Mã độc "bắt dữ liệu đòi tiền" có biến thể

Mã độc CTB-Locker đang hoành hành tại Việt Nam có thêm biến thể mới, cải tiến một số chức năng, đòi đến 630 USD tiền chuộc dữ liệu.

Sử dụng máy tính cẩn trọng, luôn cài đặt anti-virus để tránh trở thành nạn nhân của kẻ xấu, dữ liệu quan trọng bị biến "con tin" của mã độc tống tiền - Ảnh minh họa: The Guardian

Các chuyên gia bảo mật tại Việt Nam đã lên tiếng cảnh báo về loại mã độc tống tiền người dùng bằng cách thâm nhập và mã hóa dữ liệu của nạn nhân, buộc họ phải nộp tiền chuộc để nhận lại dữ liệu.

Dữ liệu đã bị mã hóa không thể khôi phục vì hacker sử dụng thuật toán mã hóa công khai, và khóa bí mật dùng để giải mã chỉ được lưu giữ trên máy chủ do hacker quản lý.

Theo Trend Micro, hãng đã ghi nhận sự xuất hiện của loại mã độc bắt cóc dữ liệu tống tiền (ransomware) mang tên Critroni hay còn gọi CTB Locker (Curve-Tor-Bitcoin Locker) từ tháng 7-2014. Cho đến nay, CTB Locker có thêm biến thể mới, cải tiến một số tính năng như dịch vụ "giải mã miễn phí", gia hạn thời hạn chuộc dữ liệu, và tùy chọn thay đổi ngôn ngữ thông báo tống tiền.

Biến thể mới của mã độc CTB Locker yêu cầu nạn nhân nộp số tiền chuộc 3TB (tiền kỹ thuật số Bitcoin, giá trị tương đương 630 USD ở thời điểm hiện tại), so với phiên bản CTB Locker cũ chỉ đòi hỏi 0,02 TB (tương đương 24 USD)

Hãng bảo mật Trend Micro

CTB Locker mới đang lây nhiễm ở nhiều quốc gia, chủ yếu ở châu Âu, Trung Đông, Châu Phi, Trung Quốc, Mỹ Latinh và Ấn Độ.

CTB Locker đe dọa người dùng máy tính ra sao?

Đầu tiên, CTB Locker được kẻ xấu phát tán qua "thư rác" (spam mail), được gửi bằng nhiều ngôn ngữ khác nhau, nên thư có thể có cả tiếng Việt, và thường giả mạo nội dung mang những thông báo quan trọng, lừa người nhận mở file đính kèm được nén trong hai lớp lưu trữ (.ZIP).

Tập tin đính kèm trong email giả mạo là TROJ_CRYPCTB.SMD, một phần mềm chịu trách nhiệm tải các mã độc khác (downloader), cụ thể nó sẽ tải CTB Locker về máy nạn nhân.

Theo Trend Micro, mã độc tống tiền CTB-Locker được phát hiện là TROJ_CRYPCTB.SME. Sau khi kiểm tra các đường dẫn URL, Trend Micro xác định chúng đều độc hại và có bắt nguồn tại Pháp. Phần mềm độc hại downloader sử dụng phương pháp phân phối xoay vòng (round-robin) để chọn ra đường dẫn URL tải về CTB-Locker.

CTB Locker sử dụng mạng ẩn danh Tor để ẩn các hoạt động của nó, nhưng biến thể mới này có các điểm khác biệt hết sức đáng chú ý.

Dưới đây là sơ đồ giải thích chu trình tấn công của phần mềm tống tiền bắt đầu từ những tin nhắn spam có đính kèm tập tin.ZIP độc hại như ở hình bên dưới, thể hiện mô hình lây nhiễm CTB-Locker.

Biến thể CTB-Locker có gì mới?

Phiên bản đầu tiên cho phép người dùng có 72 giờ để nộp tiền chuộc, trong khi biến thể mới gia tăng thời hạn lên 96 giờ. Việc gia hạn thời gian vì muốn tăng khả năng nạn nhân sẽ trả phí.

Sau khi nhấn "Next", nạn nhân sẽ được dẫn đến trang hiển thị phần “Test Decryption” (Giải mã thử) nhằm dụ họ bằng “món quà” phiễn phí này. Phần “Test Decryption” giải mã miễn phí 5 file bất kì để thuyết phục nạn nhân rằng việc giải mã là thực sự hoạt động.

Cho phép thử giải mã, cứu 5 tập tin - Ảnh: Trend Micro

Có các hướng dẫn bổ sung thông báo người dùng không đổi tên hoặc xóa các file, và chỉ những file được chọn sẽ được giải mã. Phần mềm tống tiền cũng hiển thị thông báo đòi tiền chuộc với các ngôn ngữ khác như Đức, Hà Lan và Ý.

Nhấn “Next” tiếp sẽ dẫn đến trang thanh toán. Tại đây, nạn nhân buộc phải trả 3 BTC tương đương 630 USD để tiến hành giải mã file, nếu không tất cả các file sẽ vĩnh viễn bị mã hóa. Ngoài ra, còn có các hướng dẫn trả tiền chuộc thông qua trình duyệt Tor.

Dưới đây là so sánh giữa biến thể CBT-Locker trong tháng 7-2014 và biến thể mới nhất.

Biến thể CBT-Locker mới đòi tiền chuộc đến 3 BTC (630 USD) để trả lại file - Ảnh: Trend Micro

Trước đó, thống kê sơ bộ từ hệ thống giám sát virus của Bkav cho thấy hiện tại có trên 1.300 trường hợp bị “sập bẫy” CTB Locker và con số tiếp tục tăng.

Theo Tuổi trẻ