Biến thể mới của Ransomware đòi tiền chuộc 500 USD

11/05/2016 16:30

Các nhà phân tích an ninh đã phát hiện ra một ransomware mới được gọi là CryptXXX. Mã độc này được mô tả có kết nối hoàn toàn với Reveton thuộc chủng loại ransomware, có thể ăn cắp dữ liệu từ FTP, nhắn tin và các ứng dụng mail.


Ransomware này được lan truyền bởi phần mềm độc hại BEDEP sau một nhiễm trùng hệ thống gây ra bởi các Angler Exploit Kit (EK). Các nhà nghiên cứu đã mô tả: “một Angler EK vào BEDEP đã đẩy cả một tải trọng ransomware và Dridex 222”. Điều này có nghĩa rằng các trang web lưu trữ Angler khai thác bộ được phân phối CryptXXX.
Bộ kit sau đó tận dụng các lỗ hổng trên hệ thống để thúc đẩy việc tải BEDEP. CryptXXX được xem như một giai đoạn nhiễm khuẩn thứ hai vận chuyển như một DLL thực hiện chậm chờ đợi ít nhất 62 phút để khởi động. Khi thực hiện các ransomware, nó mã hóa các tập tin hệ thống bị nhiễm và gắn thêm một phần mở rộng .crypt vào tên tập tin.

Trend Micro cho biết, tương tự như các ransomware khác như Locky, TeslaCrypt, và Cryptowall, CryptXXX tạo ra ba loại tập tin: de_crypt_readme.bmp, de_crypt_readme.txt, de_crypt_readme.html để báo hiệu và thông báo cho các nạn nhân của hệ thống thỏa hiệp và yêu cầu thanh toán các khoản tiền chuộc để lấy lại quyền truy cập các tập tin. Theo các nhà nghiên cứu, các ransomware đòi một khoản tiền chuộc khá cao đến 500 USD cho mỗi hệ thống khác xa với tiền chuộc thường thấy trong quá khứ. Hơn nữa, CryptXXX trốn tránh phát hiện thông qua cách chống VM và chức năng chống phân tích, trong đó nó sẽ kiểm tra tên của CPU trong đăng ký và cài đặt một thủ tục “móc câu” để giám sát hoạt động.

CryptXXX cũng được cho rằng có khả năng đánh cắp quyền sở hữu Bitcoin ngoài các thông tin thu hoạch và thông tin cá nhân khác từ mục tiêu của nó. Các nhà nghiên cứu Trend Micro cho biết nó có thể ăn cắp dữ liệu từ FTP, nhắn tin và các ứng dụng mail. Những thông tin đánh cắp các chức năng trong ransomware này cũng giống như hình thức “ăn cắp riêng tư” được phân phối bởi trường hợp này của BEDEP trước đó.

Các kết nối Reveton

Phần lớn các kết nối Reveton dựa trên phân tích của các nhà nghiên cứu vector lây nhiễm và lịch sử của nó, nó được thiết lập bởi CryptXXX được liên kết đáng kể đến nhóm chạy Angler và BEDEP.

Trong khi điều tra và phân tích của CryptXXX vẫn đang tiếp diễn, các nhà nghiên cứu phát hiện ra đằng sau ransomware này được hậu thuẫn bởi tác động lớn của các kết nối Reveton.

Với lịch sử lâu dài trong phân phối phần mềm độc hại trên quy mô lớn, CryptXXX được các hacker mong đợi trở nên phổ biến dựa trên các kết nối Reveton. Ngoài ra, kể từ khi Angler EK có số lượng cao nhất về khối lượng, nó có thể gây thiệt hại nhiều hơn trong các cuộc tấn công, giống như cách Locky ngày trước ngay lập tức gây ra một sự khuấy động sau khi tấn công trúng một số lĩnh vực.

Cục diện ransomware ngày nay đã phát triển đáng kể và dễ dàng lây lan từ các mối đe dọa thông qua các phần mềm độc hại dữ liệu mã hóa tải xuống các tập tin và hệ thống. Gần đây, sự gia tăng liên tục các biến thể mới và tinh vi hơn của ransomware đã đẩy chính quyền nỗ lực phòng chống ransomware liên tục. Và cài đặt phần mềm bảo mật là phương pháp an toàn nhất có thể giúp người dùng và các doanh nghiệp tránh mọi hiểm họa

MAI KHÔI

Ý kiến bạn đọc (0)
Tên   Email

Các bài mới:
Lên đầu trang