17/09/2018, 21:14

OphionLocker, loại Ransomware hoàn toàn mới

Một biến thể Ransomware mới được phát hiện bởi các nhà nghiên cứu Trojan7Malware có tên OphionLocker. OphionLocker sử dụng Elliptic Curve để mã hóa, Tor để kết nối và Malvertising (quảng cáo độc hại) để phát tán. *Elliptic curve cryptography (ECC) là một khóa mã hóa công khai dựa trên cấu ...

ransomware-161113-1

Một biến thể Ransomware mới được phát hiện bởi các nhà nghiên cứu Trojan7Malware có tên OphionLocker. OphionLocker sử dụng Elliptic Curve để mã hóa, Tor để kết nối và Malvertising (quảng cáo độc hại) để phát tán.

*Elliptic curve cryptography (ECC) là một khóa mã hóa công khai dựa trên cấu trúc số của các đường cong elip trên một trường hữu hạn. Một trong những lợi ích chính mà mã hóa ECC là nó cung cấp cùng mức độ mã hóa với kích cỡ khóa nhỏ hơn.

Khi nạn nhân tải malware bằng cách truy cập vào trang web chứa quảng cáo mã độc, nó sẽ mã hóa các tệp tin và sử dụng một Tor2web URL nhằm chuyển hướng tới một trang hướng dẫn cách trả tiền để mua lấy công cụ giải mã. Tin tặc yêu cầu thanh toán bằng Bitcoin có giá lên đến 350$ tính lãi theo ngày. Tuy nhiên giá của công cụ giải mã cùng có thể thay đổi tùy thuộc vào vị trí của nạn nhân. Trojan7Malware đã đưa ra một mô hình mã hóa tệp tin của ransomware này tương tự như CryptoLocker và TorLocker.

Đuôi của tệp tin bị mã hóa :

“accdb”,0,”.ai”,0,”.arw”,0,”.bay”,0,”.blend”,0,”.cdr”,0,”.cer”,0,”.cr2″,0,”.crt”,0,”.crw”,0,”.dbf”,0,”.dcr”,0,”.der”,0,”

.dng”,0,”.doc”,0,”.docm”,0,”.docx”,0,”.dwg”,0,”.dxf”,0,”.dxg”,0,”.eps”,0,”.erf”,0,”.indd”,0,”.jpe”,0,”.jpg”,0,”.jpeg”,0,”

.kdc”,0,”.mdb”,0,”.mdf”,0,”.mef”,0,”.mrw”,0,”.nef”,0,”.nrw”,0,”.odb”,0,”.odm”,0,”.odp”,0,”.ods”,0,”.odt”,0,”.orf”,0,”

.p12″,0,”.p7b”,0,”.p7c”,0,”.pdd”,0,”.pdf”,0,”.pef”,0,”.pem”,0,”.pfx”,0,”.ppt”,0,”.pptm”,0,”.pptx”,0,”.psd”,0,”.pst”,0,”

.ptx”,0,”.r3d”,0,”.raf”,0,”.raw”,0,”.rtf”,0,”.rw2″,0,”.rwl”,0,”.srf”,0,”.srw”,0,”.wb2″,0,”.wpd”,0,”.wps”,0,”.xlk”,0,”

.xls”,0,”.xlsb”,0,”.xlsm”,0,”.xlsx”,0,0″

Một khía cạnh thú vị của loại Ransomware này là nó cố gắng nhận diện môi trường mà nó đang làm việc. Nếu nó phát hiện là một môi trường máy ảo, nó sẽ không yêu cầu bất kì thanh toán nào. Các môi trường ảo thường được các nhà nghiên cứu bảo mật sử dụng để chống lại Ransomware. Một tính năng độc đáo khác là malware này tạo ra một HWID (xác định phần cứng) nhằm đảm bảo mỗi malware sẽ được tạo ra trên một máy tính riêng.

Techworm

Bài viết cùng chủ đề << CryptoWall ransomware trở lại với phiên bản mới sau hai tháng im ắngRansomware CryptoWall 3.0 sử dụng mạng I2P ẩn danh dành cho kết nối command and control >>
0