Cảnh báo một biến thể mới của Ransomware Globelmposter1.0

30/10/2018

Nhóm bảo mật Sangfor gần đây đã phát hiện ra rằng một số khách hàng đã bị một cuộc tấn công từ một loại ransomware cụ thể. Nghiên cứu cho thấy rằng tập tin độc hại này là một biến thể mới của ransomware Globelmposter1.0.

Globelmposter1.0 ransomware xuất hiện lần đầu vào tháng 5 năm 2017 và lây lan qua email lừa đảo. Các biến thể được phát hiện nhanh chóng và các tệp được mã hóa đã được giải mã. Tháng 2 năm 2018 các cuộc tấn công ransomware của Globelmposter2.0 bùng phát trở lại tại các bệnh viện lớn sử dụng các phương pháp tấn công khác nhau và lây lan qua mạng xã hội, RDP brute-force hoặc phần mềm độc hại đi kèm. Liên tục thay đổi các phần mở rộng tập tin làm cho nó đặc biệt khó phát hiện, tập tin được mã hóa sau các phần mở rộng .TECHNO, .DOC, .CHAK, .FREEMAN và .TRUE và các phần mở rộng mới nhất được phát hiện .FREEMAN, ALC0, ALC02, ALC03 và .RESERVE

Các biến thể gần đây nhất của gia đình ransomware Globelmposter2.0 áp dụng thuật toán RSA 2048 và cho đến nay không có công cụ nào có khả năng giải mã các tệp được mã hóa với phần mở rộng tệp .RESERVE.
1.pngGlobelmposter2.0 drops một tệp html với tên "how_to_back_files" trong thư mục tương ứng với ID nạn nhân và thông tin liên hệ của tin tặc chứa trong tệp.

2.png
Phân tích mẫu

Phần mềm này về cơ bản là một chương trình win32.exe được mã hóa vào ngày 3 tháng 4 năm 2018. 
Khi nạn nhân chạy chương trình, nó tự sao chép vào thư mục% LOCALAPPDATA% hoặc% APPDATA% và tập tin gốc sẽ bị xóa.
3.jpg
4.png
Registry

Sau khi ransomware tự sao chép vào thư mục% LOCALAPPDATA% hoặc% APPDATA%, nó bắt đầu tự thêm vào registry như: HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ RunOnce \\ BrowserUpdateCheck. Sau đó nó cho phép tự động chạy khi máy tính bị xâm nhập khởi động lại.
5.pngCác đối tượng được mã hóa

Globelmposter2.0 mã hóa 3 loại đĩa: đĩa di động, đĩa cứng và đám mây.
6.jpg
Nó sẽ bỏ qua một số tệp trong quá trình mã hóa để đảm bảo hoạt động bình thường của hệ thống bị xâm nhập. Sau đây là các thư mục được mã hóa:
7.jpg
Phương pháp mã hóa

Globelmposter2.0 tạo khóa riêng dựa trên thuật toán RSA và mã hóa các tệp bằng khóa công khai được mã hóa cứng. Sau khi mã hóa, bản mã được chuyển thành mã ASCII, sau đó được ghi vào đường dẫn biến% PUBLIC% hoặc% ALLUSERSPROFILE%. Khóa cá nhân được tạo với thông tin ID xuất hiện như sau:
8.pngGlobelmposter2.0 mã hóa các tập tin với thuật toán RSA và một tập hợp các cặp khóa 128 bit được tạo ngẫu nhiên bởi CryptGenRandom. Tiếp theo, khóa công cộng 256-bit được mã hóa cứng tạo ra khóa riêng tương ứng. Cuối cùng, một ID nạn nhân được tạo ra và phần mềm ransomware mã hóa các thư mục tương ứng và nối thêm các tệp được mã hóa với phần mở rộng tệp. Tệp chứa ID nạn nhân sẽ được ghi vào thư mục được mã hóa như hình dưới đây:
Các ransomware giải mã các tập tin bat và lưu trữ chúng trong một thư mục tạm thời chạy kịch bản sau đây:

9.jpg
Hành vi tiềm ẩn

Phần mềm ransomware giải mã các tệp bat và lưu trữ chúng trong một thư mục tạm thời chạy tập lệnh sau:
10.png
Các chức năng của kịch bản lệnh bat :
1. Xóa khối lượng ổ đĩa 
2. Xóa thông tin của kết nối máy tính từ xa 
3. Xóa các bản ghi 
Globelmposter2.0 thỉnh thoảng không xóa các bản ghi do lỗi ngữ pháp trong tập lệnh.
11.png

Giải pháp:

1. Thay đổi và tăng cường mật khẩu máy tính của bạn và không sử dụng cùng một mật khẩu cho các máy tính khác nhau để tránh làm ảnh hưởng đến một loạt các máy tính.

2. Tắt RDP nếu RDP không cần thiết cho doanh nghiệp. Khi máy tính bị tấn công, khuyến nghị chặn cổng 3389 và các cổng khác để ngăn chặn phần mềm ransomware lây lan.

3. Hiện tại Sangfor đã phát triển một công cụ chống bot mới có thể được tải xuống bằng cách nhấn vào đây: go.sangfor.com/edr-tool-20180824

                                                                                                      (Theo Phòng nghiệp Vụ)