Category Archives: Uncategorized

Mã độc CTBLocker mới chuyên tống tiền xuất hiện tại Việt Nam

Từ trưa ngày 21/01/2015, tôi bắt đầu nhận được một số lời đề nghị trợ giúp về việc hệ thống mạng máy tính của một số cơ quan trong đó có cả ngân hàng lớn tại Việt Nam bị nhiễm một mã độc mới.
Khi lây nhiễm được vào máy tính của nạn nhân, mã độc quét toàn bộ ổ đĩa của máy tính và tiến hành mã hoá các file bằng mã hoá khoá công khai (public key cryptography). Hầu hết các file quan trọng trên máy tính (định dạng .doc, pdf, xls, jpg, zip…) sẽ không thể mở được nữa. Việc này đi kèm với 1 thông báo trên Desktop đòi tiền chuộc nếu muốn giải mã những file của nạn nhân. Để giải mã được các file này bắt buộc phải có khoá bí mật (private key) mà chỉ có kẻ phát tán mới có. Điều này có nghĩa là chúng ta không thể khôi phục lại được các file đã bị mã hoá trừ khi chấp nhận trả tiền cho chúng.
f0
Các file trên máy đã bị mã hoá
f1
Xuất hiện thông báo đòi tiền chuộc trên Desktop
Hoạt động của mã độc
Câu chuyện bắt đầu khi nạn nhân nhận được 1 email có chứa file đính kèm và người dùng tưởng là 1 file văn bản.
f2
Bản chất file đính kèm là một file độc hại. Tuy nhiên nó không phải là con mã độc tống tiền CTBLocker, mà là 1 con downloader, có định dạng .scr (Screen Saver), và tên trùng với tên file được đính kèm trong mail.
f3
Con downloader sẽ kích hoạt WordPad để hiển thị một file văn bản, đúng với nội dung trong email. Điều này khiến người dùng nghĩ rằng file đính kèm này chứa văn bản thật.
f51
Tuy nhiên, nhiệm vụ chính của downloader là tải các file độc hại khác xuống. Trong trường hợp này, nó kết nối tới máy chủ  sẽ tải xuống 1 file .exe
f4
Con 24967891.exe tiếp tục “đẻ” ra 2 file là dvnoijl.job và qechhwi.exe (Tên file có thể khác nhau trên các máy tính khác nhau)
f5
Con qechhwi.exe mới là nhân vật chính của chúng ta, nhiệm vụ của nó là mã hoá tất cả các file .doc, pdf, xls, jpg, zip… trên máy tính của nạn nhân, sau đó hiển thị thông báo doạ nạt và tống tiền.
f6
Mã độc mở các thư mục và mã hoá file
f7
Kẻ tống tiền sử dụng hệ thống TOR (The Onion Router) để kết nối máy nạn nhân với máy chủ điều khiển
Chúng ta nên làm gì ?
Thực tế, khi bị mã hoá, chúng ta không có cách nào giải mã được các file nếu như không có khoá. Vì vậy, nhiều người đã bắt buộc phải trả tiền cho kẻ phát tán để lấy lại những file quan trọng của mình. Trong trường hợp này thì “phòng cháy hơn chữa cháy”.
Để không bị lây nhiễm những mã độc tống tiền chúng ta nên:
– Trang bị cho mình một phần mềm diệt virus cập nhật thường xuyên. Chúng ta có thể sử dụng phần mềm miễn phí đủ tốt của Microsoft là Windows Defender (Windows 8) và Microsoft Security Essentials (Windows 7 trở xuống). Hoặc chúng ta có thể mua các phần mềm diệt virus khác để có thể hỗ trợ kỹ thuật.
– Cảnh giác với các file đính kèm trong email. Tốt nhất là không mở file đối với email gửi từ người lạ.
– Chỉ tải các file cài đặt từ website chính gốc
– Không bấm vào các đường link nhận được qua chat hay email
– Thường xuyên backup các file tài liệu của mình

Một chiến dịch HTML Phishing mạo danh Paypal

HTML Phishing là 1 chiêu nhằm vượt qua cơ chế kiểm duyệt của các anti-virus hoặc các anti-spam. Trong đó các email lừa đảo không chưa bất kỳ một mã độc nào cũng như các link độc nào cả. Đơn giản là các email này chỉ đính kèm 1 file htm tưởng như vô hại.

Dưới đây là 1 chiến dịch mạo danh Paypal, trong đó kẻ tấn công đã sử dụng file htm đính kèm

1

Theo nguyên tắc thông thường thì file Attachment.htm này thực sự là “sạch”. Không chứa bất kỳ đoạn mã khai thác nào đáng nghi ngờ đối với Norton cả.

Thử kiểm tra với các phần mềm AV khác thì ta có thể thấy tỉ lệ phát hiện đây là mã độc rất thấp, chỉ có 7/50 phần mềm cảnh báo đây là mã độc

1a

Khi mở file htm ra nạn nhân sẽ thấy 1 giao diện rất “gần gũi” với nội dung email, là cảnh báo về vấn đề mất an toàn và đề nghị cập nhật lại thông tin account.

3

Những thông tin nếu submit, tất nhiên sẽ không được gửi đến server của Paypal, mà được gửi đến máy chủ của hacker. Các thông tin về thẻ tín dụng của nạn nhân sẽ được hacker lưu lại và tìm cách chiếm đoạt tiền trong tài khoản của nạn nhân.

4

Máy tính phát tán mail phishing này có vẻ như nằm tại Hong Kong. Đây có thể là máy của hacker nhưng cũng có thể là máy của 1 nạn nhân nào đó bị hacker lợi dụng.

5

Sử dụng công cụ đặt lịch để phát tán thư rác

Các hãng như Google hay Yahoo hiện nay có cung cấp dịch vụ Calendar (calendar.yahoo.com hoặc google.com/calendar). Khi 1 người đặt lịch làm việc với một số người khác, theo nguyên tắc, 1 email thông báo sẽ được gửi tới những người nằm trong danh sách được mời họp. Lợi dụng đặc điểm của tính năng calendar này, nhiều kẻ đã tiến hành “đặt lịch” với cuộc họp có nội dung là spam hoặc phishing để gửi tới các nạn nhân, là những người “được” mời họp.

1Một email lừa đảo lợi dụng Calendar

Vì có định dạng calendar, nên các email này có thể thoát được cơ chế chặn spam của các nhà cung cấp dịch vụ email. Thậm chí hacker còn có thể đặt “lịch họp” định kỳ, điều này khiến cho các thư spam được gửi liên tiếp tới nạn nhân, ví dụ như 1 tuần 2 lần, gây khó chịu cho họ.

2Một spam hàng tuần gửi cho nạn nhân

Phân tích thêm 1 chút từ 1 thư “mời họp”

3

Thực tế thì chiêu này không mới, có thể 1 số hãng cung cấp email đã lọc được các thư kiểu này và cho vào thùng rác, tuy nhiên vẫn có nhiều mail bị lọt. Nếu không để ý thì vẫn có thể bị lợi dụng vì nội dung lừa đảo trong các mail rất đa dạng.