Ransomware REvil có chế độ mã hóa “Windows Safe Mode” mới

March 20, 2021

​Ransomware REvil có thể mã hóa tệp trong chế độ an toàn của Windows (Windows Safe Mode) để tránh bị các phần mềm bảo mật phát hiện và mã hóa tệp thành công hơn.

Windows Safe Mode là một chế độ khởi động đặc biệt cho phép người dùng chạy các tác vụ quản trị và chẩn đoán trên hệ điều hành. Chế độ này chỉ tải tối thiểu phần mềm và trình điều khiển cần thiết để hệ điều hành hoạt động.

REvil.jpg

Hơn nữa, không phải bất kỳ chương trình nào trong Windows được cấu hình để khởi chạy tự động cũng sẽ chạy ở chế độ an toàn trừ khi việc tự động chạy của chương trình được định cấu hình đặc biệt.

Một cách để khởi tạo việc tự động chạy trong Windows là tạo các đối tượng trong các khóa Registry sau:

Mã:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Các khóa ‘Run’ sẽ khởi chạy một chương trình mỗi khi bạn đăng nhập, trong khi khóa ‘RunOnce’ sẽ chỉ khởi chạy một chương trình một lần và sau đó xóa mục đó khỏi Registry.

Ví dụ: khóa Registry dưới sẽ tự động khởi chạy chương trình C:\Users\test\test.exe khi bạn đăng nhập vào Windows.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Startup”=”C:\Users\test\test.exe”Tuy nhiên, tính năng tự động chạy ở trên sẽ không khởi chạy ở chế độ an toàn trừ khi bạn thêm dấu hoa thị (*) vào phần bắt đầu của tên giá trị:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“*Startup”=”C:\Users\test\test.exe”Trong mẫu ransomware REvil mới được MalwareHunterTeam phát hiện, tham số dòng lệnh -smode mới đã được thêm vào để buộc máy tính khởi động lại ở chế độ an toàn trước khi mã hóa thiết bị.

Để thực hiện việc này, REvil sẽ thực hiện các lệnh sau để buộc máy tính khởi động vào chế độ an toàn với mạng khi Windows khởi động lại lần sau.

bootcfg /raw /a /safeboot:network /id 1
bcdedit /set {current} safeboot networkSau đó, nó tạo khóa tự động chạy ‘RunOnce’ được gọi là ‘*franceisshit‘ để thực thi ‘bcdedit /deletevalue {current} safeboot‘ sau khi người dùng đăng nhập vào chế độ an toàn.

france-autorun.jpg


Cuối cùng, ransomware khởi động lại Windows mà người dùng không thể làm gián đoạn việc khởi động lại bắt buộc này.

Ngay trước khi tiến trình khởi động lại kết thúc, nó sẽ tạo thêm một khóa tự động chạy RunOnce có tên là ‘AstraZeneca.’

Khóa tự động chạy này sẽ khởi chạy lại REvil ransomware mà không có tham số -smode khi người dùng tiếp theo đăng nhập vào hệ điều hành Windows sau khi thiết bị được khởi động lại.

astrazeneca-value.jpg


Đáng chú ý là cả hai khóa ‘RunOnce’ này sẽ được thực thi sau khi đăng nhập vào chế độ an toàn và bị Windows tự động xóa.

Khi khởi động lại, thiết bị sẽ khởi động ở chế độ an toàn với mạng và người dùng sẽ được nhắc đăng nhập vào Windows. Sau khi họ đăng nhập, REvil ransomware sẽ được thực thi mà không cần tham số -smode để bắt đầu mã hóa các tệp trên thiết bị.

Windows cũng sẽ chạy lệnh ‘bcdedit /deletevalue {current} safeboot‘ được định cấu hình bằng khóa Registry ‘*AstraZeneca‘ để máy có thể khởi động lại ở chế độ bình thường khi quá trình mã hóa của ransomware hoàn tất.

Trong khi REvil đang mã hóa tệp, màn hình ở chế độ an toàn sẽ trống nhưng vẫn có thể sử dụng tổ hợp Ctrl + Alt + Delete để khởi chạy trình quản lý tác vụ Windows. Từ đó, bạn có thể thấy tệp thực thi đang chạy, tệp này được đặt tên là ‘smode.exe’, như được hiển thị bên dưới.

smode-running-in-safe-mode.jpg


Trong khi chạy, ransomware sẽ ngăn người dùng khởi chạy bất kỳ chương trình nào thông qua Trình quản lý tác vụ cho đến khi nó hoàn tất quá trình mã hóa thiết bị.

Sau khi thiết bị được mã hóa, nó sẽ cho phép phần còn lại của trình tự khởi động tiếp tục và màn hình sẽ hiển thị với ghi chú đòi tiền chuộc và các tệp bị mã hóa.

encrypted-files.jpg


Hoạt động trong chế độ an toàn của REvil hơi lạ vì nó yêu cầu người dùng đăng nhập vào thiết bị sau khi họ khởi động lại vào chế độ an toàn.

Hơn nữa, khi người dùng đăng nhập vào chế độ an toàn, họ sẽ thấy màn hình trống và việc sử dụng ổ đĩa ở mức cao khi ransomware mã hóa thiết bị.

Hành vi này có thể khiến người dùng nghi ngờ ngay lập tức và chuyển sang chế độ ngủ đông hoặc tắt máy tính của họ để an toàn.

Vì lý do này, có thể những kẻ tấn công đang chạy lệnh kích hoạt chế độ an toàn mới nhằm tấn công các máy tính cụ thể, chẳng hạn như máy ảo hoặc máy chủ mà chúng muốn mã hóa mà không gặp bất kỳ sự cố nào.

Đây là một phương thức tấn công mới mà các chuyên gia bảo mật và quản trị viên Windows cần đề phòng khi các nhóm tấn công ransomware liên tục thay đổi các phương thức tấn công.

REvil không phải là phần mềm độc hại duy nhất sử dụng chế độ an toàn để mã hóa thiết bị. Vào năm 2019, một ransomware khác được gọi là ‘Snatch’ cũng đã thêm khả năng mã hóa thiết bị ở chế độ an toàn sử dụng dịch vụ Windows.

sưu tâm