Karmen Ransomware - Tự xóa mã hóa khi phát hiện Sandbox hoặc phần mềm phân tích mã độc
Karmen Ransomware - Tự xóa mã hóa khi phát hiện Sandbox hoặc phần mềm phân tích mã độc
7 Năm trước 2634

Cập nhập ngày 20/04/2017:

- Biến thể mới của Karmen được tìm thấy bởi SenseCy với tên gọi Mordor (mã hóa file mở rộng ".mordor")Tỷ lệ phát hiện Mordor Ransomware trên VirusTotal: goo.gl/g4Hk81

Biến thể mới HiddenTearMordor dựa trên lỗi truy vấn CVE2017-0199 của Microsoft Windows, Tỷ lệ phát hiện HiddenTearMordor và Exploit-CVE2017-0199 trên VirusTotal: goo.gl/1dlXvO & goo.gl/bg2tKx 

Bài viết ngày 18/04/2017: 


Công ty bảo mật Recorded Future cho hay một Hacker Nga có tên là DevBitox đang quảng cáo dịch vụ mã độc này trong các diễn đàn ngầm với mức giá 175 đô la như  là một lợi ích mới cho tội phạm mạng. Theo Record Future , phần mềm độc hại này là dịch vụ ransomware (RaaS) có nguồn gốc từ Hidden Tear, một dự án ransomware mã nguồn mở. Karmen (mã hóa file ban đầu ".grt") được bán tại các diễn đàn ngầm tại Nga bởi tin tặc có biệt danh DevBitox với giá 175 đô la. Mã độc có riêng một trang quản trị cho phép người mua thấy số lượng lây nhiễm thành công cùng với lợi nhuận có được trong thời gian thực. Nó mã hóa các tập tin trên máy tính bị nhiễm bằng cách sử dụng giao thức mã hóa mạnh mẽ AES-256. Và sau khi lây nhiễm, mã độc Karmen sẽ mã hóa toàn bộ dữ liệu của người dùng và hiện lên cảnh báo đe dọa tống tiền. Karmen tự động xóa bộ mã hóa nếu phát hiện ra có môi trường hộp cát (sandbox) hoặc phần mềm phân tích mã độc trên thiết bị của nạn nhân khiến việc kiểm tra về mã độc khó khăn hơn và các máy này sẽ không nhận được các tập tin của họ trở lại, ngay cả khi chủ sở hữu của họ trả tiền chuộc.. Tới nay đã có 20 người dùng mua mã độc Karmen từ DevBitox và để lại phản hồi rằng mã độc này đang hoạt động tốt và vẫn còn 5 bản sao dành cho những người mua tiềm năng. 


Mô tả về phần mềm độc hại Karmen do DevBitox cung cấp:

Đa luồng.
Đa ngôn ngữ.
Hỗ trợ .NET 4.0 và các phiên bản mới hơn.
Thuật toán mã hóa: AES-256.
Bảng quản trị adaptive admin.
Mã hóa tất cả các đĩa và các tập tin.
Tách biệt BTC ví cho mỗi nạn nhân.
Kích thước nhỏ.
Tự động xóa trình nạp.
Tự động xóa phần mềm độc hại (sau khi đã nhận được thanh toán).
Kết nối tối thiểu với máy chủ điều khiển.
Bảng điều khiển mạnh mẽ.
Hầu hết FUD (1/35).
Tự giải mã tệp sau khi nhận được thanh toán.
Tương thích T2W.
Tiện ích mở rộng tệp vẫn giữ nguyên.
Tự động phát hiện anti-debugger/analyzers/VM/sandbox
Tự động xóa mã hóa nếu môi trường sandbox / Hoặc nếu phát hiện phần mềm phân tích được phát hiện trên máy tính của nạn nhân
Phiên bản nhẹ: tự xáo trộn và tự động autoloader --> Chức năng làm việc như virus siêu đa hình. 
Phiên bản đầy đủ: Tự động phát hiện phần mềm phân tích

Ghi chú thêm của DevBitox về Karmen:
Karmen phụ thuộc ứng dụng .NET 
Hỗ trợ cơ sở hạ tầng: PHP 5,6, MySQL, chức năng "file ()" phải được kích hoạt trên máy chủ
Xây dựng lại: miễn phí (lên tới ba bản)
Cập nhật: miễn phí
Giá: $ 175
Các chỉ số đã biết

Thông tin file của Karmen: 
Tên tệp: joise.exe
Tên tệp: n_karmen.exe
Tên tệp: build.exe
Tệp MD5: 9c8fc334a1dc660609f30c077431b547
Tệp MD5: 56b66af869248749b2f445be8f9f4a9d
Tệp MD5: 521983cb92cc0b424e58aff11ae9380b
SHA1: dc875c083c5f70e74dc47373a4ce0df6ccd8ae88
SHA1: f79f6d4dd6058f58b384390f0932f1e4f4d0fecf
SHA1: 2a3477ea2d09c855591b3d16cfff8733935db50b

Như vậy, dựa vào trên thông tin trên , chúng ta dự đoán Karmen Ransomware đang có 03 biến thể  và sẽ còn nhiều phiên bản mới. 

Tỷ lệ phát hiện Karmen Ransomware trên VirusTotal: goo.gl/w2uJ88