Vào tháng 2/2016, mạng Internet đã bị rúng động vì một loại mã độc tống tiền (ransomware) mới có tên là Locky. Theo báo cáo cho thấy mã độc tống tiền Locky đã lây lan người dùng hơn 114 quốc gia trên thế giới. Phân tích mẫu mã độc cho thấy đây là một loại Trojan hoàn toàn mới. Vậy Locky là gì và làm sao có thể chống lại mã độc này? Hãy cùng tìm hiểu.
Cách thức phát tán
Để phát tán một lọai Trojan, tin tặc thường gửi spam lượng lớn email cùng với các tệp tin đính kèm độc hại. Tệp tin đính kèm ở đây là một tệp tin văn bản .DOC chứa macro độc hại tải Locky Trojan từ máy chủ về máy tính nạn nhân và thực thi nó.
Tin nhắn rác chứa tài liệu đính kèm độc hại
Một đoạn mã của macro độc hại
Các phiên bản Microsoft Office mới thường vô hiệu hóa chạy macro tự độc vì lí do bảo mật. Tuy nhiên, thực tế cho thấy người dùng rất thường xuyên kích hoạt thủ công macro, thậm chí ngay cả trên tài liệu tải về từ nguồn không rõ ràng, dẫn đến hậu quả khó lường.
Hiện tại, tin tặc đã thay đổi các tệp tin đính kèm thành tệp tin nén ZIP chứa một hoặc nhiều đoạn mã JavaScript được làm rối nhằm che mắt người dùng. Tin nhắn rác được gửi đến thường được viết bằng tiếng Anh, cũng có một vài ngôn ngữ khác được sử dụng.
Thư rác được viết bằng tiếng Anh với một tệp tin đính kèm được nén
Thư rác được viết bằng tiếng Anh và tiếng Đức
Người dùng sẽ được thông báo khởi động các tệp tin script
Nội dung tệp tin đính kèm đã được nén
Một đoạn mã script trong tệp tin nén
Nếu được kích hoạt, đoạn mã script sẽ tải về Locky Trojan từ máy chủ trên Internet và khởi chạy nó.
Các quốc gia bị tấn công
Danh sách 10 quốc gia bị lây nhiễm nhiều nhất
Tên quốc gia | Số lượng người dùng bị tấn công |
Pháp | 469 |
Đức | 340 |
Ấn Độ | 267 |
Hoa Kỳ | 224 |
Nam Phi | 182 |
Ý | 171 |
Mexico | 159 |
Brazil | 156 |
Trung Quốc | 126 |
Việt Nam | 107 |
Cần lưu ý rằng thống kê trên chỉ bao gồm những trường hợp mã độc Locky được phát hiện bởi các công cụ diệt virus và không bao gồm các phát hiện giai đoạn đầu như thư rác hoặc các phần mềm độc hại tự động tải mã độc.
Cách thức hoạt động
Locky Trojan là một tệp tin thực thi, có dung lượng khoảng 100 kb. Nó được viết bằng ngôn ngữ C sử dụng STL và được biên dịch bởi Microsoft Visual Studio. Khi được khởi động, mã độc sẽ tự sao chép đến %TEMP%\svchost.exe và xóa luồng dữ liệu NTFS trên ổ đĩa cứng – điều này được thực hiện nhằm đảm bảo khi thực thi, Windows không hiển thị cảnh báo rằng tệp tin được tải về từ Internet và có thể gây nguy hiểm. Trojan Locky sẽ được chạy từ thư mục %TEMP%.
Mã độc sẽ kiểm tra sự tồn tại và nội dung của các khóa registry sau:
Đường dẫn | Kiểu | Giá trị |
HKEY_CURRENT_USER\Software\Locky\id | REG_SZ | Infection ID |
HKEY_CURRENT_USER\Software\Locky\pubkey | REG_BINARY | Public RSA key in MSBLOB format |
HKEY_CURRENT_USER\Software\Locky\paytext | REG_BINARY | Text shown to the victim |
HKEY_CURRENT_USER\Software\Locky\completed | REG_DWORD | Status (whether encryption is completed) |
Nếu dữ liệu trên tồn tại trong các khóa registry (có nghĩa là Trojan này đã từng được chạy nhưng bị dừng lại vì lí do nào đó), Locky sẽ đọc dữ liệu và tiếp tục quá trình lây nhiễm. Với lần chạy đầu tiên, Locky sẽ thực hiện các hành vi sau:
- Liên lạc với máy chủ điều khiển C