Mã độc tống tiền được đặt tên là Syrk, có mục đích kiếm lợi từ sự phổ biến của trò chơi Fortnite bằng cách giả mạo một công cụ hack trò chơi này. Sau khi được thực thi, mã độc bắt đầu mã hóa và thêm đuôi .Syrk cho các tệp trên thiết bị của nạn nhân.
Fortnite là trò chơi khá phổ biến với hơn 250 triệu người chơi trên toàn thế giới. Gần đây, hàng triệu người chơi đã tham gia vào giải đấu toàn thế giới Fortnite World Cup với tổng giá trị giải thưởng lên đến hàng chục triệu USD.
Công ty Cyren đã phân tích về mã độc này và tiết lộ rằng, mã độc dựa trên phần mềm độc hại nguồn mở Hidden-Cry. Mã nguồn của phần mềm độc hại này đã có sẵn trên GitHub từ cuối năm 2018.
Mã độc tống tiền Syrk có mục đích lừa người dùng trả tiền chuộc càng sớm càng tốt bằng cách cứ 2 tiếng sẽ xóa dần các tệp của người dùng. Nhưng theo các nhà nghiên cứu của Cyren, nạn nhân có thể khôi phục các tệp này và thậm chí có thể giải mã dữ liệu đã bị mã hóa mà không cần trả tiền cho tin tặc.
Mã độc Syrk có kích thước 12MB, bao gồm một số lượng lớn các tệp được nhúng trong phần tài nguyên của nó. Khi thực thi, mã độc cố gắng vô hiệu hóa trình Windows Defender và User Account Control (UAC) bằng cách chỉnh sửa registry để có thể tồn tại lâu dài. Mã độc cũng theo dõi hệ thống để tìm ra các công cụ có thể chấm dứt tiến trình của nó như Task Manager, Procmon64 và ProcessHacker để lẩn tránh. Ngoài ra, nó cũng cố gắng lây nhiễm sang USB khi được gắn vào hệ thống.
Điều đáng mừng là các nhà nghiên cứu của Cyren đã phát hiện ra 2 phương pháp có thể giải mã dữ liệu đã bị mã hóa mà không cần trả tiền chuộc, lý do bởi các tệp tin cần thiết để giải mã cũng có sẵn trên những máy tính bị nhiễm.
Một trong số đó là dh35s3h8d69s3b1k.exe, công cụ giải mã Hidden-Cry được nhúng trong phần tài nguyên của phần mềm độc hại. Trích xuất và thực thi tệp tin này sẽ tạo tập lệnh PowerShell cần thiết để giải mã.
Ngoài ra, các nhà nghiên cứu cũng quan sát thấy mã độc này đã đưa vào các máy tính bị lây nhiễm các tệp có chứa ID và mật khẩu cần thiết để giải mã các tệp. Đó là các tệp -i+.txt, -pw+.txt và +dp-.txt trong đường dẫn C:\Users\Default\AppData\Local\Microsoft\.
Các nhà nghiên cứu cũng cho biết, mã độc Syrk cũng bao gồm cơ chế dọn sạch dưới dạng lệnh có thể thực thi, để xóa các tệp tin đã đưa vào máy tính sau khi sử dụng mật khẩu để giải mã dữ liệu.
Toàn Thắng
Theo SecurityWeek
08:00 | 03/09/2019
15:00 | 24/10/2019
17:00 | 03/01/2020
16:00 | 12/12/2019
09:00 | 26/08/2019
08:00 | 03/07/2019
15:00 | 02/03/2020
10:00 | 28/03/2024
Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.
09:00 | 29/01/2024
Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.
15:00 | 19/01/2024
Ngày 16/1, Google đã phát hành bản cập nhật để khắc phục bốn vấn đề bảo mật trong trình duyệt Chrome, trong đó có một lỗ hổng zero-day đã bị khai thác tích cực trong thực tế.
07:00 | 08/01/2024
Mới đây, các nhà nghiên cứu an ninh mạng tới từ công ty bảo mật di động ThreatFabric (Hà Lan) cho biết một phiên bản cập nhật mới của Trojan ngân hàng Android có tên là Chameleon đang mở rộng mục tiêu nhắm tới người dùng ở Anh và Ý. Trojan này được phân phối thông qua Zombinder - một loại phần mềm Dropper dưới dạng dịch vụ (DaaS). Bài viết này sẽ tập trung phân tích biến thể mới của Chameleon với khả năng đặc biệt vượt qua tính năng xác thực sinh trắc học.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024