Kết nối với chúng tôi

GandCrab v2 là gì? Diệt virus mã hóa file .Crab tống tiền

GandCrab v2 là gì? Diệt virus mã hóa file .Crab tống tiền

Virus mã hóa dữ liệu đổi tên file thành .CRAB bùng phát tháng 3/2018

Từ đầu năm 2018 đến nay xuất hiện virus mã hóa dữ liệu ransomware đổi tên tất cả file dữ liệu thành .CRAB. Nhưng từ ngày 28 đến 29/03/2018 số lượng máy tính bị nhiễm loại virus này tăng đột biến.

Qua kiểm tra phân tích ban đầu của các chuyên gia thì đây là một biến thể của virus mã hóa dữ liệu đòi tiền chuộc. Nó vẫn yêu cầu khách hàng trả một khoản tiền để mua key giải mã dữ liệu. Thông thường mức giá mua key giải mã khoảng 350 usd.
GandCrab v2 là gì? Diệt virus mã hóa file .Crab

Có nhiều thắc mắc của người dùng về phương thức lây nhiễm của loại virus này. Qua khảo sát hiện vẫn chưa biết chính xác virus lây nhiễm qua cách nào. Như những năm trước các loại virus mã hóa ransomware này lây nhiễm qua đường email giả dạng, qua tin nhắn Facebook, các đường link chứa mã độc

Hiện tại theo một số người dùng mô tả lại có người bị nhiễm virus sau khi tải một phần mềm quen thuộc trên mạng về máy, như teamview, APC, HTKKT…

Virus GandCrab v2 là gì?

Phân tích ransomware CRAB

Dưới đây là bài viết phân tích về Ransomware CRAB để xem virus này có những hành vi và nguy hiểm như thế nào.

GandCrab v2 là gì? Diệt virus mã hóa file .Crab

Hành vi của mẫu phát tán(Worm)?

Tự động copy chính nó vào thư mục Window\M-5050876807550660607885860\winsvc.exe%. Các bạn có thể vào trong thư mục này để kiểm tra, nếu tồn tại đường dẫn này thì máy tính của bạn đã bị nhiễm mã độc này.

GandCrab v2 là gì? Diệt virus mã hóa file .Crab

Tiếp theo nó sẽ đăng ký khởi động cùng máy tính thông qua registry với tên là “Microsoft Windows Service”. Có thể thấy nó cũng rất công phu khi giả dạng tên của microsoft.

GandCrab v2 là gì? Diệt virus mã hóa file .Crab

Ngoài ra nó còn tắt các tính năng bảo vệ của windows defender

upload_2018-4-3_9-24-53.png

Phần quan trọng nhất của thành phần worm này là tải và và thực thi mẫu mã hóa dữ liệu. Một số biến thể còn cài thêm cả các mẫu đào tiền ảo. Chúng ta có thể thấy nó tải file wkl.exe từ địa chỉ
92.63.197.59
GandCrab v2 là gì? Diệt virus mã hóa file .Crab

Ngoài ra, mẫu này thực hiện phát tán thông qua usb, ổ share, như hình bên dưới chúng ta có thể thấy rõ điều này.

GandCrab v2 là gì? Diệt virus mã hóa file .Crab

Và đây là một ổ share của máy tính của mình bị nhiễm con này, tất nhiên mình đã để hiển thị file ẩn thì mới thấy tất được các file như này, đối với một máy tính người dùng bình thường thì chỉ có file icon hình ổ đĩa, nếu không cẩn thận click vào thì máy tính chúng ta sẽ bị nhiễm virus và bị mã hóa dữ liệu.

GandCrab v2 là gì? Diệt virus mã hóa file .Crab

Hành vi của mẫu ransomware?

Sau khi được mẫu worm tải và thực thi trong %temp%. Trước khi đi vào các hành vi quan trọng chúng tan quan sát tập các biến thể của mẫu này ở hình bên dưới. Có thể thấy kích thước nó rất khác nhau, nhưng khi tôi xem code của nó thì thấy chúng khá giống nhau về cấu trúc. Từ đó nhận định sơ bộ, có thể mẫu này được build bằng một công cụ nào đó để tạo ra các biến thể thể khác nhau để tránh sự nhận diện của các AV.

GandCrab v2 là gì? Diệt virus mã hóa file .Crab

Mẫu ransomware này cũng được thiết kế khá công phu, qua bao bước mình đi theo quá trình giải mã code của nó cuối cùng mình cũng tới đoạn code đẹp.
Trước khi thực hiện mã hóa, nó tìm tới các tiến trình thuộc list dưới đây và kill nó. Mục đích của việc này nhằm tránh các tiến trình giữ các handle của file nó cần mã hóa.

GandCrab v2 là gì? Diệt virus mã hóa file .Crab

Tiếp theo nó sẽ sử dụng thuật toán AES để mã hóa file và RSA để mã hóa key AES.
Nó sẽ tạo ra một 2 buffer ngẫu nhiên. Một buffer chứa 16byte làm định danh cho máy bị mã hóa và một buffer 32byte làm key AES để mã hóa file. 2 buffer này sẽ bị mã hóa bằng publickey RSA trước khi bị phá hủy.
Tất cả các file sau khi bị mã hóa sẽ bị đổi đuôi thành .CRAB

GandCrab v2 là gì? Diệt virus mã hóa file .Crab

Vậy có khôi phục được file mã hóa CRAB không ?

Làm sao với dữ liệu đã bị mã hóa thành đôi .crab

Đầu tiên phải nói rằng có thể giải mã được dữ liệu. Nhưng ở đây là giải mã chứ không phải là cứu dữ liệu gì cả. Và việc giải mã này bắt buộc phải mua key giải mã. Thông thường virus chỉ cho khách hàng 24h để mua key giải mã. Sau thời gian đó chi phí có thể bị tăng lên.
Khôi phục lại dữ liệu dường như là không thể, chúng ta hay phòng tránh bằng cách sử dụng AntiVirus, mở các file tải từ internet trong môi trường saferun. Và hay thận trọng trong việc sử dụng usb, cũng như các ổ chia sẻ dữ liệu trong mạng nội bộ.

Với nhiều người dùng đã bị virus rồi, đã bị mã hóa dữ liệu rồi thì phải là sao?

Hiện nay chưa có tool giải mã file này, bây giờ bạn cần cài ngay Chương trình duyệt virus bản quyền để bảo vệ, đồng thời sao lưu lại tất cả file đã mã hóa và đợi công cụ giải mã từ các chuyên gia trên thế giới, vì đây là phiên bản mới nên chưa có tool giải mã.

5/5 - (2 bình chọn)

Các bình luận

Cùng chuyên mục Thủ thuật máy tính

Lên trên