Cách tạo Tool Troll Ransomware bằng File *.hta

09/01/2018

Như các bạn đã biết Ransomware hay còn gọi là Virus tống tiền lợi dụng lỗ hổng bảo mật SMB của Windows để mã hóa dữ liệu. Người dùng phải trả một khoản tiền, thường là Bitcoin để đổi lấy key giải mã.

Sự xuất hiện của Ransomware, cũng tạo nên một trào lưu Troll người khác. Làm họ tưởng máy tính của mình bị virus và mã hóa hết dữ liệu. Trước đây AnonyViet có giới thiệu với các bạn một số Tool Troll trên máy tính cực shock.

Hôm nay mình sẽ giới thiệu với các bạn một vài dòng Code HTML và CSS để tạo ra file .hta. Bạn có thể tạo ra giao diện giả mạo đòi tiện chuộc của Ransomware. Có thể thoạt đầu nạn nhân sẽ hết hồn vì tưởng mình bị dính virus.

Mục lục bài viết:

1 File .hta là gì?
2 Cách viết file .hta
3 Cách tạo giao diện Troll Ransomeware
4 Phân tích Code Troll Ransomware

File .hta là gì?

hta viết tắt của HTML Application (Ứng dụng HTML) là sự kết hợp giữa HTML và Application. Với ngôn ngữ .hta bạn hoàn toàn có thể kết hợp code HTML và Visual Basic để tạo ra một ứng dụng đơn giản.

Để viết HTAs, bạn nên biết một ít code về VB6, chính xác là code củaVBS; phần lớn 2 ngôn ngữ nầy là tương đồng, chỉ thay đổi một số cách viết hàm. Khi viết code, nếu bạn lưu dưới đuôi file là *.VBS thì đấy là VBS, còn lưu dưới đuôi *.HTA thì đấy là HTAs.

Một file HTA thông thường có 2 phần: phần HT + phần A. (Không bắt buộc phải có cả 2)
* Phần HTML: Viết code có cấu trúc tương tự như viết html, vd: <body>..</body>
* Phần App: Code như VBS

Khi ta click double vào file HTA, (chậm một chút) mshta.exe sẽ đọc và biên dịch cho ta một ứng dụng có đủ (vài thứ) các control trên giao diện đồ họa, các control nầy hoạt động giao tiếp như các phần mềm khác…

File hta được chạy bởi mshta.exe (một chương trình biên dịch của Windows).

Cách viết file .hta

Chỉ cần mở notepad lên và viết, rất đơn giản phải không?

Vì nó là con lai giữa HTML và VBS. Nên bạn hoàn toàn có thể sử dụng công cụ có sẵn trên Windows để biên soạn code.

Cách tạo giao diện Troll Ransomeware

Như đã đề cập ở trên, mình sẽ share code html để bạn tạo ra 1 giao diện troll giống như đang bị tống tiền. Code này là vô hại, các bạn cứ yên tâm nhé.

Hãy mở Notepad lên, copy đoạn code dưới đây vào. Và save thành file “virus.hta”, nhớ chỉnh encoding: UTF-8

Hoặc DOWNLOAD mã nguồn ở đây

Download

<html>
<SCRIPT LANGUAGE="VBScript">
    Sub UngDung
	On Error Resume Next
       Set colItems = GetObject("winmgmts:\root\CIMV2").ExecQuery("SELECT * FROM Win32_Processor")
   For Each objItem In colItems
      a = a & vbCr & "AddressWidth: " & objItem.AddressWidth
      a = a & vbCr & "Architecture: " & objItem.Architecture
      a = a & vbCr & "Availability: " & objItem.Availability
      a = a & vbCr & "Caption: " & objItem.Caption
      a = a & vbCr & "ConfigManagerErrorCode: " & objItem.ConfigManagerErrorCode
      a = a & vbCr & "ConfigManagerUserConfig: " & objItem.ConfigManagerUserConfig
      a = a & vbCr & "CpuStatus: " & objItem.CpuStatus
      a = a & vbCr & "CreationClassName: " & objItem.CreationClassName
      a = a & vbCr & "CurrentClockSpeed: " & objItem.CurrentClockSpeed
      a = a & vbCr & "CurrentVoltage: " & objItem.CurrentVoltage
      a = a & vbCr & "DataWidth: " & objItem.DataWidth
      a = a & vbCr & "Description: " & objItem.Description
      a = a & vbCr & "DeviceID: " & objItem.DeviceID
      a = a & vbCr & "ErrorCleared: " & objItem.ErrorCleared
      a = a & vbCr & "ErrorDescription: " & objItem.ErrorDescription
      a = a & vbCr & "ExtClock: " & objItem.ExtClock
      a = a & vbCr & "Family: " & objItem.Family
      a = a & vbCr & "L2CacheSize: " & objItem.L2CacheSize
      a = a & vbCr & "L2CacheSpeed: " & objItem.L2CacheSpeed
      a = a & vbCr & "LastErrorCode: " & objItem.LastErrorCode
      a = a & vbCr & "Level: " & objItem.Level
      a = a & vbCr & "LoadPercentage: " & objItem.LoadPercentage
      a = a & vbCr & "Manufacturer: " & objItem.Manufacturer
      a = a & vbCr & "MaxClockSpeed: " & objItem.MaxClockSpeed
      a = a & vbCr & "Name: " & objItem.Name
      a = a & vbCr & "OtherFamilyDescription: " & objItem.OtherFamilyDescription
      a = a & vbCr & "PNPDeviceID: " & objItem.PNPDeviceID
      a = a & vbCr & "PowerManagementCapabilities: " & strPowerManagementCapabilities
      a = a & vbCr & "PowerManagementSupported: " & objItem.PowerManagementSupported
      a = a & vbCr & "ProcessorId: " & objItem.ProcessorId
      a = a & vbCr & "ProcessorType: " & objItem.ProcessorType
      a = a & vbCr & "Revision: " & objItem.Revision
      a = a & vbCr & "Role: " & objItem.Role
      a = a & vbCr & "SocketDesignation: " & objItem.SocketDesignation
      a = a & vbCr & "Status: " & objItem.Status
      a = a & vbCr & "StatusInfo: " & objItem.StatusInfo
      a = a & vbCr & "Stepping: " & objItem.Stepping
      a = a & vbCr & "SystemCreationClassName: " & objItem.SystemCreationClassName
      a = a & vbCr & "SystemName: " & objItem.SystemName
      a = a & vbCr & "UniqueId: " & objItem.UniqueId
      a = a & vbCr & "UpgradeMethod: " & objItem.UpgradeMethod
      a = a & vbCr & "Version: " & objItem.Version
      a = a & vbCr & "VoltageCaps: " & objItem.VoltageCaps
   Next
	ScriptArea.Value= a
    End Sub
</SCRIPT>
<head>
	<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
	<title>AnonyViet</title>
	<HTA:APPLICATION ID="MyHTAId" APPLICATIONNAME="MyHTA" BORDER="DIALOG" MAXIMIZEBUTTON="NO" SCROLLFLAT="YES" CAPTION="YES" SELECTION="NO" INNERBORDER="NO" ICON="" SCROLL="NO" SHOWINTASKBAR="YES" SINGLEINSTANCE="YES" SYSMENU="YES" WINDOWSTATE="NORMAL" />
</head>

<script language=javascript>
	var winWidth=1024;
	var winHeight = 920;
	window.resizeTo(winWidth, winHeight);
	var winPosX=screen.width/2-winWidth/2;
	var winPosY=screen.height/2-winHeight/2;
	window.moveTo(winPosX, winPosY);
</script>

<style type='text/css'>
	body{font:14px Tahoma, sans-serif;margin: 13px;line-height: 20px;background: #EDEDED;}
	.bold{font-weight: bold;}
	.mark{background: #D0D0E8;padding: 2px 5px;}
	.header{text-align: center;font-size: 25px;line-height: 40px;font-weight: bold;margin-bottom:20px;}
	.info{background: #D0D0E8;border-left: 10px solid #00008B;}
	.private{border: 1px dashed #000;background: #FFFFEF;}
	.note{height: auto;padding-bottom: 1px;margin: 15px 0;}
	.note .title{font-weight: bold;text-indent: 10px;height: 25px;line-height: 30px;padding-top: 10px;}
	.note ul{margin-top: 0;}
</style>

<body>
	<div class='header'>
		<div>Tất cả dữ liệu của bạn đã bị mã hóa</div>
	</div>
	<div class='bold'>Các tài liệu, ảnh, cơ sở dữ liệu của bạn và các tập tin quan trọng khác đã được mã hóa, khôi phục lại dữ liệu là điều không thể. Các tài liệu, ảnh, cơ sở dữ liệu của bạn và các tệp quan trọng khác đã được mã hóa mật mã rất nhiều, không thể khôi phục mà không có chìa khóa gốc! Để giải mã các tập tin của bạn, bạn cần phải mua một chương trình đặc biệt - AnonyViet DECRYPTER. Việc sử dụng các công cụ khác có thể làm hỏng các file của bạn. Nếu bạn muốn khôi phục dữ liệu mã hóa, hãy gửi email cho chúng tôi <span class='mark'>anonyviet.com@gmail.com</span>
	</div>
	<div>Bạn sẽ phải chi trả bằng Bitcoins cho việc giải mã dữ liệu. Giá cả phụ thuộc vào thời gian bạn gửi email cho chúng tôi. Sau khi thanh toán, chúng tôi sẽ gửi cho bạn công cụ giải mã sẽ giải mã tất cả các tệp của bạn.</div>
	<div class='note info'>
		<div class='title'>Giải mã miễn phí 3 files</div>
		<ul>Trước khi thanh toán, bạn có thể gửi cho chúng tôi tối đa 3 tệp để giải mã miễn phí. Tổng kích thước tệp phải dưới 1MB (không nén) và tệp không được chứa thông tin có giá trị. (database,backup, excel ...)</ul>
	</div>
	<div class='note info'>
		<div class='title'>Làm thế nào để có được bitcoin</div>
		<ul>Cách dễ nhất để mua bitcoins là trang web LocalBitcoins. Bạn phải đăng ký, bấm vào 'Mua bitcoins', và chọn người bán theo phương thức thanh toán và giá cả.
			<br><a href='https://localbitcoins.com/buy_bitcoins'>https://localbitcoins.com/buy_bitcoins</a>
			<br>Ngoài ra bạn có thể tìm thấy những nơi khác để mua Bitcoins ở đây:
			<br><a href='http://www.coindesk.com/information/how-can-i-buy-bitcoins/'>http://www.coindesk.com/information/how-can-i-buy-bitcoins/</a>
		</ul>
	</div>
	<div class='note'>
		<div class='title'>Copy đoạn mã dưới đây và gửi kèm theo Bitcoin</div>
	</div>
	</div>
	<center>
		<textarea name="ScriptArea" rows=12 cols=80></textarea><p>
    <input id=runbutton  type="button" value="Lấy thông tin" onClick="UngDung">
    </center>
</body>

100

101

102

103

104

105

106

107

108

<html>

Sub UngDung

On Error Resume Next

Set colItems = GetObject("winmgmts:\root\CIMV2").ExecQuery("SELECT * FROM Win32_Processor")

For Each objItem In colItems

a = a & vbCr & "AddressWidth: " & objItem.AddressWidth

a = a & vbCr & "Architecture: " & objItem.Architecture

a = a & vbCr & "Availability: " & objItem.Availability

a = a & vbCr & "Caption: " & objItem.Caption

a = a & vbCr & "ConfigManagerErrorCode: " & objItem.ConfigManagerErrorCode

a = a & vbCr & "ConfigManagerUserConfig: " & objItem.ConfigManagerUserConfig

a = a & vbCr & "CpuStatus: " & objItem.CpuStatus

a = a & vbCr & "CreationClassName: " & objItem.CreationClassName

a = a & vbCr & "CurrentClockSpeed: " & objItem.CurrentClockSpeed

a = a & vbCr & "CurrentVoltage: " & objItem.CurrentVoltage

a = a & vbCr & "DataWidth: " & objItem.DataWidth

a = a & vbCr & "Description: " & objItem.Description

a = a & vbCr & "DeviceID: " & objItem.DeviceID

a = a & vbCr & "ErrorCleared: " & objItem.ErrorCleared

a = a & vbCr & "ErrorDescription: " & objItem.ErrorDescription

a = a & vbCr & "ExtClock: " & objItem.ExtClock

a = a & vbCr & "Family: " & objItem.Family

a = a & vbCr & "L2CacheSize: " & objItem.L2CacheSize

a = a & vbCr & "L2CacheSpeed: " & objItem.L2CacheSpeed

a = a & vbCr & "LastErrorCode: " & objItem.LastErrorCode

a = a & vbCr & "Level: " & objItem.Level

a = a & vbCr & "LoadPercentage: " & objItem.LoadPercentage

a = a & vbCr & "Manufacturer: " & objItem.Manufacturer

a = a & vbCr & "MaxClockSpeed: " & objItem.MaxClockSpeed

a = a & vbCr & "Name: " & objItem.Name

a = a & vbCr & "OtherFamilyDescription: " & objItem.OtherFamilyDescription

a = a & vbCr & "PNPDeviceID: " & objItem.PNPDeviceID

a = a & vbCr & "PowerManagementCapabilities: " & strPowerManagementCapabilities

a = a & vbCr & "PowerManagementSupported: " & objItem.PowerManagementSupported

a = a & vbCr & "ProcessorId: " & objItem.ProcessorId

a = a & vbCr & "ProcessorType: " & objItem.ProcessorType

a = a & vbCr & "Revision: " & objItem.Revision

a = a & vbCr & "Role: " & objItem.Role

a = a & vbCr & "SocketDesignation: " & objItem.SocketDesignation

a = a & vbCr & "Status: " & objItem.Status

a = a & vbCr & "StatusInfo: " & objItem.StatusInfo

a = a & vbCr & "Stepping: " & objItem.Stepping

a = a & vbCr & "SystemCreationClassName: " & objItem.SystemCreationClassName

a = a & vbCr & "SystemName: " & objItem.SystemName

a = a & vbCr & "UniqueId: " & objItem.UniqueId

a = a & vbCr & "UpgradeMethod: " & objItem.UpgradeMethod

a = a & vbCr & "Version: " & objItem.Version

a = a & vbCr & "VoltageCaps: " & objItem.VoltageCaps

ScriptArea.Value= a

End Sub

</SCRIPT>

<head>

<title>AnonyViet</title>

<HTA:APPLICATION ID="MyHTAId" APPLICATIONNAME="MyHTA" BORDER="DIALOG" MAXIMIZEBUTTON="NO" SCROLLFLAT="YES" CAPTION="YES" SELECTION="NO" INNERBORDER="NO" ICON="" SCROLL="NO" SHOWINTASKBAR="YES" SINGLEINSTANCE="YES" SYSMENU="YES" WINDOWSTATE="NORMAL" />

</head>

var winWidth=1024;

var winHeight = 920;

window.resizeTo(winWidth, winHeight);

var winPosX=screen.width/2-winWidth/2;

var winPosY=screen.height/2-winHeight/2;

window.moveTo(winPosX, winPosY);

</script>

body{font:14px Tahoma, sans-serif;margin: 13px;line-height: 20px;background: #EDEDED;}

.bold{font-weight: bold;}

.mark{background: #D0D0E8;padding: 2px 5px;}

.header{text-align: center;font-size: 25px;line-height: 40px;font-weight: bold;margin-bottom:20px;}

.info{background: #D0D0E8;border-left: 10px solid #00008B;}

.private{border: 1px dashed #000;background: #FFFFEF;}

.note{height: auto;padding-bottom: 1px;margin: 15px 0;}

.note .title{font-weight: bold;text-indent: 10px;height: 25px;line-height: 30px;padding-top: 10px;}

.note ul{margin-top: 0;}

</style>

<body>

</div>

<div class='bold'>Các tài liệu, ảnh, cơ sở dữ liệu của bạn và các tập tin quan trọng khác đã được mã hóa, khôi phục lại dữ liệu là điều không thể. Các tài liệu, ảnh, cơ sở dữ liệu của bạn và các tệp quan trọng khác đã được mã hóa mật mã rất nhiều, không thể khôi phục mà không có chìa khóa gốc! Để giải mã các tập tin của bạn, bạn cần phải mua một chương trình đặc biệt - AnonyViet DECRYPTER. Việc sử dụng các công cụ khác có thể làm hỏng các file của bạn. Nếu bạn muốn khôi phục dữ liệu mã hóa, hãy gửi email cho chúng tôi <span class='mark'>anonyviet.com@gmail.com</span>

</div>

<div>Bạn sẽ phải chi trả bằng Bitcoins cho việc giải mã dữ liệu. Giá cả phụ thuộc vào thời gian bạn gửi email cho chúng tôi. Sau khi thanh toán, chúng tôi sẽ gửi cho bạn công cụ giải mã sẽ giải mã tất cả các tệp của bạn.</div>

<div class='title'>Giải mã miễn phí 3 files</div>

<ul>Trước khi thanh toán, bạn có thể gửi cho chúng tôi tối đa 3 tệp để giải mã miễn phí. Tổng kích thước tệp phải dưới 1MB (không nén) và tệp không được chứa thông tin có giá trị. (database,backup, excel ...)</ul>

</div>

<div class='title'>Làm thế nào để có được bitcoin</div>

<ul>Cách dễ nhất để mua bitcoins là trang web LocalBitcoins. Bạn phải đăng ký, bấm vào 'Mua bitcoins', và chọn người bán theo phương thức thanh toán và giá cả.

<br><a href='https://localbitcoins.com/buy_bitcoins'>https://localbitcoins.com/buy_bitcoins</a>

<br>Ngoài ra bạn có thể tìm thấy những nơi khác để mua Bitcoins ở đây:

<br><a href='http://www.coindesk.com/information/how-can-i-buy-bitcoins/'>http://www.coindesk.com/information/how-can-i-buy-bitcoins/</a>

</ul>

</div>

<div class='title'>Copy đoạn mã dưới đây và gửi kèm theo Bitcoin</div>

</div>

</center>

</body>

Phân tích Code Troll Ransomware

Đoạn <SCRIPT LANGUAGE=”VBScript”> đây là phần Application mình đề cập ở trên.

Đoạn từ <head> trở về cuối cùng chỉ là mã html và css đơn thuần.

Và tất nhiên đây chỉ là một giao diện hù dọa. Khi người dùng click vào nút Lấy thông tin, code VBS sẽ khởi chạy, và sẽ show ra thôn tin CPU của bạn.

Nếu bạn nghiên cứu thêm về code VBS, bạn có thể làm cho Code troll này trở thành một con virus thật sự. Nhưng mình không khuyến khích điều đó, chỉ nên dùng kiến thức vào việc có ích nhé.