Biến thể Ransomware mới lây nhiễm trên 100000 máy tính

Mới đây, một biến thể virus Ransomware mới được phát hiện cực kì nguy hiểm, chúng đã lây nhiễm nhanh chóng đến hơn 100,000 người dùng máy tính ở Trung Quốc từ đầu tháng 12 đến bây giờ, và không hề có dấu hiệu suy giảm.

Biến thể này khác hẳn với các loại virus trước đấy, Hacker tấn công nhằm đến dữ liệu của khách hàng nhưng phương thức đòi tiền chuộc không phải là Bitcoin. Nạn nhân bị nhiễm Ransomware được Hacker yêu cầu 110 nhân dân tệ nó chỉ tương đương khoảng 16 USD thông qua kênh thanh toán Wechat Pay của Trung Quốc. Đây là kênh ứng dụng hỗ trợ thanh toán phổ biến của Trung Quốc hiện nay.

Một điều khác biệt nữa, lần này Hacker phát tán mã độc không gióng như lần trước đối với mã độc WannaCry và Notpetya làm ảnh hưởng đến toàn thế giới, mà nó chỉ nhắm mục tiêu duy nhất với người dùng Trung Quốc.

Biến thể lần này cũng được hacker lập trình để đánh cắp tài khoản người dùng trên các trang mua sắm và mạng xã hội của Trung Quốc như Alipay, NetEase 163, Baidu Cloud Disk, Jingdong (JD.com), Taobao, Tmall, AliWangWang và QQ …

Theo phân tích của công ty bảo mật Velvet Security của Trung Quốc, các hacker đã khai thác lỗ hổng bảo  mật của phần mềm EasyLanguage đây là phần mềm được sử dụng rộng khắp từ các công ty phát triển ứng dụng. Từ đây các máy nhiễm mã độc Ransomware sẽ biên dịch lại phần mềm và tự động thêm các mã độc vào tất cả các ứng dụng phát triển từ phần mềm EasyLanguage giúp cho mã độc lây lan một cách nhanh chóng.

Tính đến thời điểm hiện tại đã có hơn 100,000 máy tính bị nhiễm và không có dấu hiệu dừng lại. Những người dùng đã cài đặt và sử dụng 1 trong danh sách ứng dụng trên đều bị nhiễm virus tống tiền này. Từ đây mã độc sẽ mã hóa toàn bộ dữ liệu của khách hàng ngoại trừ các file có định dạng .gif .exe tmp 

Biến thể Ransomware sử dụng mã xác thực chữ ký số để qua mặt các phần mềm diệt virus

Mã độc tống tiền Ransomware này được các hacker sử dụng chữ ký số để qua mặt các phần mềm chống virus hiện nay. Chúng sử dụng chữ ký số hợp lệ của hãng Tencent để thực hiện các mã lệnh độc hại cho hacker. Chính vì vậy một số thư mục và file như Tencent Game, Liên minh huyền thoại, tmp, rtl và các chương  trình của hãng Tencent sẽ không bị mã hóa.

Sau khi bị tấn công người dùng sẽ nhận được thông báo dòi tiền chuộc trong vòng 3 ngày qua cổng thanh toán Wechat Pay với giá 110 nhân dân tệ, tương đương khoảng 16 USD. Nếu Hacker không nhận được tiền chuộc mã độc tự động xóa Key giải mã dữ liệu khỏi máy chủ 

Bên cạnh việc mã hóa dữ liệu, biến thể Virus này còn đánh cắp thông tin của người dùng trên các mạng xã hội và gửi về máy chủ cho Hacker.

Vậy chúng có thực sự nguy hiểm

Thực chất đây là một biến thể virus được lập trình với mức độ bảo mật kém, Hacker đã cố tình nâng tầm nguy hiểm của nó lên để người dùng phải bỏ tiền chuộc.

Vơ quan an ninh mạng của Trung Quốc đã trấn an dư luận đây chỉ là biến thể được hacker sử dụng thuật toán mã hóa XOR kém bảo mật chứ thức chất không phải thuật toán mã hóa DES từ đây cơ quan an ninh mạng tìm thấy bản sao của khóa giải mã được lưu trên chính máy tính của hacker với đường dẫn cụ thể như sau.

Đường dẫn chứa mã độc được phát tán

Thật may mắn từ thông tin này cơ quan an ninh mạng Velvet Trung Quốc đã tạo ra công cụ giải mã miễn phí cho người dùng, bấm vào đây để tải công cụ giải mã

Cơ quan an ninh mạng cũng đã kiểm soát toàn bộ cơ sở dữ liệu MySQL của hacker với hàng nghìn thông tin của người dùng bị đánh cắp.

Ai là kẻ đứng sau cuộc tấn công Ransomware này?

Luo Moumou một kỹ sư phần mềm chuyên nghiệp bị cảnh sát cáo buộc là người đã tạo ra mã độc Ransomware và phát tán làm lây nhiễm hơn 100,000 máy tính trong suốt mấy ngày qua

Hacker Moumou bị bắt vào ngày 05/12/2018 trong một thành phố phí Tây Nam thuộc tỉnh Quảng Đông của Trung Quốc

Theo The Hacker New

4.5/5 (2 Reviews)