Phân tích mẫu Ransomware ghi đè MBR

Chào các bạn, trong bài viết này mình sẽ hướng dẫn phân tích mẫu Ransomware ghi đè vào MBR (Master Boot Record) 
Giới thiệu chung:

- MBR: là nơi lưu trữ dữ liệu khởi động máy tính
- Ransomware là dòng virus mã hóa file, tống tiền người dùng đòi key giải mã. Khác với các dòng mã hóa thông thường chỉ mã hóa file, dòng Ransomware này ghi đè cả vào MBR khiến chúng ta không thể truy cập vào máy tính.

- Thông tin mẫu được đề cập:
+ Tên mẫu : Satana Ransomware
+ MD5: C5282A9F63393BBB1691BC8810D7934D
+ File Size: 47.00 KB (48130 bytes)

Cơ chế hoạt động:

Đây là mẫu malware thực hiện khá nhiều hành vi khác nhau (Pack, Nâng quyền Admin, Inject tiến tình chuẩn … ), tuy nhiên trong khuôn khổ bài viết, mình chỉ đi phân tích hành vi mã hóa file và ghi đè MBR của mẫu này.
- Satana sẽ tiến hành mã hóa file trước -> rồi ghi đè MBR -> Khởi động lại máy
- Sau khi khởi động lại sẽ thay vì load dữ liệu khởi động máy tính, sẽ load dữ liệu của virus

Mô tả chi tiêt các kỹ thuật được sử dụng.
1. Mã hóa File
- Các file có đuôi sau sẽ bị mã hóa: .bak .doc .jpg .jpe .txt .tex .dbf .db .xls .cry .xml .vsd .pdf .csv .bmp .tif .1cd .tax
.gif .gbr .png .mdb .mdf .sdf .dwg .dxf .dgn .stl .gho .vwi .3ds .ma .ppt .acc .vpd .odt .ods .rar .zip .7z .cpp .pas .asm

Sau khi mã hóa xong sẽ xuất hiện file có tên "<Email Hacker> __<Tên file gốc>"

Cách thức mã hoá
A. Tạo key :
- Ransomware sử dụng RTDSC (Read Time-Stamp Counter) tạo 1 key random

VD:

B. Mã hóa File
- Sử dụng 4 DWORD của Key để XOR với File sẽ mã hóa

- Sử dụng 8 DWORD của key để mã hóa bằng thuật toán dựa trên thuật toán AES – 256 – ECB

C. Tạo Privite ID máy nạn nhân

- Gọi GetCurrentHwProfileW lấy được Hardware Profile dưới dạng GUID

- Chuyển sang định dạng MD5

=> Chuỗi này sử dụng làm ID máy nạn nhân

2.Ghi đè MBR
A. Sơ đồ tổng quan

B. Code phân tích IDA
- Đọc Backup MBR

- Ghi đè MBR

+ Sector 0: Bootloader ( Load hệ điều hành Malware) và deofucate Sector 1

+ Sector 1: Hiển thị đoạn text được lưu trong Sector 2-5 và cho nhập Key, kiểm tra Key

+ Sector 2-5: Lưu đoạn text được in lên màn hình

+ Sector 6: Lưu thông tin backup lại MBR

- Sau khi khởi động lại máy sẽ không thể vào lại Win do MBR đã bị ghi đè

Trên đây là bài viết sơ lược về hành vi của một mẫu Ransomware ghi đè MBR. Như các bạn thấy, nếu gặp phải rất khó để khôi phục lại dữ liệu đã bị mã hóa, kể cả chả tiền chuộc nhưng không có gì để đảm bảo khôi phục được 100%. Người dùng nên cảnh giác với các phần mềm, trang Web lạ.