
Các chuyên gia bảo mật TrendMicro cho biết
họ phát hiện một chương trình ransomware mã hóa mới
gần đây được phân phối dưới dạng bản cập nhật FlashPlayer thông qua một trang
web bị xâm nhập tại Paraguay.
Sau khi phân tích code của chương trình, hãng bảo mật này
nhận ra rằng, đó là bản sửa đổi của một ứng dụng “encryptor” dựa trên mã chứng
minh khái niệm mang tên HiddenTear được công bố trên GitHub của một người Thổ
Nhĩ Kỳ. HiddenTear đi kèm với sự phủ nhận mã chỉ có thể được sử dụng cho mục
đích giáo dục và cảnh báo rằng những người sử dụng nó như ransomware có thể đi
tù. Tội phạm mạng không quan tâm về sự cảnh báo này, vì vậy, các mã vẫn tiếp tục
được sử dụng để tạo ra các chương trình ransomware.
Một số người dùng Reddit (trang web giải trí) đã chỉ ra sự
tương đồng giữa TearHidden và Linux.Encoder, một chương trình ransomware nhắm mục
tiêu các máy chủ Web. Và lỗ hổng trong việc thực hiện mã hóa sẽ làm tập tin
không khôi phục lại được ngay cả khi đã trả tiền chuộc.
Sau khi phải đối mặt với những lời chỉ trích cho việc
phát hành mã, tác giả TearHidden cho biết, ý định của ông chỉ là tạo ra cái bẫy
đối với tội phạm mạng có tay nghề và mã hóa kém. Dù có thật hay không, ý định của
ông mang đến hại nhiều hơn lợi.
Theo các chuyên gia bảo mật TrendMicro,
RANSOM_CRYPTEAR.B, chương trình ransomware phân phối từ các trang web ở
Paraguay cũng dựa vào ẩn danh Tear. Tác giả của nó là một hacker Brazil, đã tạo
ra một lỗi nghiêm trọng.
Sau khi
thực hiện trên máy tính, RANSOM_CRYPTEAR.B tạo khóa mã hóa và lưu nó vào tập
tin trên máy tính để bàn. Sau đó, mã độc tiến hành mã hóa các tập tin với phần
mở rộng nhất định, bao gồm cả các tập tin mà các khóa mã hóa được lưu giữ, trước
khi gửi nó cho những kẻ tấn công. Điều này sẽ làm cho các tập tin không thể phục
hồi, giống như chìa khóa tự được mã hóa do nhầm lẫn. Nói cách khác, người dùng bị nhiễm mã độc
này sẽ không thể phục hồi các tập tin của họ
trong trường hợp không có bản sao lưu, ngay cả khi quyết định trả tiền chuộc.
TrendMicro cảnh báo, chia sẻ thông tin về các mối đe dọa
khác nhau là việc tốt để bảo vệ người dùng, nhưng việc
phát hành mẫu mã công khai là không cần thiết.
MAI KHÔI