Mã độc xóa cả ổ cứng tránh bị nhận dạng

Một khi mã độc Romertik "nổi giận", nó hủy cả ổ đĩa cứng bằng nhiều phương thức - Ảnh: Cisco TALOS

Đội phản ứng với nguy cơ bảo mật của Cisco (TALOS) đã khám phá và công bố chi tiết về hoạt động của loại mã độc được đặt tên Rombertik. Tinh vi, thông minh và nguy hiểm là những điều có thể nói về mã độc này.

Rombertik không chỉ xáo trộn hoạt động của chính bản thân khi quét thấy có những dấu hiệu đang bị theo dõi. Nguy hiểm hơn, nếu Rombertik nhận thấy mình đang hoạt động trong phạm vi một máy ảo (Virtual Machine), nó sẽ "nổi giận" và hủy hoại cả ổ cứng bằng cách ghi đè lên MBR (Master Boot Record) của ổ cứng.

Thời của mã độc thông minh

Được phát tán qua email "rác" và lừa đảo trực tuyến, khi thâm nhập vào hệ thống, Rombertik thực hiện hành vi "nghe lén" qua khả năng bắt gói dữ liệu trao đổi ra vào của trình duyệt web trên máy tính bị lây nhiễm. Trong lúc đó, một chức năng khác của Rombertik kiểm tra xem nó có đang vận hành trong "hộp cát" của máy tính ảo (VM) hay không.

Một email lừa đảo giả mạo kèm tập tin mã độc nhằm phát tán Romertik - Ảnh: Cisco TALOS

"Hộp cát" (sandbox) trên máy ảo là một môi trường bảo mật, một vùng an toàn nơi mã độc dù có hoành hành cũng không hề hấn gì đến hệ thống. Do đó, tính năng của Rombertik nhằm chống lại việc bị vô hiệu hóa bởi "hộp cát". Khi nó không nằm trong môi trường bị hạn chế bởi "hộp cát" tạo ra, Rombertik bắt đầu bung các chức năng phá hoại.

Theo phân tích từ Cisco, 97% các tập tin đóng gói trong mã độc Rombertik là dành cho hình ảnh và chức năng, tuy nhiên Rombertik hầu như không dùng đến chúng. Khi Rombertik bắt đầu chạy, nó bắt đầu viết 960 triệu byte dữ liệu ngẫu nhiên vào bộ nhớ. Đây là tuyệt chiêu đánh chặn những ứng dụng bảo mật nào đang cố theo dõi hoạt động của nó, làm ngập chúng với hơn 100GB tập tin bản ghi.

Trường hợp Rombertik phát hiện mình bị "hộp cát" giới hạn các hành vi phá hoại, nó lập tức "nổi giận" và dùng đòn "thảm sát" vô hiệu hóa ổ đĩa cứng vật lý (không phải ổ cứng ảo của máy ảo) bằng cách chép đè lên Master Boot Record (*) của ổ đĩa cứng những byte dữ liệu rỗng, khiến cơ hội phục hồi dữ liệu cho ổ cứng gần như vô vọng.

Nếu không có quyền chép đè, Rombertik mã hóa toàn bộ tập tin trong thư mục C:\Documents and Settings\Administrator với khóa mã hóa RC4. 

Biểu đồ hoạt động và hành vi của Romertik từ các chuyên gia bảo mật của Cisco

Hiện chưa có bình luận hay thông tin gì về chủ nhân đứng sau loại mã độc quá thông minh này. Bạn đọc quan tâm có thể tham khảo phân tích chi tiết từ blog của Đội phản ứng với nguy cơ bảo mật của Cisco.

(*) Master Boot Record - MBR: là một trong những thành phần quan trọng nhất của đĩa cứng và được tạo ra khi ổ cứng được phân vùng (partition). MBR chứa một lượng nhỏ mã thực thi, chịu trách nhiệm quản lý hoạt động của phân vùng. Một khi MBR bị tổn hại, hệ thống không thể hoạt động, hiển thị các dòng thông báo lỗi như "Invalid partition table", hay "Error loading operating system" hoặc "Missing operating system".