Cẩn trọng với WCry ransomware được lây nhiễm thông qua các khai thác của NSA bị Shadow Brokers rò rỉ gần đây

By | 3:34 pm | 13/05/2017

 

Về WCry ransomware

WCry ransomware (WNCry, WannaCry, WanaCrypt0r hoặc Wana Decrypt0r) viết bằng C++, được phát hiện vào đầu tháng 2 năm 2017 đã lây nhiễm hàng chục nghìn hệ thống trên toàn cầu bao gồm cả NHS Vương quốc Anh (Sở y tế quốc gia) và Telefonica (nhà cung cấp băng thông rộng và viễn thông đa quốc gia Tây Ban Nha).

C_omHBLW0AEuNG9.jpg large

16 tổ chức NHS đã báo cáo rằng họ bị ảnh hưởng bởi ransomware này

Theo một báo cáo, Công ty viễn thông Tây Ban Nha Telefonica là một nạn nhân của WCry

trong gần 2 giờ đồng hồ scan, đã phát hiện ra có rất nhiều nạn nhân từ 11 quốc gia, trong đó có Việt Nam

Giống như hầu hết các chương trình ransomware khác, WCry đổi tên các tệp tin mà nó mã hóa, và thêm phần mở rộng .WCRY. Khi lây nhiễm vào một hệ thống, nó hiển thị một thông điệp, yêu cầu người dùng phải trả 300$ bitcoins để khôi phục các tệp tin:

wcry_ransomnote-730x555

WCry nhắm đến các hệ thống trên toàn cầu, nó cung cấp thông điệp với hơn 20 ngôn ngữ

Thông điệp WCry ransomware với hơn 20 ngôn ngữ, trong đó có Việt Nam:
Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish, Vietnamese

Cách thức WCry lây nhiễm:

Hiện tại, WCry chủ yếu lan truyền thông qua các khai thác của NSA mà nhóm Shadow Brokers đã công khai gần đây. Cụ thể hơn, nhà nghiên cứu người Pháp, Kaffine là người đầu tiên nghi ngờ WCry được lan truyền thông qua khai thác ETERNALBLUE.

ETERNALBLUE lợi dụng lỗ hổng trong giao thức Microsoft SMBv1, cho phép kẻ tấn công kiểm soát các hệ thống mà:

  • Có thể bật giao thức SMBv1
  • Có thể truy cập được từ Internet
  • Không cập nhật bản vá bởi MS17-010 được Microsoft phát hành vào hồi tháng 3 vừa qua

Ngoài ra, WCry cũng lợi dụng DOUBLESPEAR, một backdoor thường được cài đặt thông qua khai thác ETERNALBLUE và duy trì trên hệ thống. Vì vậy, nếu hệ thống đã bị ETERNALBLUE xâm nhập trước đây, thì rất có thể hệ thống vẫn còn dễ bị tổn thương, ngay cả khi lỗ hổng SMBv1 được vá.

Bản thực thi WCry dưới định dạng ZIP chứa tất cả các thành phần ransomeware cần thiết. Khi thực thi, WCry sẽ giải nén các thành phần của nó lên thư mục thực thi sử dụng mật khẩu cứng “WNcry@2ol7”. Kiểm tra file ZIP thấy một số tệp sau:

  • b.wnry – hình nền Ransom
  • c.wnry – File cấu hình chứa địa chỉ máy chủ C&C, BitCoin Wallet…
  • r.wnry – Ransom note
  • s.wnry – File ZIP chứa TOR client.
  • t.wnry – Phần mã hóa của ransomware được mã hóa sử dụng định dạng WanaCry; Có thể được giải mã bằng cách sử dụng khóa bí mật được nhúng bên trong ransomware.
  • u.wnry – Decrypter executable
  • Taskdl.exe – Xoá tất cả các tập tin tạm được tạo ra trong quá trình mã hóa (.WNCRYT)
  • Taskse.exe – Chạy chương trình trong tất cả các phiên người dùng
  • Msg \ * – Các tệp tin ngôn ngữ (hiện có 28 ngôn ngữ khác nhau)

Ngoài ra nó còn tạo ra một vài tệp tin bổ sung trong quá trình thực thi:

  • 00000000.eky – Khóa mã hóa cho tệp t.wnry, chứa các thành phần mã hóa thực tế được sử dụng bởi ransomware. Nó được mã hóa bằng khóa công khai tương ứng của khóa bí mật được nhúng bên trong ransomware.
  • 00000000.pky – Khóa công khai được sử dụng để mã hóa các khóa AES được sinh ra (khóa AES được sử dụng để mã hóa các tệp của người dùng)
  • 00000000.res – Kết quả truyền thông C&C

WCry sinh khóa và mã hóa:

WCry sử dụng kết hợp RSA và AES-128-CBC để mã hóa dữ liệu của người dùng. Nó sử dụng Windows CryptoAPI cho RSA, và thực hiện tùy chỉnh cho mã hóa AES.

Thủ tục mã hóa được lưu trữ ở trong một thành phần riêng biệt bên trong tập tin t.wnry, và nó được mã hóa bằng cách sử dụng cùng một phương pháp mà ransomware mã hóa các tệp tin người dùng. Điều này làm cho phân tích phần mềm độc hại khó khăn hơn. Mô-đun được nạp vào bộ nhớ sử dụng trình nạp tùy chỉnh và được thực thi từ đó, mà không cần phải ghi lên đĩa của người dùng.

Khi WCry xâm nhập hệ thống, đầu tiên nó sẽ import một khóa bí mật RSA được mã hóa cứng được sử dụng để giải mã các thành phần mã hóa tập tin được lưu trữ trong “t.wnry”. Sau khi hoàn thành, ransomware sẽ sinh ra một khóa bí mật RSA mới. Khóa RSA đó sau đó được gửi tới máy chủ C&C của WCry và một bản copy của khoá công khai được sinh ra được lưu trữ trên hệ thống.

Các ransomware sau đó tìm kiếm tất cả các ổ đĩa có sẵn và network shares cho các tệp tin với một trong những phần mở rộng sau đây:

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .db, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cs, .cpp, .pas, .asm, .js, .cmd, .bat, .ps1, .vbs, .vb, .pl, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .rb, .java, .jar, .class, .sh, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .ai, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .7z, .gz, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc, .c, .h

Khi hoàn tất, malware sẽ sinh ra một khóa AES 128 bit mới cho mọi tệp tin mà nó tìm thấy, cùng với một tệp “WANACRY”. Khóa AES sau đó được sử dụng để mã hóa nội dung của tệp.

Sau khi đánh giá cách WCry thực hiện mã hóa của nó, Không có cách nào để khôi phục các tệp được mã hóa mà không truy cập vào khoá bí mật do ransomware tạo ra. Vì vậy, không có khả năng có chương trình miễn phí giải mã các tệp tin dành cho các người dùng.

Cách bảo vệ khỏi WCry:

Cách duy nhất để có được dữ liệu trở lại là thông qua sự giúp đỡ của tác giả ransomware hoặc thông qua khôi phục lại từ bản sao lưu.

Đảm bảo cài đặt các bản cập nhật Windows cũng là một bước rất quan trọng trong việc bảo vệ hệ thống, WCry dường như chỉ lây lan thông qua việc khai thác SMBv1 hiện đã được vá trong bản cập nhật 2 tháng trước của Microsoft.

Theo blog.emsisoft.com

Các tệp tin WCry giải nén ra trong thư mục thực thi:

  • @Please_Read_Me@.txt – Có trong tất cả các folder chứa các file được mã hóa
  • @WanaDecryptor@.exe.lnk – Có trong tất cả các folder chứa các file được mã hóa
  • %DESKTOP%\@WanaDecryptor@.bmp
  • %DESKTOP%\@WanaDecryptor@.exe
  • %APPDATA%\tor\cached-certs
  • %APPDATA%\tor\cached-microdesc-consensus
  • %APPDATA%\tor\cached-microdescs.new
  • %APPDATA%\tor\lock
  • %APPDATA%\tor\state
  • <ransomware directory>\00000000.eky
  • <ransomware directory>\00000000.pky
  • <ransomware directory>\00000000.res
  • <ransomware directory>\@WanaDecryptor@.bmp
  • <ransomware directory>\@WanaDecryptor@.exe
  • <ransomware directory>\b.wnry
  • <ransomware directory>\c.wnry
  • <ransomware directory>\f.wnry
  • <ransomware directory>\msg\m_bulgarian.wnry
  • <ransomware directory>\msg\m_chinese (simplified).wnry
  • <ransomware directory>\msg\m_chinese (traditional).wnry
  • <ransomware directory>\msg\m_croatian.wnry
  • <ransomware directory>\msg\m_czech.wnry
  • <ransomware directory>\msg\m_danish.wnry
  • <ransomware directory>\msg\m_dutch.wnry
  • <ransomware directory>\msg\m_english.wnry
  • <ransomware directory>\msg\m_filipino.wnry
  • <ransomware directory>\msg\m_finnish.wnry
  • <ransomware directory>\msg\m_french.wnry
  • <ransomware directory>\msg\m_german.wnry
  • <ransomware directory>\msg\m_greek.wnry
  • <ransomware directory>\msg\m_indonesian.wnry
  • <ransomware directory>\msg\m_italian.wnry
  • <ransomware directory>\msg\m_japanese.wnry
  • <ransomware directory>\msg\m_korean.wnry
  • <ransomware directory>\msg\m_latvian.wnry
  • <ransomware directory>\msg\m_norwegian.wnry
  • <ransomware directory>\msg\m_polish.wnry
  • <ransomware directory>\msg\m_portuguese.wnry
  • <ransomware directory>\msg\m_romanian.wnry
  • <ransomware directory>\msg\m_russian.wnry
  • <ransomware directory>\msg\m_slovak.wnry
  • <ransomware directory>\msg\m_spanish.wnry
  • <ransomware directory>\msg\m_swedish.wnry
  • <ransomware directory>\msg\m_turkish.wnry
  • <ransomware directory>\msg\m_vietnamese.wnry
  • <ransomware directory>\r.wnry
  • <ransomware directory>\s.wnry
  • <ransomware directory>\t.wnry
  • <ransomware directory>\TaskData\Tor\libeay32.dll
  • <ransomware directory>\TaskData\Tor\libevent-2-0-5.dll
  • <ransomware directory>\TaskData\Tor\libevent_core-2-0-5.dll
  • <ransomware directory>\TaskData\Tor\libevent_extra-2-0-5.dll
  • <ransomware directory>\TaskData\Tor\libgcc_s_sjlj-1.dll
  • <ransomware directory>\TaskData\Tor\libssp-0.dll
  • <ransomware directory>\TaskData\Tor\ssleay32.dll
  • <ransomware directory>\TaskData\Tor\taskhsvc.exe
  • <ransomware directory>\TaskData\Tor\tor.exe
  • <ransomware directory>\TaskData\Tor\zlib1.dll
  • <ransomware directory>\taskdl.exe
  • <ransomware directory>\taskse.exe
  • <ransomware directory>\u.wnry
  • C:\@WanaDecryptor@.exe