Những virus đòi tiền chuộc nổi lên trong tháng 6

Trong 5 tháng đầu năm 2016, 50 chủng ransomware mới được phát hiện, cho thấy trung bình 1 tháng có khoảng 10 ransomware được sản sinh, và chúng đã hoạt động tích cực hơn trong tháng 6 vừa qua.

Có thể nói, ransomware đã phát triển theo cấp số nhân trong 2 năm qua nhờ vào số lượng tội phạm mạng chuyển sang sử dụng các phần mềm độc hại tống tiền cũng như việc triển khai dễ dàng và tiềm năng lợi nhuận mà ransomware mang lại. Trong tháng 6/2016, ransomware đã hoạt động tích cực hơn. Dưới đây là một số chủng ransomware đáng chú ý nhất trong tháng 6 vừa qua.

CryptXXX

Hãng bảo mật Trend Micro cho biết, trong tháng 6, CryptXXX đã cập nhật lên 3.0 với mã hóa mạnh hơn, thực hiện một thuật toán mã hóa mới ngăn chặn việc sử dụng các công cụ giải mã miễn phí có sẵn. Không lâu sau đó, xuất hiện CryptXXX 3.1 bổ sung thêm tính năng mạng quét – nơi các tập tin được truy vấn, ghi đè, sau đó mã hóa với phần mở rộng .cryp1. Ngày 6 tháng 6, CryptXXX 3.1 chuyển sang sử dụng các lỗ hổng Neutrino để phát tán. Đây được xem là một thay đổi đáng kể cho một chủng ransomware chỉ sử dụng Angler EK để phát tán từ khi phát hành cho đến nay.

Crysis

Chủng ransomware này nhắm mục tiêu cá nhân và doanh nghiệp. Crysis lây lan qua email độc chứa file đính kèm và phân phối dưới dạng các trình cài đặt cho các ứng dụng hợp pháp như WinRAR, Microsoft Excel và iexplorer. Sau khi mã hóa hơn 185 loại tập tin trên ổ đĩa cố định và di động, Crysis đặt tiền chuộc với số tiền dao động từ 455 đến 1022 Bitcoins. Hơn nữa, nó có thể tấn công từ xa thông qua một máy tính bị nhiễm bằng cách ăn cắp đặc quyền quản trị viên và tự nhân giống để lây nhiễm sang các thiết bị khác chạy trên cùng một mạng.

BlackShades

Hãng bảo mật Trend Micro phát hiện ra chuỗi ransomware mới mệnh danh là BlackShades nhắm mục tiêu đến người nói tiếng Anh và tiếng Nga, bắt người dùng trả 30 USD thông qua nền tảng thanh toán trực tuyến Paypal. Các phần mềm độc hại mã hóa 195 loại tập tin bằng cách sử dụng mã hóa AES 256-bit. Đây là những tập tin được tìm thấy trên thư mục của ổ đĩa C. ID của nạn nhân sẽ bị tách khỏi tất cả các thư mục và máy tính. Sau đó, một phần mở rộng .silent sẽ nối thêm vào các tập tin được mã hóa.

Jigsaw

Tháng 6 đánh dấu sự ra đời của các biến thể Jigsaw nhằm đa dạng cách tấn công. Jigsaw liên kết đến một trang web với nền tảng chat trực tuyến tương tự như WebChat trợ giúp các câu hỏi để lừa người dùng. Jigsaw còn có chiến lược chat bằng giọng nói để gây ảnh hưởng đến các nạn nhân nhằm đòi thanh toán tiền chuộc nhanh chóng. Gần đây, Trend Micro phát hiện thêm biến thể mới của Jigsaw đòi tiền chuộc cao hơn, sử dụng chiến thuật gửi bản sao thông tin nạn nhân và lịch sử email đến tất cả địa chỉ liên lạc nhằm tác động tâm lý hiệu quả gây hoang mang cho nạn nhân.

Apocalypse

Apocalypse – biến thể ransomware mới – được phát hiện vào tháng 6. Phiên bản này yêu cầu nạn nhân gửi email cho hacker để được hướng dẫn cách lấy lại tập tin. Apocalypse cũng tạo ra một mục chạy tự động nhắc ransomware bắt đầu vận hành khi người dùng đăng nhập vào hệ thống. Trong vòng 72 giờ nếu không thanh toán dữ liệu sẽ bị hủy. Nó còn có thể phát hiện ra nếu nạn nhân bỏ qua màn hình khóa, chạy tập tin giải mã hoặc công cụ miễn phí để lấy lại quyền truy cập các tập tin bị khóa.

FLocker

Tháng 6 cũng chứng kiến sự tái xuất của một phần mềm độc hại khóa màn hình điện thoại di động – Flocker, bắt đầu từ các thiết bị Android sang tivi thông minh. FLocker đến nay đã tích lũy được hơn 7.000 biến thể trong ngân hàng mẫu của Trend Micro. Tuy nhiên, gần đây đã phát hiện hơn 1.200 biến thể. Giữa tháng 6, các nhà nghiên cứu Trend Micro đã xác định được một biến thể Trojan của FLocker giả làm cảnh sát mạng của Mỹ để đánh lừa nạn nhân.

GOOPIC

Sau biến mất của Angler đã dẫn đến sự xuất hiện của một chủng ransomware mới gọi là Goopic. Goopic yêu cầu một khoản tiền chuộc 500 USD và cung cấp cho nạn nhân một khoảng thời gian tương đối dài để giải quyết các yêu cầu tiền chuộc, khác với các chủng ransomware khác nó chỉ cho nạn nhân 24 – 90 giờ để giải quyết.

Kozy.Jozy

Chủng ransomware mới này bổ sung thêm phần mở rộng tập tin mới vào danh sách các tập tin mã hóa trước khi thiết lập màn hình nền nạn nhân với một lưu ý tiền chuộc viết bằng tiếng Nga. Các tập tin đã được mã hóa với thuật toán mã hóa RSA-2048. Bản sao Volume Shadow sau đó được xóa để loại bỏ các bản sao lưu có thể. Nạn nhân sau đó được cung cấp địa chỉ email của người vận hành và được hướng dẫn cho việc thanh toán trong Bitcoins.

 

Hải Đăng (theo Trend Micro)