18/09/2018, 11:08

Mã độc tống tiền CryptXXX đánh cắp tiền ảo Bitcoin và dữ liệu cá nhân

Mã độc tống tiền hiện tại không chỉ đòi tiền chuộc, tin tặc đưa các khả năng đánh cắp thông tin vào CryptXXX ransomware nhằm lấy dữ liệu cá nhân và tiền ảo Bitcoin của nạn nhân. Các nhà nghiên cứu đã theo dõi CryptXXX trong một chiến dịch mã độc phát tán bởi bộ công cụ khai thác Angler và mạng ...

Mã độc tống tiền hiện tại không chỉ đòi tiền chuộc, tin tặc đưa các khả năng đánh cắp thông tin vào CryptXXX ransomware nhằm lấy dữ liệu cá nhân và tiền ảo Bitcoin của nạn nhân.

Các nhà nghiên cứu đã theo dõi CryptXXX trong một chiến dịch mã độc phát tán bởi bộ công cụ khai thác Angler và mạng máy tính ma (botnet) Bedep. Cũng giống như các ransomware khác, CryptXXX mã hóa dữ liệu người dùng và hiển thị thông báo đòi tiền chuộc trên máy tính nạn nhân, điều hướng nạn nhân đến trang thanh toán hỗ trợ nhiều ngôn ngữ khác nhau.

cryptxxx-fig-2

Trang thông báo máy tính đã bị mã hóa

cryptxxx-fig-3

Hình nền của nạn nhân chuyển sang màu đen với thông báo đòi tiền chuộc

cryptxxx-fig-4

Trang thanh toán hỗ trợ nhiều ngôn ngữ khác nhau

Theo các nhà nghiên cứu, mã độc đòi tiền chuộc CryptXXX được phát tán dưới dạng tệp tin thư viện liên kết động (DLL) tải về từ Internet. Các tệp tin này sẽ chờ một thời gian nhất định trước khi thực thi nhằm tránh bị các công cụ diệt virus phát hiện.

Sau khi được khởi chạy, CryptXXX mã hóa tệp tin của người dùng và thêm phần mở rộng .crypt vào sau tên tệp tin trên tất cả các phân vùng ổ đĩa. Nó rất giống với mã độc Reventon đã từng gây nhiều thiệt hại và phát tán mạnh mẽ trên Internet với những điểm đáng chú ý sau:

  • Ngôn ngữ lập trình Delphi
  • Giao thức điều khiển C&C trên TCP 443
  • Có thời gian chờ trước khi thực thi
  • Sử dụng tệp tin liên kết động DLL gọi các hàm
  • Phát tán tệp tin .dat vào thư mục của tất cả người dùng trên máy tính
  • Chứa tính năng đánh cắp Bitcoin và thông tin cá nhân
Bài viết cùng chủ đề << Hướng dẫn giải mã Petya Ransomware miễn phíMã độc ransomware phát tán bằng mã khai thác của Hacking Team >>
0