Mã độc tống tiền mới yêu cầu thanh toán tiền chuộc trong vòng 96 giờ

13/12/2017 03:00:00

Một mã độc tống tiền mới được gọi là Spider trong một chiến dịch "tầm trung" được phát hiện ngày 10/12 đang nhắm tới những nạn nhân ở Balkans.

Điểm đặc biệt của mã độc tống tiền Spider là nạn nhân phải thanh toán tiền chuộc trong vòng 96 giờ và nạn nhân nhận được một video hướng dẫn gồm có cách thức chuyển tiền và chi tiết quá trình khôi phục dữ liệu đã mất trên Spider.

Cụ thể, những tập tin Office có chứa mã độc sẽ được chèn trong email có tựa đề “Thu nợ”, theo Google Dịch từ cụm từ "Potrazivanje dugovanja" của tiếng Bosnia.

Những tệp đính kèm này được tự động đồng bộ hóa với kho dữ liệu đám mây và các ứng dụng của bên thứ 3 được cài trên máy tính. Theo các nhà nghiên cứu Netskope, tập tin mồi nhử ban đầu sẽ có tên ‘VB:Trojan.VBA.Agent.QP’ và sau khi được tải về máy sẽ hiển thị 2 tập tin con là ‘Trojan.GenericKD.12668779’ và ‘Trojan.GenericKD.6290916’.

Những tập tin Office bị nhiễm độc được viết bằng tiếng Bosnia và các đoạn mã code được viết bằng kĩ thuật làm rối mã (obfuscated code). Khi mã độc được thực thi, Windows PowerShell sẽ khởi chạy cùng với hướng dẫn để nạn nhân tải xuống một payload độc hại được mã hoá theo chuẩn Base64 từ YourJavaScript.com. Sau đó, tập lệnh PowerShell sẽ giải mã chuỗi Base64 để chạy phép toán XOR với phím 'Alberti' để giải mã các payload cuối cùng. Những payload này sẽ được lưu thành các file “.exe”, cụ thể là ‘dec.exe’ và ‘enc.exe’ và được biên dịch trong “.NET” sẽ được sao chép vào thư mục '% APPDATA% / Spider'.

Theo Netskope, "enc.exe" là bộ mã hóa và "dec.exe" là bộ giải mã. Bộ mã hóa (enc.exe) mã hóa các tệp của người dùng bằng cách sử dụng mã hóa AES và thêm phần mở rộng ".spider" vào các tệp được mã hóa.

Khi các tập tin đã được mã hóa, một thông báo hiển thị cảnh báo nạn nhân chỉ có 96 giờ để trả tiền chuộc bằng bitcoin để lấy một đoạn mã có thể mở khoá dữ liệu trong máy: "Nhanh tay lên! Sau 96 giờ đoạn mã này sẽ bị khóa và tất cả các tập tin sẽ biến mất vĩnh viễn. Đừng làm điều gì ngớ ngẩn, nếu không, các chức năng bảo mật của chương trình sẽ xóa tất cả các tập tin và làm hỏng máy tính của bạn.”

Những kẻ tấn công cũng hướng dẫn tận tình quá trình thanh toán tiền chuộc, từ cách sử dụng trình duyệt Tor và cách kiếm bitcoin để thanh toán. Nếu nạn nhân vẫn còn lúng túng, một video hướng dẫn sẽ được gửi đến qua đường link đến một trang web chia sẻ video.

Amit Malik của Netscope viết trong bài báo của ông: “Để tránh Spider hoặc các cuộc tấn công đòi tiền chuộc khác, người dùng nên vô hiệu macro trong Office và không thực thi macro từ các nguồn không đáng tin cậy. Hiện nay, nhiều chiến dịch tấn công an ninh mạng đang tăng cường sử dụng các tài liệu Office giả mạo như vật trung gian gây lây lan mã độc tống tiền.”