Phát hiện mối đe dọa mới từ gia đình mã hóa đòi tiền chuộc TeslaCrypt

Hãng an toàn bảo mật Kaspersky Lab vừa phát hiện hành vi kì lạ từ một mối đe dọa mới từ gia đình mã hóa đòi tiền chuộc TeslaCrypt. Phiên bản 2.0 của Trojan khét tiếng nhắm đến các game thủ cho hiển thị trang HTML trên trình duyêt web - một bản sao chính xác của CrytoWall 3.0 - một chương trình đòi tiền khét tiếng khác.

Ảnh minh họa.Ảnh minh họa.

Theo các chuyên gia bảo mật, những tên tội phạm làm việc này để khẳng định cho đến nay, nhiều tập tin được CryptoWall mã hóa sẽ không thể bị giải mã, điều không xảy ra với nhiều trường hợp trước đây đối với sự lây nhiễm của TeslaCrypt. Sau khi lây nhiễm thành công, chương trình sẽ đòi 500 USD cho key giải mã, nếu nạn nhân trì hoãn, tiền chuộc sẽ tăng gấp đôi.

Bị phát hiện vào tháng 2/2015, các mẫu đầu của TeslaCrypt và Trojan đòi tiền loại mới lập tức tạo được tai tiếng như một mối đe dọa đối với các game thủ. Trong số những tập tin mục tiêu khác, nó cố gắng lây nhiễm các tập tin trò chơi: game save, hồ sơ người dùng, trận đấu được ghi lại… Điều đó có nghĩa là TeslaCrypt không mã hóa tập tin lớn hơn 268 MB.

Cơ chế lây nhiễm

Phần lớn sự nhiễm độc TeslaCrypt xuất hiện ở Hoa Kỳ, Đức và Tây Ban Nha, kế đến là ở Ý, Pháp và Anh.

Khi TeslaCrypt tấn công vào nạn nhân mới, nó tạo ra một địa chỉ Bitcoin mới để nhận tiền chuộc của nạn nhân và một key bí mật để thu hồi nó. Máy chủ C&C của TeslaCrypt đặt ở mạng Tor. Phiên bản 2.0 của Trojan sử dụng 2 bộ key: một bộ chỉ có trong hệ thống bị nhiễm độc, bộ khác liên tục được tạo ra mỗi khi chương trình độc hại được khởi chạy lại trên hệ thống. Không những vậy, key bí mật cùng với tập tin người dùng được mã hóa không lưu trên ổ cứng, khiến cho việc giải mã tập tin người dùng phức tạp hơn rất nhiều.

Các chương trình từ gia đình mã độc TeslaCrypt phát tán thông qua Angler, Sweet Orange và bộ khai thác Nuclear. Với cơ chế phát tán phần mềm độc hại này, nạn nhân sẽ truy cập một trang web nhiễm độc và mã độc sẽ lợi dụng lỗ hổng trình duyệt, thường ở plugin, để cài đặt phần mềm độc hại chuyên dụng trên máy tính mục tiêu.

“TeslaCrypt, thợ săn của game thủ, được thiết kế để lừa gạt và đe dọa người dùng. Ví dụ, phiên bản trước của nó gửi tin nhắn đến nạn nhân, nói rằng các tập tin của họ bị mã hóa bởi thuật toán mã hóa RSA-2048 nổi tiếng và không còn cách nào khác ngoài trả tiền chuộc. Thực tế, các tên tội phạm không dùng thuật toán này. Trong bản cải tiến mới nhất, nó thuyết phục nạn nhân rằng họ đang đối mặt với CryptoWall - một khi tập tin người dùng bị mã hóa thì không cách nào giải mã được. Tuy nhiên, tất cả đường link đều dẫn tới máy chủ TeslaCrypt - rõ ràng là tác giả phần mềm độc hại này không hề có ý định đưa tiền của nạn nhân cho đối thủ”, Fedor Sinitsyn, Chuyên viên cao cấp Phân tích phần mềm độc hại tại Kaspersky Lab cho biết...

Cập nhật phần mềm, nhất là trình duyệt web và plugin

Để ngăn chặn mối đe dọa này, các chuyên gia Kaspersky Lab đã đưa ra lời khuyên đối với các game thủ: Thường xuyên tạo sao lưu cho tất cả các tập tin quan trọng. Bản sao nên được giữ ở nơi có thể ngắt kết nối ngay khi quá trình sao lưu hoàn tất; Cập nhật phần mềm kịp thời là cực kì quan trọng, nhất là trình duyệt web và plugin; Chương trình độc hại tồn tại trên hệ thống sẽ được giải quyết tốt nhất bằng phiên bản mới nhất của sản phẩm an ninh với cơ sở dữ liệu được cập nhật và module bảo mật được kích hoạt.

Sản phẩm của Kaspersky Lab phát hiện chương trình độc hại này dưới tên Trojan-Ransom.Win32.Bitman.tk và đã thành công trong việc bảo vệ người dùng trước mối đe dọa này.

Thêm vào đó, biện pháp đối phó phân hệ Cryptomalware được thực hiện trong các giải pháp của Kaspersky Lab. Việc này đăng kí hoạt động khi những ứng dụng khả nghi cố gắng mở tập tin người dùng và ngay lập tức tạo các bản sao lưu. Nếu sau đó ứng dụng được xác nhận là độc hại, nó sẽ tự động giảm bớt những thay đổi không được yêu cầu bằng cách thay thế những tập tin đó bằng bản sao. Bằng cách này, người dùng được bảo vệ trước crytomalware chưa biết...

(GN)