Bóc mẽ sự tinh vi của tin tặc mã hóa dữ liệu đòi tiền chuộc

Thứ Bảy, ngày 10/09/2016, 08:00
Sự kiện: Kaspersky

Tin tặc giấu tập tin độc hại trong một tập tin nén đã được khóa lại, sau đó gửi tập tin nén này kèm khóa giải mã qua email để tăng niềm tin với người dùng.

Các chuyên gia bảo mật tại Kaspersky Lab vừa phát hiện một biến thể mới của ransomware RAA - phần mềm độc hại mã hóa dữ liệu đòi tiền chuộc, được viết bằng JScript. Theo kết quả phân tích, trojan mới này sẽ gửi tập tin dạng nén *.zip có chứa tập tin .js độc hại đến nạn nhân. Phiên bản mới của nó có thể mã hóa dữ liệu offline mà không cần tới mã khóa từ máy chủ.

Bóc mẽ sự tinh vi của tin tặc mã hóa dữ liệu đòi tiền chuộc - 1

Mã hóa dữ liệu đòi tiền chuộc đang là vấn nạn hiện nay.

Ransomware RAA xuất hiện vào tháng 6.2016 và là ransomware đầu tiên viết bằng JScript được biết đến. Vào tháng 8, các chuyên gia tại Kaspersky Lab phát hiện phiên bản mới của ransomware này. Mã độc được đặt trong tập tin *.zip bảo mật đính kèm theo các email lừa đảo, đây được đánh giá là một cách để qua mặt các giải pháp chống virus.

Trong quá trình phân tích email lừa đảo, các chuyên gia Kaspersky Lab kết luận rằng, những kẻ lừa đảo đang nhắm tới doanh nghiệp hơn là nhắm vào người dùng thông thường, bởi email độc hại chứa các thông tin về việc thanh toán quá hạn. Để email đáng tin hơn, những kẻ lừa đảo còn khuyến cáo: Vì lý do bảo mật mà tập tin đính kèm đã được bảo vệ, mật khẩu ghi bên dưới email và cũng được bảo vệ bằng cách mã hóa bất đối xứng.

"Nội dung email như trên nghe khá vô lý đối với người dùng hiểu biết về mạng, nhưng nó lại đáng tin đối với những nạn nhân mù mờ về vấn đề này", các chuyên gia Kaspersky Lab nhận định.

Quy trình lây nhiễm mã độc của ransomware RAA cũng giống với phiên bản trước. Khi nạn nhân mở tập tin .js thì quá trình lây nhiễm sẽ bắt đầu. Để đánh lạc hướng nạn nhân, trojan sẽ hiển thị một tài liệu chứa hàng loạt các nhân vật ngẫu nhiên. Trong khi nạn nhân đang cố gắng hiểu chuyện gì đang xảy ra thì ở ngoài màn hình, RAA đang thực hiện mã hóa tập tin trên máy. Cuối cùng, ransomware tạo ra ghi chú trên màn hình desktop và toàn bộ những tập tin mã hóa sẽ bị đổi đuôi mở rộng.

So với phiên bản trước, điểm khác biệt chính là RAA không cần liên lạc với máy chủ để mã hóa tập tin trên máy tính nạn nhân. Cụ thể, thay vì yêu cầu mã khóa từ máy chủ thì trojan này sẽ tự tạo ra mã khóa dạng master key để mã hóa dữ liệu và sau đó lưu trữ khóa ngay trên máy tính nạn nhân. Tội phạm mạng chỉ đơn giản nắm giữ mã bí mật dùng để giải mã mã khóa nói trên. Ngay khi được trả tiền chuộc, tội phạm mạng yêu cầu người dùng gửi cho bọn chúng master key đã bị mã hóa để chúng giải mã.

Ngoài tập tin .js, Kaspersky Lab khuyến cáo người dùng còn phải chú ý các dạng tập tin đính kèm có thể ẩn chứa nhiều nguy hiểm, như .exe, .hta, .wsf,... Hiện tại, ransomware RAA đang được phát tán tới những người dùng nói tiếng Nga. Tuy nhiên, không bao lâu nữa, “tác giả” của nó sẽ quyết định mở rộng ra toàn cầu.

Theo khảo sát nguy cơ bảo mật CNTT tại các doanh nghiệp 2016 do Kaspersky Lab thực hiện, 20% doanh nghiệp đã bị ransomware tấn công trong vòng 12 tháng qua.

Theo Ngọc Phạm (Theo Kaspersky Lab) (Dân Việt)

Tin cùng sự kiện Kaspersky

Tránh thai: Biện pháp nào an toàn?
Tin tài trợ | Màng Phim VCF Tránh thai: Biện pháp nào an toàn?
Khám phá vũ trụ Sự thật về tiểu hành tinh khổng lồ đang lao vào Trái đất khiến nhiều người ngỡ ngàng Trong một vài ngày qua, có những luồng thông tin khác nhau về một tiểu hành tinh đang lao vào Trái đất với tốc độ...
20/01/2018 12:00
Tranh cãi quanh taxi Uber Hiệp hội taxi TP.HCM gửi đơn  thỉnh cầu  Bộ trưởng GTVT trong vụ Grab, Uber Hiệp hội taxi TP.HCM “thỉnh cầu” đề nghị sớm có giải pháp nhằm cứu vãn khả năng phá sản của hàng trăm doanh nghiệp...
20/01/2018 10:00
Tiền ảo Bitcoin Hackers đang giữ khoảng 14% số lượng tiền ảo Các hacker đã xâm nhập vào nguồn cung tiền ảo Bitcoin và Ether và sở hữu khoảng hơn 14% số lượng tiền ảo.
20/01/2018 08:00
Đứt Cáp Quang Thời gian sửa xong cáp AAG bị lùi, chất lượng Internet Việt Nam đi quốc tế bị ảnh hưởng Thay vì cáp AAG được khôi phục hoàn toàn vào 20/1/2018 như kế hoạch cũ, VNPT vừa cho biết, từ ngày 21 - 25/1/2018,...
20/01/2018 06:42
Công nghệ Quá tin cậy vào ứng dụng tránh thai, nhiều người ngậm quả đắng Một ứng dụng ngừa thai từng được EU xác nhận là hình thức kiểm soát sinh sản hiệu quả đang bị xem xét sau khi bị cáo...
19/01/2018 19:00
Internet Từ 1/3, khuyến mại nạp thẻ cho thuê bao trả trước không được quá 20% Đối với thuê bao trả sau, mức trần này là 50%.
19/01/2018 17:00
Samsung Tương lai smartphone Samsung có camera selfie tích hợp vào màn hình Samsung có thể sẽ tạo một bước đột phá trong công nghệ smartphone bằng việc tích hợp camera selfie ở mặt trước của...
20/01/2018 12:00
Samsung Galaxy S9 Không cần tăng dung lượng pin, Galaxy S9 vẫn có thời lượng pin dài Cặp Galaxy S9/ Galaxy S9+ cao cấp của Samsung đang là tâm điểm của sự chú ý khi sắp được công bố tại Triển lãm di...
20/01/2018 10:00
Điện thoại LG V30 LG V30 nâng cấp tích hợp trí tuệ nhân tạo sẽ được ra mắt tháng sau LG có kế hoạch tung ra phiên bản cao cấp của V30, chiếc smartphone được công ty công bố lần đầu tiên tại IFA 2017 vào...
20/01/2018 08:00
Đồng hồ nam Smartwatch giá chát hơn cả Apple Watch Edtiton cao cấp nhất Khi nói đến smartwatch siêu đắt, hầu hết người dùng sẽ nhắc đến cái tên Apple Watch Edition. Tuy nhiên chiếc...
20/01/2018 07:00
Điện thoại Oppo Apple  " tuổi tôm "  sánh vai Oppo tại thị trường Trung Quốc Là thị trường với 1,3 tỷ dân, Trung Quốc luôn là trọng tâm được các thương hiệu chú ý và điện thoại không phải là...
20/01/2018 06:00
Điện thoại Smartphone Top smartphone màn hình tràn viền đáng mua chơi Tết 2018 Dưới đây là danh sách 5 dòng smartphone có màn hình tràn viền đáng mua nhất cho dịp Tết 2018.
19/01/2018 19:00
   
  • Các chuyên mục khác