Bóc mẽ sự tinh vi của tin tặc mã hóa dữ liệu đòi tiền chuộc

Các chuyên gia bảo mật tại Kaspersky Lab vừa phát hiện một biến thể mới của ransomware RAA - phần mềm độc hại mã hóa dữ liệu đòi tiền chuộc, được viết bằng JScript. Theo kết quả phân tích, trojan mới này sẽ gửi tập tin dạng nén *.zip có chứa tập tin .js độc hại đến nạn nhân. Phiên bản mới của nó có thể mã hóa dữ liệu offline mà không cần tới mã khóa từ máy chủ.

Mã hóa dữ liệu đòi tiền chuộc đang là vấn nạn hiện nay.

Ransomware RAA xuất hiện vào tháng 6.2016 và là ransomware đầu tiên viết bằng JScript được biết đến. Vào tháng 8, các chuyên gia tại Kaspersky Lab phát hiện phiên bản mới của ransomware này. Mã độc được đặt trong tập tin *.zip bảo mật đính kèm theo các email lừa đảo, đây được đánh giá là một cách để qua mặt các giải pháp chống virus.

Trong quá trình phân tích email lừa đảo, các chuyên gia Kaspersky Lab kết luận rằng, những kẻ lừa đảo đang nhắm tới doanh nghiệp hơn là nhắm vào người dùng thông thường, bởi email độc hại chứa các thông tin về việc thanh toán quá hạn. Để email đáng tin hơn, những kẻ lừa đảo còn khuyến cáo: Vì lý do bảo mật mà tập tin đính kèm đã được bảo vệ, mật khẩu ghi bên dưới email và cũng được bảo vệ bằng cách mã hóa bất đối xứng.

"Nội dung email như trên nghe khá vô lý đối với người dùng hiểu biết về mạng, nhưng nó lại đáng tin đối với những nạn nhân mù mờ về vấn đề này", các chuyên gia Kaspersky Lab nhận định.

Quy trình lây nhiễm mã độc của ransomware RAA cũng giống với phiên bản trước. Khi nạn nhân mở tập tin .js thì quá trình lây nhiễm sẽ bắt đầu. Để đánh lạc hướng nạn nhân, trojan sẽ hiển thị một tài liệu chứa hàng loạt các nhân vật ngẫu nhiên. Trong khi nạn nhân đang cố gắng hiểu chuyện gì đang xảy ra thì ở ngoài màn hình, RAA đang thực hiện mã hóa tập tin trên máy. Cuối cùng, ransomware tạo ra ghi chú trên màn hình desktop và toàn bộ những tập tin mã hóa sẽ bị đổi đuôi mở rộng.

So với phiên bản trước, điểm khác biệt chính là RAA không cần liên lạc với máy chủ để mã hóa tập tin trên máy tính nạn nhân. Cụ thể, thay vì yêu cầu mã khóa từ máy chủ thì trojan này sẽ tự tạo ra mã khóa dạng master key để mã hóa dữ liệu và sau đó lưu trữ khóa ngay trên máy tính nạn nhân. Tội phạm mạng chỉ đơn giản nắm giữ mã bí mật dùng để giải mã mã khóa nói trên. Ngay khi được trả tiền chuộc, tội phạm mạng yêu cầu người dùng gửi cho bọn chúng master key đã bị mã hóa để chúng giải mã.

Ngoài tập tin .js, Kaspersky Lab khuyến cáo người dùng còn phải chú ý các dạng tập tin đính kèm có thể ẩn chứa nhiều nguy hiểm, như .exe, .hta, .wsf,... Hiện tại, ransomware RAA đang được phát tán tới những người dùng nói tiếng Nga. Tuy nhiên, không bao lâu nữa, “tác giả” của nó sẽ quyết định mở rộng ra toàn cầu.

Theo khảo sát nguy cơ bảo mật CNTT tại các doanh nghiệp 2016 do Kaspersky Lab thực hiện, 20% doanh nghiệp đã bị ransomware tấn công trong vòng 12 tháng qua.