Mã độc tống tiền Locky mã hóa tập tin trên mạng chia sẻ

13:29 | 14/03/2016

Các chuyên gia an toàn thông tin vừa phát hiện mã độc tống tiền mới có tên Locky, sử dụng thuật toán mã hóa AES để mã hóa tập tin nội bộ và tập tin trên mạng chia sẻ (Network share).



Locky là dòng mã độc tống tiền thứ hai được phát hiện, có khả năng mã hóa dữ liệu trên mạng chia sẻ unmap. Điều này cho thấy các mã độc đời sau được tin tặc xây dựng có xu hướng kế thừa các tính năng của mã độc trước đó. 

Thực tế, Locky chỉ sử dụng lại những kỹ thuật giống như các mã độc khác, như khả năng thay đổi hoàn toàn tên file cho tập tin mã hóa để gây khó khăn cho việc khôi phục dữ liệu. Tính năng này đã được biết đến trước đó trên CrytoWall.

Mã độc mới Locky phát tán thông qua email giả mạo hóa đơn thanh toán, với file word đính kèm chứa macro độc hại. Khi người dùng kích hoạt macro để xem nội dung file đính kèm, đồng thời sẽ tải về Locky từ máy chủ từ xa và thực thi mã độc. Ngay lập tức, Locky bắt đầu mã hóa file trên hệ thống bị xâm nhập.

Để mã hóa, Locky tạo và chỉ định một số 16 hexa cho máy tính của nạn nhân và quét toàn bộ drive và các mạng chia sẻ unmap để tìm các tập tin sẽ mã hóa. Mã độc sử dụng thuật toán AES và chỉ nhắm tới các file có phần đuôi mở rộng đáp ứng tiêu chuẩn nhất định.

Locky sẽ bỏ qua các tập tin chứa các chuỗi dưới đây trong pathname và filename: tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot và Windows.

Toàn bộ các tập tin mã hóa được đặt lại tên tự động thành unique_id][identifier].locky với ID duy nhất và các thông tin khác cũng được nhúng vào cuối tập tin được mã hóa. Ngoài ra, mã độc sẽ xóa toàn bộ các Shadow Volume Copies (thuộc System Restore, có chức năng khôi phục dữ liệu) trên thiết bị, để ngăn cản nạn nhân khôi phục lại những tập tin của họ.

Locky để lại một thông báo đòi tiền chuộc _Locky_recover_instructions.txt trong mỗi tập tin mà nó mã hóa, cung cấp cho người dùng thông tin về điều đã xảy ra với file của họ kèm theo các đường dẫn đến trang giải mã. Ngoài ra, mã độc cũng thay đổi hình nền Desktop thành một hình ảnh .bmp cũng chứa các hướng dẫn như trong đoạn thông báo yêu cầu người dùng trả 0,5 bitcoin để khôi phục các tập tin của mình.

Locky lưu trữ thông tin trong phần đăng ký, bao gồm ID duy nhất được chỉ định cho thiết bị nạn nhân, khóa public RSA, đoạn text trong phần thông báo đòi tiền chuộc, và các thông tin về việc mã độc đã hoàn thành việc mã hóa thiết bị nạn nhân. Trang giải mã Locky Decrypter Page hiển thị thông tin về cách thức mua bitcoin để trả tiền chuộc và cung cấp mã khóa khi khoản thanh toán được gửi tới địa chỉ yêu cầu.