệu. Một số biến thể còn cài thêm cả các mẫu đào tiền ảo. Chúng ta có thể thấy nó tải file wkl.exe từ địa chỉ
92.63.197.59
upload_2018-4-3_9-25-6.png

Ngoài ra, mẫu này thực hiện phát tán thông qua usb, ổ share, như hình bên dưới chúng ta có thể thấy rõ điều này.

upload_2018-4-3_9-25-17.png

Và đây là một ổ share của máy tính của mình bị nhiễm con này, tất nhiên mình đã để hiển thị file ẩn thì mới thấy tất được các file như này, đối với một máy tính người dùng bình thường thì chỉ có file icon hình ổ đĩa, nếu không cẩn thận click vào thì máy tính chúng ta sẽ bị nhiễm virus và bị mã hóa dữ liệu.

upload_2018-4-3_9-25-27.png

Hành vi của mẫu ransomware?

Sau khi được mẫu worm tải và thực thi trong %temp%. Trước khi đi vào các hành vi quan trọng chúng tan quan sát tập các biến thể của mẫu này ở hình bên dưới. Có thể thấy kích thước nó rất khác nhau, nhưng khi tôi xem code của nó thì thấy chúng khá giống nhau về cấu trúc. Từ đó nhận định sơ bộ, có thể mẫu này được build bằng một công cụ nào đó để tạo ra các biến thể thể khác nhau để tránh sự nhận diện của các AV.

upload_2018-4-3_9-26-0.png

Mẫu ransomware này cũng được thiết kế khá công phu, qua bao bước mình đi theo quá trình giải mã code của nó cuối cùng mình cũng tới đoạn code đẹp.
Trước khi thực hiện mã hóa, nó tìm tới các tiến trình thuộc list dưới đây và kill nó. Mục đích của việc này nhằm tránh các tiến trình giữ các handle của file nó cần mã hóa.

upload_2018-4-3_9-26-13.png

Tiếp theo nó sẽ sử dụng thuật toán AES để mã hóa file và RSA để mã hóa key AES.
Nó sẽ tạo ra một 2 buffer ngẫu nhiên. Một buffer chứa 16byte làm định danh cho máy bị mã hóa và một buffer 32byte làm key AES để mã hóa file. 2 buffer này sẽ bị mã hóa bằng publickey RSA trước khi bị phá hủy.
Tất cả các file sau khi bị mã hóa sẽ bị đổi đuôi thành .CRAB

upload_2018-4-3_9-26-27.png

Vậy có khôi phục được file mã hóa CRAB không ?

Khôi phục lại dữ liệu dường như là không thể, chúng ta hay phòng tránh bằng cách sử dụng AntiVirus, mở các file tải từ internet trong môi trường saferun. Và hay thận trọng trong việc sử dụng usb, cũng như các ổ chia sẻ dữ liệu trong mạng nội bộ.

5 (100%) 3 votes

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *