Phát hiện biến thể ransomware Critroni “thân thiện hơn”

Các nhà nghiên cứu bảo mật đã xác định chủng mới của ransomware Critroni, còn được gọi là CTB-Locker, cho phép một khoảng thời gian dài để trả tiền chuộc, cũng như cung cấp các tập tin được giải mã miễn phí.

Các phiên bản trước của phần mềm độc hại này yêu cầu thực hiện thanh toán trong 72 giờ, hoặc phí tổn sẽ tăng lên. Ngoài ra, thử nghiệm miễn phí của dịch vụ giải mã không tồn tại trong các phiên bản trước đó; điều này nhằm đảm bảo nạn nhân phục hồi dữ liệu đầy đủ nếu tiền chuộc được trả.

Các nhà khai thác Critroni thử mô hình kinh doanh mới

Trong các phiên bản mới, được phát hiện vào tháng 1/2015, thời gian gia hạn được thiết lập đến 96 giờ, trong khi 5 tập tin có thể được giải mã. Rõ ràng, cách tiếp cận mới được thiết kế để phát triển số lượng nạn nhân trả tiền chuộc.

“Phân tích các biến thể tiết lộ một tính năng trước đó không hề thấy ở các biến thể CTB Locker – cơ hội giải mã các tập tin miễn phí. Mô hình freemium (chiến lược giá: cung cấp một sản phẩm miễn phí nhưng tính giá các tính năng độc quyền) này được phát hiện trong phần mềm độc hại CoinVault, nhưng biến thể CTB Locker này tăng mức tiền cược bằng cách cho phép các nạn nhân chọn 5 tập tin, chứ không phải chỉ là một, để được giải mã”, Trend Micro cho biết trong một bài đăng blog.

Tuy nhiên, có một nhược điểm, các nhà nghiên cứu bảo mật chỉ ra rằng tiền chuộc đã tăng lên đến 3 BTC (tiền ảo Bitcoin – tương đương 700 USD hoặc.610 Euro). Trong các mẫu từ tháng 7/2014, Critroni đòi hỏi 0,2 BTC (tương đương 46 USD hoặc 41 Euro).

Có vẻ như trên danh sách các cải tiến có sẵn trong loại biến thể mới, thông điệp chuộc được bản địa hoá, vì văn bản có thể được hiển thị bằng các ngôn ngữ khác ngoài tiếng Anh, với các biến thể ở Hà Lan, Đức, và Ý đã được ghi nhận.

Sử dụng các email độc hại để phát tán mối đe dọa

Trend Micro đã quan sát thấy rằng phần mềm độc hại được phát tán thông qua các tin nhắn email bằng các ngôn ngữ khác nhau tự xưng là thông báo quan trọng. Chúng cung cấp một file đính kèm có chứa malware downloader, trong đó lưu trữ hai lần. Một khi các tập tin bị thực thi, nó tiến tới tải Critroni từ các trang web bị xâm nhập, có trụ sở tại Pháp.

Các nhà nghiên cứu đã xác định rằng các thông điệp độc hại được gửi tự động từ các hệ thống là một phần của Cutwail spam botnet.

Như một biện pháp bảo vệ, các nhà nghiên cứu khuyến khích xác minh địa chỉ của người gửi có vẻ khả nghi và không mở file không rõ nguồn gốc.

Nếu bị nhiễm ransomware mã hóa dữ liệu trên máy tính, không nên trả tiền chuộc để khuyến khích hành vi gian lận như vậy. Giữ sao lưu thường xuyên, ít nhất là cho các tập tin quan trọng nhất, đảm bảo chúng phục hồi trong trường hợp bị nhiễm loại malware này.

Softpedia