17/09/2018, 18:15

Phần mềm đòi tiền chuộc mới TorrentLocker dựa mã hóa của CryptoLocker và CryptoWall

Một chiến dịch lừa đảo có thể đang nhắm mục tiêu vào người dùng Úc đã được phát hiện bởi các nhà nghiên cứu bảo mật nhằm thả một loại phần mềm đòi tiền chuộc mới, dựa trên cơ chế của CryptoLocker và CryptoWall nhưng với một mã cơ bản hoàn toàn khác. Với tên gọi TorrentLocker, các phần mềm ...

Một chiến dịch lừa đảo có thể đang nhắm mục tiêu vào người dùng Úc đã được phát hiện bởi các nhà nghiên cứu bảo mật nhằm thả một loại phần mềm đòi tiền chuộc mới, dựa trên cơ chế của CryptoLocker và CryptoWall nhưng với một mã cơ bản hoàn toàn khác.

Phần mềm đòi tiền chuộc mới TorrentLocker dựa trên cơ chế của CryptoLocker và CryptoWall

Với tên gọi TorrentLocker, các phần mềm đòi tiền chuộc mới tiến hành mã hóa các tập tin cụ thể trên máy tính bị ảnh hưởng và sau đó hiển thị một tin nhắn đòi tiền chuộc tương tự như CryptoLocker khét tiếng. Tuy nhiên, các chuyên gia bảo mật từ iSight Partners, một công ty chuyên nghiên cứu các mối đe dọa về an ninh mạng, đã nhận thấy rằng “nhìn chung về phần mềm độc hại này giống như CryptoWall.”

Phí giải mã các tập tin bị khóa (tài liệu, dữ liệu lưu trữ, dữ liệu sao lưu, cơ sở dữ liệu) được yêu cầu thanh toán bằng tiền ảo Bitcoin, mua từ một số sàn giao dịch Bitcoin Úc và gửi đến một địa chỉ xác định.

Trước khi bắt đầu mã hóa dữ liệu, TorrentLocker thiết lập một kênh thông tin liên lạc được bảo mật kết nối với một câu lệnh và một máy chủ kiểm soát (C&C) có sẵn tại một địa chỉ mã hóa, từ đó nó tải về các chứng chỉ bảo mật và các tập tin cấu hình. Trong trường hợp không có kết nối Internet, phần mềm độc hại không thể tiến hành mã hóa các tập tin trên hệ thống bị xâm nhập. Một khi kết nối được vào máy chủ, thông tin chứng nhận sẽ được nhận và quá trình mã hóa bắt đầu.

Theo các chuyên gia bảo mật, thuật toán mã hóa được sử dụng là Rijndael, một thuật toán mã hóa đối xứng dựa trên mật khẩu để giữ bí mật cho các thông tin về khóa. Cao cấp hơn, phần mềm độc hại này còn có thể dựa vào mật mã bất đối xứng phức tạp hơn bằng việc sử dụng một cặp khóa, một khóa công khai (được sử dụng để mã hóa) và một khóa bí mật riêng (được sử dụng để giải mã). Khóa bảo mật nằm trong tay của kẻ đe dọa và các tập tin chỉ có thể trở lại trạng thái ban đầu khi có khóa này.

Dường như mật khẩu để giải phóng dữ liệu không có sẵn trên máy tính cục bộ và với mỗi hệ thống lại có mật khẩu khác nhau. Tuy nhiên, để chứng tỏ thiện chí, những kẻ điều hành phần mềm độc hại cũng cung cấp cho nạn nhân khả năng giải mã một tập tin miễn phí.

TorrentLocker được phát tán thông qua thư rác, do đó cách tốt để tránh rắc rối này là tránh truy cập vào những liên kết không mong muốn trong email. Trong trường hợp phần mềm đòi tiền chuộc luôn quy định thời gian cụ thể mà nạn nhân phải thanh toán phí được yêu cầu.

Các nhà nghiên cứu quan sát thấy rằng để hoàn toàn kiểm soát máy tính bị xâm nhập, các phần mềm độc hại và các cấu hình nó được lưu trữ trong Windows Registry. “Registry có chứa các hạng mục như các nhị phân cơ bản, tin nhắn đòi tiền chuộc, địa điểm đã cài đặt, khóa chạy tự động và số lượng các tập tin được mã hóa,” Richard Hummel viết trong một bài đăng trên blog.

Hiện tại mã độc này chưa ảnh hưởng tới Việt Nam, tuy nhiên cần hết sức lưu ý vì mã độc có thể lây lan bất cứ lúc nào. Nếu bạn nhận được một email chứa các tập tin có nghi ngờ là độc hại hoặc các đường dẫn không rõ nguồn gốc vui lòng chuyển tiếp về địa chỉ email: visteam911@gmail.com. Chúng tôi sẽ phân tích và phản hồi cho bạn về độ an toàn của tập tin, đường dẫn trong thời gian sớm nhất.

Bài viết cùng chủ đề << Virus đòi tiền chuộc Cryptowall lây lan nhanh chóng thông qua những quảng cáo độc hại
0