Trend Micro cảnh báo sự phát triển của mã độc tống tiền nguồn mở

13:57 | 14/06/2017 | HACKER / MALWARE

Gần đây, mã độc tống tiền (ransomware) nguồn mở, với các biến thể dựa trên nguồn mở Hidden Tear và TeslaCrypt, đang tiếp tục tăng nhanh khi nó cho phép tin tặc tạo và phát tán mã độc để đòi tiền chuộc dễ dàng hơn.

Trend Micro cảnh báo sự phát triển của mã độc tống tiền nguồn mở

Phát hiện nhiều biến thể Hidden Tear

Hãng bảo mật Trend Micro cho biết, các biến thể mã độc tống tiền dựa trên nguồn mở Hidden Tear không quá khác so với bản gốc, tuy nhiên tác giả đã cải tiến mã để thực hiện các mục đích riêng.

Ví dụ: mã độc tống tiền May (được Trend Micro phát hiện, có tên đầy đủ RANSOM_HIDDENTEARMAY.A) là một biến thể của Hidden Tear sử dụng mã hóa AES-256 và RSA-4096. Việc mã hóa thực sự dựa trên mã nguồn Hidden Tear nhưng cách khóa lại khác.

Đầu tiên, mã độc May chọn tập tin ngẫu nhiên trong C:\Program Files\Internet Explorer, tiếp theo đọc và xáo trộn 128 bit đầu tiên của tập tin, sau đó sử dụng các bit đã xáo trộn để làm mật khẩu mã hóa cho AES. Để giữ hệ thống máy tính nạn nhân vẫn hoạt động và yêu cầu tiền chuộc dễ dàng hơn, mã độc May có thể tránh mã hóa tập tin trong các thư mục hệ thống như: Program Files, Windows, Program Data.

Với mã độc Mooware (có tên đầy đủ RANSOM_HIDDEMEARMOWARE) là biến thể của Hidden Tear khác so với mã nguồn gốc. Mã độc sử dụng thuật toán mã hóa khác so với Hidden Tear, sử dụng phép mã hóa XOR thay vì AES. Mã độc mã hóa các tập tin trong thư mục: Desktop, Personal, MyMusic, MyPictures và Cookies. Mã độc kiểm tra kết nối Internet và vô hiệu hóa các công cụ Registry, Task Manager hay CMD.

Mã độc tống tiền mới tập trung vào đồ họa và thanh toán theo gói

TeslaCrypt là mã độc đã ngừng hoạt động vào tháng 5/2016, nhưng Trend Micro phát hiện mã độc được mở mã nguồn để tạo ra nhiều biến thể khác nhau, với giao diện và cách thức đòi tiền chuộc phức tạp hơn.

Đầu tiên là Widia (tên đầy đủ là RANSOM_WIDIALOCKER.A), một loại mã độc tống tiền khóa màn hình đang được phát triển, có thể có nguồn gốc từ Romania. Một tính năng của Widia là yêu cầu người sử dụng thanh toán tiền chuộc qua thẻ tín dụng thay vì thanh toán Bitcoin. Mặc dù thẻ tín dụng giúp người dùng thuận tiện để thanh toán tiền chuộc, nhưng nó cũng khiến tin tặc dễ bị phát hiện hơn so với Bitcoin.

Trong khi đó, BlueHowl (tên gọi đầy đủ là RANSOM_BLUEHOWL) là một trình khóa màn hình mới chứa nội dung độc hại đe dọa nạn nhân. Để thanh toán, các nạn nhân sẽ phải chọn phương thức thanh toán qua Bitcoin thông thường hoặc mã QR.

Trend Micro cảnh báo, các tác giả tạo ra mã độc đang tìm kiếm những cách mới để thu tiền từ nạn nhân bằng cách tạo ra giao diện tốt hơn, cung cấp các lựa chọn thanh toán được sử dụng rộng rãi.

‹ › ×

Tin liên quan

Bảo vệ tối đa hệ thống máy tính người dùng và máy chủ tại Trung tâm dữ liệu với sản phẩm Trend Micro

08:00 | 01/08/2018

Công ty TNHH Netpoleon Việt Nam - nhà phân phối chính thức các sản phẩm của hãng Trend Micro tại Việt Nam dành tặng chương trình khuyến mãi “Bảo vệ tối đa hệ thống máy tính người dùng và máy chủ tại Trung tâm dữ liệu với sản phẩm Trend Micro” cho các khách hàng doanh nghiệp.

Trend Micro đầu tư phát triển tại thị trường Việt Nam

14:00 | 02/10/2019

Theo một thống kê gần đây của Trend Micro (Công ty công nghệ hàng đầu đến từ Nhật Bản), Việt Nam là một trong những quốc gia bị tấn công mạng nhiều nhất Đông Nam Á. Trong vài năm qua, mức độ quan tâm và đầu tư cho vấn đề bảo mật thông tin đã và đang được các doanh nghiệp tại Việt Nam chú trọng hơn.

Việt Nam đứng đầu ASEAN về nguy cơ mã độc tống tiền

08:00 | 05/06/2019

Với tỷ lệ 18,9%, Việt Nam là quốc gia đứng đầu ASEAN về nguy cơ lây nhiễm mã độc tống tiền, xếp trên Indonesia và Phillipines.

Sự thiếu hụt kỹ năng an toàn mạng đang trở nên nghiêm trọng hơn

10:00 | 23/04/2019

Theo kết quả Báo cáo khảo sát của Tập đoàn tư vấn CNTT Enterprise Strategy Group - ESG (Mỹ), hơn một nửa số tổ chức được khảo sát cho biết vấn đề về kỹ năng an toàn mạng đang trở nên thiếu hụt nghiêm trọng.

Tin cùng chuyên mục

Phân tích phần mềm độc hại DinodasRAT trên Linux

19:00 | 30/04/2024

DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.

Cơ quan an ninh mạng Hoa Kỳ cảnh báo lỗi Microsoft Streaming bị khai thác trong các cuộc tấn công mạng

13:00 | 19/03/2024

Cơ quan an ninh mạng Hoa Kỳ (CISA) đã yêu cầu các cơ quan của Chi nhánh điều hành dân sự liên bang Hoa Kỳ (FCEB) bảo mật hệ thống Windows của họ trước một lỗ hổng nghiêm trọng trong Dịch vụ phát trực tuyến của Microsoft (MSKSSRV.SYS).

Khám phá Trojan ngân hàng Coyote

07:00 | 11/03/2024

Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.

Phát hiện lỗ hổng nghiêm trọng trong GitLab khi tạo workspace cho phép ghi đè tệp

08:00 | 06/02/2024

GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.