Mã độc ransomware RAA mới, được tạo ra hoàn toàn từ Javascript

By | 10:30 am | 20/06/2016

Một mã độc ransomware mới được phát hiện có tên là RAA sử dụng 100% JavaScript. Mã độc sử dụng thư viện CrytoJS mã hóa các tệp tin trên máy nạn nhân bằng thuật toán AES.

Hiện tại RAA đang được phát tán qua email với tên file đính kèm như mgJaXnwanxlS_doc_.js. Khi lây nhiễm trên máy nạn nhân, hacker sẽ đòi khoảng $250 USD tiền chuộc. Hơn nữa, RAA còn triển khai một mã độc đánh cắp mật khẩu có tên Pony từ tệp tin JS và cài đặt lên máy tính của nạn nhân.

RAA mã hóa tệp tin trên máy nạn nhân như thế nào?

Khi nạn nhân kích đúp vào RAA, RAA sẽ tạo ra một file word giả mạo trong thư mục %MyDocuments%, các file word sẽ có tên là doc_attached_CnIj4 và tự động mở, nội dung giống như hình dưới

Đính kèm giả mạo

Đính kèm giả mạo

Mã độc RAA sẽ bắt đầu ngầm quét toàn bộ ổ đĩa khả dụng và xác định quyền đọc ghi của người dùng. Nếu ổ đĩa có quyền ghi, RAA sẽ quét các loại tệp tin định sẵn và sử dụng thư viện CryptoJS mã hóa chúng bằng thuật toán AES.

Hàm mã hóa AES

Hàm mã hóa AES

Các file mã hóa sẽ có phần mở rộng là .locked. Các tệp tin thuộc mục tiêu tấn công bao gồm:

.doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .lcd, .zip, .rar, .csv

RAA xóa phân vùng Windows Volume Shadow Copy Service (VSS) do đó không thể khôi phục lại dữ liệu từ phân vùng này.

Xóa VSS

Xóa VSS

Cuối cùng, RAA sẽ thông báo tới nạn nhân bằng file có tên: !!!README!!![id].rtf với ID là mã số của từng nạn nhân.

RAA Ransom thông báo đòi tiền chuộc

RAA Ransom thông báo đòi tiền chuộc

RAA cài thêm trojan đánh cắp mật khẩu Pony

Thay vì download Pony từ internet, hacker đã chuyển đổi mã độc Pony thành một chuỗi mã hóa base64, rồi nhúng vào file JS.

Hình ảnh dưới đây cho thấy một phần của tệp tin đã được mã hóa thành biến data_pn

Đoạn mã làm rối dùng để cài đặt Pony

Đoạn mã làm rối dùng để cài đặt Pony

Khi hàm này thực thi, data_pn sẽ giải mã thành dạng gốc và lưu trong %MyDocuments%\st.exe. Mã độc Pony sẽ được thực thi.

Giải mã đoạn mã cài đặt Pony

Giải mã đoạn mã cài đặt Pony

Do tệp tin JS được thiết đặt tự động chạy, Pony cũng sẽ được tự động cài đặt mỗi khi người dùng đăng nhập vào máy tính.

Hiện tại loại mã độc này có xu hướng chỉ tấn công người dùng sử dụng ngôn ngữ Nga. Tuy nhiên, tin tặc sẽ sớm phát triển và phát tán RAA ra phạm vi toàn cầu.

Các file liên quan tới RAA ransomware

%Desktop%\!!!README!!![id].rtf
%MyDocuments%\doc_attached_[random_chars]
%MyDocuments%\st.exe

 

Bản ghi registry lên quan tới RAA ransomware

HKCU\RAA\Raa-fnl
HKCU\Software\Microsoft\Windows\CurrentVersion\Run @ = "[path_to_JS_file]"

 

Bài tham khảo: http://www.bleepingcomputer.com/news/security/the-new-raa-ransomware-is-created-entirely-using-javascript/

VNPT | Powered by TT ATTT