Cảnh báo: Xuất hiện CryptXXX vừa mã hóa, vừa lấy cắp dữ liệu đòi tiền chuộc

Khác với những loại ransomware thông thường là chỉ mã hóa dữ liệu đòi tiền chuộc từ nạn nhân để giải mã dữ liệu, các loại mã độc tống tiền ngày nay còn có xu hướng đánh cắp thông tin cá nhân của người dùng. Chẳng hạn như CryptXXX – một loại ransomware mới được phát hiện có phương thức hoạt động như vậy.

CryptXXX là loại mã độc tống tiền không chỉ mã hóa dữ liệu đòi tiền chuộc mà còn là công cụ để tin tặc đánh cắp dữ liệu cá nhân và cuỗm luôn tiền ảo BitCoin của nạn nhân. Các nhà nghiên cứu bảo mật đã theo dõi CryptXXX trong một chiến dịch mã độc phát tán bởi bộ công cụ khai thác Angler và mạng máy tính ma (botnet) Bedep. Cũng giống như các ransomware khác, CryptXXX mã hóa dữ liệu người dùng và hiển thị thông báo đòi tiền chuộc trên máy tính nạn nhân, điều hướng nạn nhân đến trang thanh toán hỗ trợ nhiều ngôn ngữ khác nhau.

Trang thông báo máy tính đã bị mã hóa

Hình nền của nạn nhân chuyển sang màu đen với thông báo đòi tiền chuộc

Trang thanh toán hỗ trợ nhiều ngôn ngữ khác nhau

Theo các nhà nghiên cứu, mã độc đòi tiền chuộc CryptXXX được phát tán dưới dạng tệp tin thư viện liên kết động (DLL) tải về từ Internet. Các tệp tin này sẽ chờ một thời gian nhất định trước khi thực thi nhằm tránh bị các công cụ diệt virus phát hiện. Sau khi được khởi chạy, CryptXXX mã hóa tệp tin của người dùng và tự động thêm phần mở rộng đuôi .crypt vào sau tên tệp tin trên tất cả các phân vùng ổ đĩa. CryptXXX có cách thức rất giống với mã độc Reventon đã từng gây nhiều thiệt hại và phát tán mạnh mẽ trên Internet với những điểm đáng chú ý sau:

- Ngôn ngữ lập trình Delphi

- Giao thức điều khiển C&C trên TCP 443

- Có thời gian chờ trước khi thực thi

- Sử dụng tệp tin liên kết động DLL gọi các hàm

- Phát tán tệp tin .dat vào thư mục của tất cả người dùng trên máy tính

- Chứa tính năng đánh cắp Bitcoin và thông tin cá nhân

Hiện tại chưa có khóa giải mã cho loại mã độc này. Người dùng lưu ý theo dõi các tin tức về loại mã độc này để có thể cách phòng chống phù hợp.

Xuân Dung