17/09/2018, 21:47

Ransomware mới mã hóa file của các trò chơi nổi tiếng

Các nhà nghiên cứu vừa phát hiện malware nhắm đến game thủ và yêu cầu họ thanh toán một khoản tiền nếu không muốn toàn bộ quá trình chơi trong game bị biến mất. Malware có tên Teslacrypt hoạt động khá giống ransomware truyền thống như Cryptolocker. Nó lây nhiễm trên máy tính Windows bằng ...

teslacrypt

Các nhà nghiên cứu vừa phát hiện malware nhắm đến game thủ và yêu cầu họ thanh toán một khoản tiền nếu không muốn toàn bộ quá trình chơi trong game bị biến mất.

Malware có tên Teslacrypt hoạt động khá giống ransomware truyền thống như Cryptolocker. Nó lây nhiễm trên máy tính Windows bằng cách khai thác lỗ hổng trong Adobe Flash (CVE-2015-0311) hoặc Internet Explorer (CVE-2013-2551). Nạn nhân truy cập vào trang web rồi bị lây nhiễm, malware này sẽ không tải xuống nếu phát hiện ra máy tính cài phần mềm diệt virus hoặc đang chạy trên máy ảo.

Khi đã được cài đặt, Teslacrypt quét file hệ thống và mã hóa file tương ứng với một danh sách các kiểu file, tạo ra một khóa AES ngẫu nhiên cho mỗi file thông qua mã OpenSSL. Sau đó nó sẽ mã hóa khóa AES thông qua khóa công khai từ cặp khóa 2048-bit RSA.

Khóa bí mật cần để giải mã mỗi file và khôi phục lại hoàn toàn dữ liệu được lưu trữ trên máy chủ điều khiển của tin tặc. Nạn nhân buộc phải trả $500 bằng tiền Bitcoin hoặc mua thẻ thanh toán $1000 Paypal My Cash thông qua trang web ẩn mạng Tor rồi mới được tải về khóa giải mã trước thời hạn. Máy chủ điều khiển được ẩn trong mạng Tor và malware kết nối với hệ thống này qua HTTP. Teslacrypt để lại những file sau trên máy tính bị nhiễm độc:

%AppData%<random>.exe
%AppData%key.dat
%AppData%log.html
%Desktop%CryptoLocker.lnk
%Desktop%HELP_TO_DECRYPT_YOUR_FILES.bmp
%Desktop%HELP_TO_DECRYPT_YOUR_FILES.txt

và ngăn chặn những chương trình sau:

taskmgr
procexp
regedit
msconfig
cmd.exe

Một nhà nghiên cứu đã chỉ ra rằng TeslaCrypt rất khác Cryptolocker, chỉ giống 8% mã thực thi. Và nếu sử dụng mã hóa RSA, dường như cặp khóa được tạo trên hệ thống của tin tặc. Loại malware này không chỉ tập trung lên các file hình ảnh hay tài liệu mà còn mã hóa file liên quan đến hơn 20 trò chơi và dịch vụ game: từ dữ liệu cá nhân người dùng đến file save của trò chơi, bản đồ và các bản mod. Những trò chơi được phát hiện bao gồm Call of Duty, World of Warcraft, Assassin’s Creed, League of Legends, và Minecraft. Thêm vào đó, nó còn khóa tài khoản Steam và công cụ phát triển như Unity3D và Unreal Engine.

theregister

Bài viết cùng chủ đề << Kaspersky cung cấp công cụ giải mã file bị mã hóa bởi CoinVault RansomwareThông báo “Google Chrome update” giả mạo có thể khiến người dùng nhiễm ransomware >>
0