Cẩn trọng với virus mã hóa dữ liệu và đòi tiền chuộc

ngày 31/07/2014

Theo các nhà nghiên cứu tại Kaspersky Lab, phần mềm tống tiền (ransomware) - loại phần mềm có khả năng mã hóa dữ liệu cá nhân của người dùng và đòi tiền chuộc, hiện đang hoạt động theo một cách mới nguy hiểm và khó đoán hơn.

Phần mềm tống tiền này mang tên Onion, là sự kế thừa từ các phần mềm mã hóa "khét tiếng", như CryptoLocker CryptoDefence/CryptoWall, ACCDFISAandGpCode. CryptoLocker là loại virus mới nhất và có tính nguy hiểm cao đối với dân văn phòng, bởi nó sẽmã hóa toàn bộ các file Word, Excelvà các tập tin khác trên máy tính, làm cho nạn nhân không thể mở được. Đây là một dạng mới của mã hóa ransomware - sử dụng cơ chế đếm ngược để đe dọa nạn nhân trả tiền cho việc giải mã bằng Bitcoins. Tội phạm mạng cho nạn nhân thời hạn là 72 giờ để trả tiền, hoặc tất cả các tập tin sẽ bị mất mãi mãi.

Cẩn trọng với virus mã hóa dữ liệu và đòi tiền chuộc - 1

Một thông báo đã mã hóa dữ liệu...

Cẩn trọng với virus mã hóa dữ liệu và đòi tiền chuộc - 2

...và đòi tiền chuộc.

Để chuyển dữ liệu bí mật và thông tin thanh toán, Onion sẽ liên lạc với máy chủ đặt ở đâu đó bên trong các mạng vô danh. Trước đây, các nhà nghiên cứu của Kaspersky Lab đã thấy loại này của kiến ​​trúc truyền thông, nhưng nó chỉ được sử dụng bởi một số ít các phần mềm độc hại trong ngân hàng, như as64-bit Zeus.

Kaspersky Lab gọi những phần mềm tống tiền độc hại này là “Onion” (củ hành), vì nó sử dụng mạng vô danh Tor để che giấu bản chất độc hại và giúp nó khó bị theo dõi hơn. Tor là một phần mềm mã nguồn mở. Hệ thống này giúp người sử dụng vượttường lửa để truy cập Internet một cách vô danh. Ngoài ra, Tor còn có chức năng xóa dấu vết, giấu địa chỉIP của máy truy cập internet.

Vì vậy, nếu một máy trung gianTorbị truy cập trộm, tin tặc cũng không thể đọc được các thông tin của người sử dụng do thông tin đã được mã hóa. Việc cải tiến kỹ thuật đã làm cho nó trở thành một mối đe dọa thực sự nguy hiểm và là một trong những phần mềm mã hóa tinh vi nhất hiện nay.

Tác động bằng tiếp cận 3 lớp

Đối với các thiết bị của phần mềm độc hại Onion, đầu tiên nó phải đi qua một hệ thống mạng ma (botnet) Andromeda Backdoor.Win32.Androm. Các máy bị hacker điều khiển sẽ nhận lệnh tải và chạy một phần mềm độc hại thuộc "gia đình" Joleee trên thiết bị nhiễm độc. Các phần mềm độc hại sau đó tải các phần mềm Onion vào các thiết bị. Đây chỉ là một trong những cách mà Kaspersky Lab phát hiện khi quan sát cách phát tán các phần mềm độc hại.

Sự phân bố theo địa lý

Hầu hết các lây nhiễm được ghi nhận trong Cộng đồng các Quốc gia Độc lập (CIS), còn các trường hợp khác được phát hiện ở Đức, Bulgaria, Israel, UAE và Libya.

Phiên bản mới nhất của phần mềm độc hại sử dụng giao diện tiếng Nga. Thực tế này và một số đoạn mã bên trong Trojan cho thấy, tác giả phần mềm độc hại là người Nga.

Cẩn trọng với virus mã hóa dữ liệu và đòi tiền chuộc - 3

Đây cũng là một thông báo dữ liệu đã bị mã hóa, và chìa khóa do hacker nắm giữa.

Những lời đề nghị để giữ an toàn cho người dùng:

Sao lưu các tập tin quan trọng: Cách tốt nhất để đảm bảo sự an toàn của dữ liệu quan trọng là một có một lịch trình sao lưu phù hợp. Sao lưu phải được thực hiện thường xuyên và bản sao cần được lưu trữ trên một thiết bị chỉ có thể truy cập trong quá trình sao lưu. Tức là một thiết bị lưu trữ di động có khả năng ngắt kết nối ngay lập tức sau khi sao lưu xong. Việc không tuân thủ các khuyến nghị này sẽ dễ dẫn đến việc các tập tin sao lưu bị tấn công và mã hóa bằng các phần mềm tống tiền.

Phần mềm diệt virus: Một giải pháp an ninh cần được trang bị sẵn sàng mọi lúc và phải chắc chắn rằng tất cả các thành phần của nó đã được kích hoạt. Cơ sở dữ liệu của phần mềm cũng phải luôn được cập nhật để bảo vệ người dùng.

Fedor Sinitsyn, Chuyên viên phân tích phần mềm độc hại cao cấp của Kaspersky Lab nhận xét: “Có vẻ như Tor đã trở thành một phương tiện được sử dụng bởi các loại phần mềm độc hại. Phần mềm độc hại Onion sở hữu những cải tiến kĩ thuật dựa vào những trường hợp đã xảy ra trước đó, những vụ mà chức năng Tor được sử dụng trong các chiến dịch độc hại. Ẩn các lệnh và kiểm soát máy chủ trong mạng Tor vô danh làm phức tạp việc dò tìm kiếm bọn tội phạm mạng và không thể giải mã tệp tin, do sử dụng một chương trình mã hóa không chính thống, ngay cả khi lưu lượng truy cập bị chặn giữa Trojan và máy chủ. Tất cả điều này mang lại một mối đe dọa nguy hiểm cho người dùng hiện nay, đây là một trong những công nghệ mã hóa tiên tiến nhất hiện có”.

{fcomment}