Ransomware hiện là một trong các mã độc tống tiền phát triển nhanh nhất trong các phần mềm độc hại. Loại mã độc tống tiền này được thiết kế dựa trên công nghệ Encryptor. Loại mã độc này có thể mã hóa tất cả các loại dữ liệu của người dùng như: hình ảnh cá nhân, tài liệu,.…
Trong những năm gần đây, nó đã phát triển từ biến thể dạngđơn giản (chặn màn hình yêu cầu thanh toán) đến các mức độ phức tạp, nguy hiểm hơn. Loại mã độc tống tiền này được thiết kế dựa trên công nghệ Encryptor.
Vào cuối tháng 6/2014, các chuyên gia của Kaspersky Lab phát hiện một Encryptor mới có tên là
Trojan-Ransom.Win32.Onion (Ransom.W.O). Phần mềm độc hại mã hóa này là một thế hệ mới của ransomware. Ngoài đòi tiền chuộc bằng cách thông thường, nó còn có thể đòi tiền chuộc được thanh toán bằng Bitcoin. Bên cạnh đó,Ransom.W.O còn có khả năng vượt qua hệ thống bảo vệ mạng máy chủ điều khiển và kiểm soát, sử dụng một chương trình mã hóa không chính thống. Chính vì vậy, không thể giải mã tập tin đã bị Ransom.W.O mã hóa ngay cả khi chặn được các gói dữ liệu mà chúng đánh cắp được từ máy chủ. Ramsom.W.O trở thành một mối đe dọa nguy hiểm vàlà một trong những công nghệ Encryptor tiên tiến nhất từ trước tới nay. Quá trình Encryptor của mã độc gồm:
- Sau khi lây nhiễm vào máy tính của nạn nhân, một bản sao phần mềm độc hại lập tức xuất hiện trong máy tính tại thư mục “CSIDL_COMMON_APPDATA” và thực hiện các nhiệm vụ để khởi động các tập tin trong Task Scheduler
(một thành phần của Microsoft Windows cung cấp khả năng để sắp xếp trình tự hoạt động của các chương trình, kịch bản vào những thời điểm được xác định trước);
- Tìm kiếm tất cả các ổ đĩa cố định, ổ đĩa di động và mạng, các tập tin phù hợp với danh sách các phần mở rộng đã được xác định;
- Mã hóa các tập tin được tìm thấy;
- Hiển thị một cửa sổ yêu cầu tiền chuộc (đòi hỏi người sử dụng phải trả tiền chuộc bằng Bitcoin) và một danh sách có chứa các file đã được mã hóa;
- Thiết lập hình ảnh có tên
AllFilesAreLocked.bmp làm hình nền máy tính để bàn. Hình nền thông báo cho người dùng biết dữ liệu trên máy tính đã được mã hóa
(Hình 1);
Cách thức phát hiện Ransom.W.O
Bằng công cụ
Backdoor.Win32.Androm, các chuyên gia của Kaspersky Lab đã phát hiện ra rằng,các bot có tên Andromeda nhận được lệnh tải về và chạy một chương trình độc hại có tên là Email-Worm.Win32.Joleee trên máy tính nạn nhân. Sau đó, mã độc này làm nhiệm vụ chính là gửi thư rác và thực hiện một số lệnh từtội phạm mạng, bao gồm các lệnh để tải về và khởi động một tập tin thực thi có tên là Joleee, sau đó dùng phần mềm Onion để mã hóa các tệp tin đã được xác định. Sơ đồ lây nhiễm
Trojan-Ransom.Win32.Onion (hình 2):
Hình 2: Quá trình lây nhiễm Trojan-Ransom.Win32.Onion
Tính đến ngày 20/6/2014, Trojan-Ransom.Win32.Onion được phát hiện tại các nước: Nga (24 máy tính), Ukraina (19 máy tính), Kazakhstan (7 máy tính), Belarus(9 máy tính) và các nước: Georgia, Đức, Bulgaria, Thổ Nhĩ Kỳ Tiểu Vương Quốc Ả Rập Thống Nhất, Libya (1 máy tính).
Các chuyên gia cũng khuyến nghị người dùngcần sử dụng giải pháp bảo mật để bảo vệ cơ sở dữ liệu và tích hợp các công nghệ an toàn hơn để đối phó với mã độc.
