CHUYỆN THẬT NHƯ ĐÙA: COVID-22 MANG ĐẾN THẢM HỌA CHO MBR

CHUYỆN THẬT NHƯ ĐÙA: COVID-22 MANG ĐẾN THẢM HỌA CHO MBR

Theo báo cáo nghiên cứu của Fortilabs (tác giả: Shunichi Imano and Fred Gutierrez)

  • Nền tảng bị ảnh hưởng: Microsoft Windows
  • Các bên bị ảnh hưởng: Người dùng Windows
  • Ảnh hưởng: Không thể khởi động máy
  • Mức độ nghiêm trọng: Trung bình

Hiện tại, đã 2 năm sau khi đại dịch COVID-19 bắt đầu, vẫn chưa có dấu hiệu nào cho thấy tội phạm mạng sẽ ngừng lợi dụng tình hình dịch bệnh như một vật trung gian để tấn công. Tuy nhiên, lần này, kẻ tấn công này sử dụng đại dịch COVID chưa xảy ra để làm mồi nhử. FortiGuard Labs gần đây đã phát hiện ra một phần mềm độc hại mới giả dạng một trình cài đặt COVID-22 bí ẩn. Tuy chứa nhiều tính năng của phần mềm độc hại "đùa giỡn" (joke) nhưng nó cũng có tính phá hoại, khiến các máy bị nhiễm virus không thể khởi động được. Bởi vì nó không có tính năng mã hóa dữ liệu đòi tiền chuộc để hoàn tác những thiệt hại mà nó gây ra, thay vào đó, nó là một biến thể phần mềm độc hại phá hoại mới được thiết kế để khiến các hệ thống bị ảnh hưởng không thể hoạt động. Bài viết này sẽ giải thích cách phần mềm độc hại này hoạt động là như thế nào.

Covid-22 đang hoạt động

File phần mềm độc hại (malware) được đặt tên là Covid22. Đối với những người không quen thuộc với sơ đồ đặt tên, COVID-19 là một dạng ngắn gọn của Corona virus disease, và 19 đại diện cho năm mà đợt bùng phát lần đầu tiên được xác định. Tên file Covid22 loại bỏ căn bệnh Coronavirus hiện tại nhưng áp dụng hình ảnh tương tự về nỗi sợ hãi và sự hủy diệt đối với máy tính, có khả năng tạo ra đại dịch mạng vào năm 2022. Mặc dù Fortinet không biết chính xác phần mềm độc hại đã được phân phối như thế nào, nhưng tác giả của phần mềm độc hại này đã cố gắng vũ khí hóa nỗi sợ hãi làm mồi nhử để dụ nạn nhân mở file.

Mặc dù bản thân malware không phức tạp, nhưng nó thực hiện một số hành động được thiết lập để gây sợ hãi cho nạn nhân trước khi gây ra sự hoảng sợ thực sự. Nhưng trước đó, khi lần đầu tiên chạy file theo cách thủ công, nó sẽ hỏi liệu nạn nhân tiềm năng có muốn cài đặt Covid-22 trên máy của họ hay không, như thể đó là một ứng dụng.

Hình 1. Màn hình trình cài đặt yêu cầu nạn nhân cho phép cài đặt ứng dụng Covid-22
 

Sau khi nạn nhân tiến hành cài đặt, phần mềm độc hại sẽ thả một số file độc hại trước khi bắt buộc khởi động lại máy. File bị loại bỏ có tên file đơn giản và tự mô tả hành động của chúng. Chúng được liệt kê dưới đây theo trình tự thực hiện.

  • Covid22Server.exe thực thi các lệnh trong script.txt đã bỏ
  • lol.vbs tạo một vòng lặp vô tận của MessageBox với thông báo "Your PC has been infected by Covid-22 Corona Virus! Enjoy the death of your pc!"

Hình 2. Hình ảnh của thông báo bật lên “Your PC has been infected by Covid-22 Corona Virus! Enjoy the death of your pc!”

  • speakwh.vbs sử dụng loa của máy tính để nói "coronavirus" trong một vòng lặp
  • CoronaPopup.exe hiển thị một cửa sổ bật lên với tiêu đề "Covid-22 has infected your pc!" và một hình ảnh của coronavirus thực tế

Hình 3: Ảnh của Virus Corona

  • ClutterScreen.exe làm lộn xộn màn hình bằng cách di chuyển liên tục các khối pixel
  • x.vbs hiển thị thông báo bật lên, "Corona Virus!" 50 lần

Hình 4: Ảnh hiển thị pop-up Corona Vius 50 lần

  • noescapes.vbs hiển thị thông báo "THERE IS NO ESCAPE" 10 lần

Hình 5. Hình ảnh thông điệp pop-up "THERE IS NO ESCAPE"

  • icon.exe lấp đầy màn hình với dấu X màu đỏ

Hình 6. Hình ảnh màn hình của người dùng được lắp đầy dấu x đỏ

  • final.vbs hiển thị một thông báo bật lên "BYE!"

Hình 7. Hình ảnh thông điệp pop-up "BYE!!!"

Đây là những hành động cổ điển của các chương trình trò đùa thường nhằm mục đích làm phiền hoặc chế giễu người dùng. Nhưng hoạt động tiếp theo không hề buồn cười chút nào. Phần mềm độc hại này thả ra và thực thi malware WipeMBR.exe phá hủy Master Boot Record (MBR) bằng cách ghi đè lên 512 byte đầu tiên của nó bằng số 0 Sau đó, malware buộc máy khởi động lại sau khi hiển thị thông báo bật lên sau:

Hình 8. Thông báo bật lên cuối cùng trước khi máy bị bị buộc khởi động lại

Bởi vì MBR có thông tin về các phân vùng của ổ cứng và hoạt động như một bộ tải cho hệ điều hành (OS), máy bị xâm nhập sẽ không thể tải hệ điều hành khi khởi động lại. Tin tốt cho người dùng là phần mềm độc hại không phá hủy cũng như đánh cắp bất kỳ file nào trên thiết bị bị xâm nhập, có nghĩa là nạn nhân vẫn có thể khôi phục file người dùng từ ổ cứng. Phần mềm độc hại cũng không yêu cầu tiền chuộc.

Mặc dù kết quả gần như giống hệt với một trường hợp MBR khác mà Sonicwall đã đăng trên blog vào tháng 4 năm 2020, phân tích của Fortinet không cho thấy bất kỳ điểm tương đồng nào trong mã của chúng. Biến thể mới hơn này chỉ cần ghi đè MBR bằng các số 0.

Cách sửa chữa MBR bị hư hỏng

Việc sửa MBR tương đối dễ dàng trong Windows hiện đại. Sau khi máy bị ảnh hưởng khởi động lại (đôi khi phải khởi động lại một vài lần), hệ thống sẽ chuyển sang chế độ sửa chữa tự động. Đầu tiên, chọn Advanced Options, Troubleshoot. Sau đó, một tùy chọn nâng cao khác sẽ cho phép bạn sử dụng Command Prompt. Từ Command Prompt, nhập và chạy "bootrec.exe / fixmbr".

Một tùy chọn thay thế và đơn giản hơn sẽ là chọn Startup Repair trên màn hình để chạy Command Prompt. Nhược điểm của việc chọn Startup Repair là sẽ mất nhiều thời gian hơn để hoàn thành công việc.

Nếu chế độ sửa chữa tự động không hoạt động vì lý do nào đó, bạn sẽ cần khởi động hệ thống từ đĩa hoặc ổ đĩa khôi phục. Lưu ý rằng bạn sẽ cần thay đổi cài đặt BIOS của mình để đảm bảo hệ thống khởi động từ phương tiện khôi phục trước tiên, nếu không hệ thống sẽ cố gắng khởi động bằng MBR bị ghi đè dẫn đến lỗi khởi động. Khi hệ thống khởi động từ phương tiện khôi phục, bạn sẽ có thể chọn chạy dấu nhắc lệnh, theo đó người dùng có thể chạy lệnh "bootrec.exe / fixmbr".

Điều quan trọng là phải nhắc nhở quản trị viên hệ thống về tầm quan trọng của việc sao lưu dữ liệu của bạn trên bộ nhớ ngoài trong trường hợp bất kỳ file nào của bạn bị hỏng, bị mã hóa hoặc bị phá hủy. Bạn cũng sẽ muốn tạo phương tiện khôi phục trước, nếu không, bạn sẽ cần sử dụng một máy đang hoạt động, điều này có thể gây khó khăn cho người dùng gia đình sau khi thiệt hại được thực hiện.

Kết luận về COVID-22 mang lại thảm họa cho MBR

Chương trình trông giống như một trò đùa đơn thuần được thiết kế để mang lại sự hủy diệt cho các hệ thống bị ảnh hưởng. Lần này, may mắn đã nghiêng về phía nạn nhân vì phần mềm độc hại không chạm vào bất kỳ dữ liệu người dùng nào, nhưng người dùng có thể không may mắn như vậy ở lần sau. Hãy tưởng tượng nếu các file trên máy bị xâm nhập đã bị mã hóa hoặc bị phá hủy và không thể khôi phục được. Luôn lưu ý đến việc mở các file không xác định nhận được từ internet.

Sự bảo vệ từ Fortinet

Khách hàng của Fortinet đã được bảo vệ khỏi phần mềm độc hại này bởi FortiGuard Labs AntiVirus Service như FortiGate, FortiClient và FortiMailFortiEDR sử dụng như sau:

W32/Ursu.558C!Tr

Malicious_Behavior.SB

VBS/BadJoke.8A6B!Tr

VBS/BadJoke.7182!Tr

VBS/BadJoke.84AB!Tr

VBS/BadJoke.0C12!Tr

VBS/BadJoke.DF52!Tr

W32/BadJoke.DCAB!Tr

FortiEDR phát hiện file thực thi đã tải xuống là độc hại dựa trên hành vi của nó.

Doanh nghiệp của bạn đã sẵn sàng chống lại malware Covid-22 chưa? Hãy liên hệ ngay với chúng tôi theo thông tin dưới đây để được tư vấn.

--

EmeraldETL là Công Ty chuyên về Công Nghệ, là đại lý rất nhiều dòng sản phẩm bảo mật cao tại Việt Nam. Cung cấp từ những dòng bảo mật doanh nghiệp đến bảo mật đa quốc gia.

  • Trụ sở: Tầng 2, 27A Hoàng Việt, Phường 4, Quận Tân Bình, TP.HCM
  • Hotline: 0913324060
EmeraldETL