12/07/2018 - 17:36

Phát hiện thủ đoạn mới của mã độc tống tiền 

Công ty an ninh mạng hàng đầu thế giới Fortinet vừa đưa ra cảnh báo mã độc tống tiền đang được “đại tu” với những thủ đoạn mới nguy hiểm hơn rất nhiều. Chúng thậm chí có thể mã hóa tập tin ngay cả khi người dùng không kết nối Internet.

Ảnh: BestTechTips

Mã độc tống tiền GandCrab xuất hiện lần đầu tiên hồi tháng Giêng năm nay và nhanh chóng trở thành một trong những dạng phần mềm độc hại khóa tập tin hoạt động mạnh nhất. Nó cũng được bán “rẻ như bèo” trong “thế giới ngầm” của Internet dưới dạng dịch vụ và thường xuyên được cập nhật từ các nhà phát triển. Tuy nhiên, mới đây phiên bản mới nhất của nó đã được tung ra với những cải tiến mà Fortinet gọi là một sự “đại tu” cấu trúc mã, làm cho nó nguy hiểm hơn bao giờ hết.

Một trong những thay đổi lớn nhất của GandCrab version 4 là cơ chế mã hóa chuyển từ RSA-2048 sang Salsa20, cho phép mã hóa tập tin nhanh hơn rất nhiều. Cơ chế Salsa20 trước đây từng cho thấy nguy hại đến mức nào trong mã độc tống tiền Petya.

GandCrab phiên bản mới trước mắt nhắm đến việc gieo “thảm họa” cho những nạn nhân qua các trang web WordPress đã bị nhiễm độc, dưới hình thức dụ dỗ người dùng tải về các công cụ tăng tốc hệ thống, mà thực chất là phần mềm độc hại. Nó cũng rất xảo quyệt khi tập tin chương trình và liên kết tải về được cập nhật thường xuyên, để tránh bị phát hiện. Tuy nhiên, không loại trừ khả năng nó cũng có thể được phát tán qua email lừa đảo trong thời gian sắp tới.

Giống như các phiên bản trước, nó sẽ kiểm tra xem máy tính của nạn nhân có ở nước nói tiếng Nga hay không. Nếu có, nó sẽ không mã hóa tập tin. Cùng với việc GandCrab được bán trên các diễn đàn tin tặc Nga, làm dấy lên suy luận tác giả của nó có thể ở Nga. Những kẻ xấu đứng đằng sau GandCrab thậm chí chế giễu các nhà nghiên cứu an ninh mạng trong các đoạn mã phần mềm, bằng cách thêm vào tên của họ và những lời lẽ xúc phạm.

Các nạn nhân sẽ thấy những tập tin của họ bị mã hóa với phần mở rộng mới “.KRAB”. Cơ chế mã hóa mới cũng có thể mã hóa tập tin ngay cả khi người dùng không kết nối Internet, trái ngược với các phiên bản trước đây cần phải kết nối tới máy chủ điều khiển và ra lệnh của nó trước khi mã hóa tập tin. Thêm vào đó, GandCrab đã có khả năng phát tán qua lỗ hổng SMB, nên có thể tấn công các máy tính chạy Windows XP và Windows Server 2003. Đây là lần đầu tiên mã độc tống tiền có thể tự phát tán qua các hệ điều hành cũ. Nó không kém phần nguy hiểm vì các hệ điều hành này vẫn còn trên 10% số người dùng ở một số quốc gia, nhưng không còn được hỗ trợ an ninh.

Riêng trang đòi tiền chuộc không có nhiều thay đổi khi nó đòi 500 USD bằng tiền ảo Bitcoin hay Dash để đổi lấy “sự tự do” của các tập tin. Mức giá này sẽ tăng lên 1.000 USD nếu tiền chuộc không được trả trong vòng một vài ngày.

Giống như đối với các dạng mã độc tống tiền khác, các nhà nghiên cứu an ninh mạng khuyến cáo người dùng không nên đưa tiền chuộc, vì như thế sẽ làm cho bọn tội phạm “đắc ý” rằng cách kiếm tiền phi pháp của họ đã phát huy hiệu quả. Bên cạnh đó, để tránh trở thành nạn nhân của chúng, người dùng được khuyên nên thận trọng tối đa với những tập tin tải về từ Internet, nhất là các ứng dụng bẻ khóa, và chỉ tải về từ các nguồn đáng tin cậy.

LÊ PHI (Theo ZDNet)

Chia sẻ bài viết