Thứ 4, ngày 28 tháng 9 năm 2022

Mã độc xóa cả ổ cứng tránh bị nhận dạng

08/05/2015 08:29 GMT+7
Một khi mã độc Romertik "nổi giận", nó hủy cả ổ đĩa cứng bằng nhiều phương thức

TTO - Trò mèo vờn chuột giữa tội phạm mạng và bảo mật tiếp tục với loại mã độc Rombertik, có khả năng xóa toàn bộ ổ cứng nhằm tránh bị nhận diện.

Một khi mã độc Romertik
Một khi mã độc Romertik "nổi giận", nó hủy cả ổ đĩa cứng bằng nhiều phương thức - Ảnh: Cisco TALOS

Đội phản ứng với nguy cơ bảo mật của Cisco (TALOS) đã khám phá và công bố chi tiết về hoạt động của loại mã độc được đặt tên Rombertik. Tinh vi, thông minh và nguy hiểm là những điều có thể nói về mã độc này.

Rombertik không chỉ xáo trộn hoạt động của chính bản thân khi quét thấy có những dấu hiệu đang bị theo dõi. Nguy hiểm hơn, nếu Rombertik nhận thấy mình đang hoạt động trong phạm vi một máy ảo (Virtual Machine), nó sẽ "nổi giận" và hủy hoại cả ổ cứng bằng cách ghi đè lên MBR (Master Boot Record) của ổ cứng.

Thời của mã độc thông minh

Được phát tán qua email "rác" và lừa đảo trực tuyến, khi thâm nhập vào hệ thống, Rombertik thực hiện hành vi "nghe lén" qua khả năng bắt gói dữ liệu trao đổi ra vào của trình duyệt web trên máy tính bị lây nhiễm. Trong lúc đó, một chức năng khác của Rombertik kiểm tra xem nó có đang vận hành trong "hộp cát" của máy tính ảo (VM) hay không.

Một email lừa đảo giả mạo kèm tập tin mã độc nhằm phát tán Romertik - Ảnh: Cisco TALOS
Một email lừa đảo giả mạo kèm tập tin mã độc nhằm phát tán Romertik - Ảnh: Cisco TALOS

"Hộp cát" (sandbox) trên máy ảo là một môi trường bảo mật, một vùng an toàn nơi mã độc dù có hoành hành cũng không hề hấn gì đến hệ thống. Do đó, tính năng của Rombertik nhằm chống lại việc bị vô hiệu hóa bởi "hộp cát". Khi nó không nằm trong môi trường bị hạn chế bởi "hộp cát" tạo ra, Rombertik bắt đầu bung các chức năng phá hoại.

Theo phân tích từ Cisco, 97% các tập tin đóng gói trong mã độc Rombertik là dành cho hình ảnh và chức năng, tuy nhiên Rombertik hầu như không dùng đến chúng. Khi Rombertik bắt đầu chạy, nó bắt đầu viết 960 triệu byte dữ liệu ngẫu nhiên vào bộ nhớ. Đây là tuyệt chiêu đánh chặn những ứng dụng bảo mật nào đang cố theo dõi hoạt động của nó, làm ngập chúng với hơn 100GB tập tin bản ghi.

Trường hợp Rombertik phát hiện mình bị "hộp cát" giới hạn các hành vi phá hoại, nó lập tức "nổi giận" và dùng đòn "thảm sát" vô hiệu hóa ổ đĩa cứng vật lý (không phải ổ cứng ảo của máy ảo) bằng cách chép đè lên Master Boot Record (*) của ổ đĩa cứng những byte dữ liệu rỗng, khiến cơ hội phục hồi dữ liệu cho ổ cứng gần như vô vọng.

Nếu không có quyền chép đè, Rombertik mã hóa toàn bộ tập tin trong thư mục C:\Documents and Settings\Administrator với khóa mã hóa RC4. 

Biểu đồ hoạt động và hành vi của Romertik từ các chuyên gia bảo mật của Cisco
Biểu đồ hoạt động và hành vi của Romertik từ các chuyên gia bảo mật của Cisco

Hiện chưa có bình luận hay thông tin gì về chủ nhân đứng sau loại mã độc quá thông minh này. Bạn đọc quan tâm có thể tham khảo phân tích chi tiết từ blog của Đội phản ứng với nguy cơ bảo mật của Cisco.

Các chuyên gia luôn khuyến cáo người dùng máy tính cẩn trọng khi sử dụng email, đặc biệt là những email gửi kèm các liên kết (link) trong nội dung hay tập tin đính kèm, ngay cả khi gửi từ địa chỉ quen thuộc. Đây là phương thức luôn được tội phạm mạng ưu tiên sử dụng để phát tán mã độc. Ngoài ra, cần sử dụng các chương trình bảo vệ hệ thống bao gồm tường lửa như Kaspersky Internet Security, Trend Micro, Avast, Avira... Thường xuyên cập nhật dữ liệu mới nhất về mã độc và luôn bật chương trình anti-virus này trên hệ thống.

(*) Master Boot Record - MBR: là một trong những thành phần quan trọng nhất của đĩa cứng và được tạo ra khi ổ cứng được phân vùng (partition). MBR chứa một lượng nhỏ mã thực thi, chịu trách nhiệm quản lý hoạt động của phân vùng. Một khi MBR bị tổn hại, hệ thống không thể hoạt động, hiển thị các dòng thông báo lỗi như "Invalid partition table", hay "Error loading operating system" hoặc "Missing operating system". 

PHONG VÂN
Bình luận (0)
    Xem thêm bình luận
    Bình luận Xem thêm
    Bình luận (0)
    Xem thêm bình luận