CryptoWall ransomware trở lại với phiên bản mới sau hai tháng im ắng

Những kẻ tấn công đã bắt đầu phát tán một phiên bản mới và cải tiến các chương trình ransomware mã hóa tập tin CryptoWall trong vài ngày qua, các nhà nghiên cứu bảo mật cảnh báo.

Phiên bản mới, được đặt tên là CryptoWall 3.0, sử dụng lưu lượng nội địa hóa và chuyển giao tới một trang web mà người dùng có thể trả tiền cho các khóa giải mã của họ thông qua hai mạng ẩn danh Tor và I2P (Invisible Internet Project).

CryptoWall là một chương trình ransomware phức tạp mã hóa các tập tin của nạn nhân với một thuật toán mã hóa mạnh mẽ. Người dùng được yêu cầu phải trả tiền ảo Bitcoin tương đương với 500 USD để nhận được chìa khóa giải mã cho phép phục hồi các tập tin của họ.

Chương trình ransomware cung cấp cho người dùng các liên kết đến một số trang web hoạt động như các cổng Tor. Các máy chủ proxy có nghĩa vụ tự động kết nối trình duyệt của người dùng với dịch vụ decryptor CryptoWall lưu trữ trên mạng Tor. Tuy nhiên, có vẻ như với CryptoWall 3.0, lưu lượng truy cập của người dùng cũng được truyền qua một mạng ẩn danh gọi là I2P.

Từ Tor tới I2P

Một nhà nghiên cứu phần mềm độc hại, người sử dụng bí danh trực tuyến Kafeine phát hiện ra sự thay đổi này sau khi lây nhiễm một mẫu CryptoWall 3.0 vào hệ thống thử nghiệm của mình. Khi ông cố gắng truy cập vào một trong các liên kết cổng Tor theo hướng dẫn của phần mềm độc hại, ông đã nhận được một lỗi hiển thị bằng tiếng Nga, tạm dịch là: “Website I2P hiện không có. Có lẽ nó bị vô hiệu hóa, mạng bị nghẽn hoặc router của bạn không được tích hợp tốt với các trạm khác. Bạn có thể lặp lại thao tác của mình”.

Điều này cho thấy rằng trang web nơi người dùng có thể trả tiền chuộc và nhận được chìa khóa giải mã của họ không còn được lưu trữ trên Tor mà trên I2P. Cổng Tor có khả năng vượt qua lưu lượng truy cập của người dùng đến một dịch vụ ẩn Tor đầu tiên, sau đó kết nối vào mạng I2P để mở ra trang web thực. Lưu ý tiền chuộc cũng hướng dẫn người dùng tải về trình duyệt Tor và truy cập một dịch vụ ẩn Tor một cách trực tiếp nếu các URL cổng Tor không còn làm việc.

CryptoWall không phải là chương trình phần mềm độc hại đầu tiên sử dụng I2P. Vào tháng 11/2013, các nhà nghiên cứu bảo mật cho biết một Trojan ngân hàng trực tuyến được gọi là i2Ninja đã được quảng cáo trên các diễn đàn tin tặc. Chương trình này kết nối với một máy chủ C&C lưu trữ trên mạng I2P, thay vì Tor.

Giống như Tor, mạng I2P cho phép người sử dụng chạy các dịch vụ ẩn như các trang web mà chỉ có thể truy cập từ mạng riêng của nó. Với Tor những trang web đó sử dụng các tên miền ảo cấp cao nhất .onion, trong khi với I2P chúng sử dụng .i2p.

Một phiên bản mới của Silk Road, một thị trường trực tuyến cho hàng hóa và dịch vụ bất hợp pháp, thời gian gần đây đã được đưa ra trên I2P. Trang web trước đó được lưu trữ trên Tor và bị FBI đóng cửa hai lần.

Download Drive-by, phần mềm độc hại khác lưu trữ CryptoWall

Tội phạm mạng bắt đầu phát tán CryptoWall 3.0 hôm thứ Hai (11/1), sau khoảng hai tháng không hoạt động khiến các nhà nghiên cứu tự hỏi liệu có phải mối đe dọa đã ngừng hoạt động.

Giống như phiên bản trước của nó, phiên bản mới này đang được phát tán thông qua các cuộc tấn công download drive-by khai thác các lỗ hổng trong trình duyệt plug-ins lỗi thời hoặc thông qua phần mềm độc hại khác đã được cài đặt trên máy tính, các nhà nghiên cứu từ Microsoft cho biết trong một bài đăng blog.

Theo Kafeine, tùy thuộc vào vị trí của nạn nhân, phần mềm độc hại có thể cũng hiển thị các lưu ý tiền chuộc và hướng dẫn với ngôn ngữ khác nhau. Ví dụ, trên hệ thống thử nghiệm của mình, ông đã nhận được hướng dẫn CryptoWall bằng tiếng Pháp.

Người dùng nên sao lưu các tập tin của họ thường xuyên đến một thiết bị lưu trữ, sau đó ngắt kết nối từ các máy tính và mạng để ngăn chặn việc sao lưu cũng bị mã hóa doviệc lây nhiễm CryptoWall. Trong trường hợp không có bản sao lưu thường không có tùy chọn để khôi phục lại các tập tin, ngoại trừ việc trả tiền cho tội phạm mạng để lấy các khóa giải mã.

Pcworld