Một số biến thể mới của mã độc tống tiền

09:44 | 22/06/2016

Gần đây, một số loại mã độc tống tiền với hình thức lây nhiễm mới, có nhiều tính năng mới và nguy hiểm hơn đã bị phát hiện. Theo các chuyên gia, đây là những biến thể mới, bước phát triển mới của mã độc tống tiền (Ransomware).



Sự xuất hiện và phát triển của mã độc tống tiền


Mã độc tống tiền là phần mềm mã độc (malware) ngăn chặn hoặc giới hạn người dùng sử dụng thiết bị, hệ thống hoặc dữ liệu của mình. Chúng bao gồm một số loại mã độc mã hóa tệp tin làm người dùng không thể mở được tài liệu quan trọng, một số khác thì dùng cơ chế khóa máy để không cho nạn nhân tiếp tục sử dụng, sau đó yêu cầu nạn nhân phải trả tiền để có quyền sử dụng tiếp hệ thống của họ. 

Giữa năm 2005, các cuộc tấn công của mã độc tống tiền đã được các công ty bảo mật thế giới ghi nhận và thông báo rộng rãi. Nhưng phải đến giữa năm 2006, các biến thể của mã độc tống tiền với mức đe doạ cao hơn mới xuất hiện. Một trong những biến thể đầu tiên của mã độc tống tiền được phát hiện là TROJ_CRYPZIP.A, phần mềm độc hại này xâm nhập vào ổ cứng của nạn nhân, lấy tất cả dữ liệu và khoá chúng lại bằng mật khẩu đặc biệt. Người dùng sẽ mất hết tất cả các dữ liệu nếu như không có bản sao lưu khác. Mã độc TROJ_CRYPZIP.A còn tạo ra một tập tin để thông báo cho người dùng khoản tiền chuộc phải trả cho tin tặc để lấy lại mật khẩu mở khóa dữ liệu trên ổ cứng.

Năm 2011, một dạng khác của mã độc tống tiền là mã độc tống tiền SMS đã được phát hiện. Ngoài việc đánh cắp dữ liệu đòi tiền chuộc, mã độc tống tiền còn tấn công vào các hệ thống thanh toán di động. Tại Nga, các công ty bảo mật đã phát hiện ra TROJ_RANSOM.QOWA. Thay vì khoá một số tập tin và đòi tiền chuộc như trước đây, biến thể mã độc tống tiền này ngăn chặn người dùng truy cập vào máy tính bằng cách hiển thị trên màn hình một trang web và yêu cầu thanh toán tiền chuộc. Người dùng phải thanh toán khoản chi phí cho tin tặc để lấy lại quyền truy cập vào máy tính của mình.

Năm 2012 là năm phát triển bùng nổ của mã độc tống tiền và thay đổi về cách thức hoạt động. Mã độc đã thay đổi cách thức tống tiền thông thường là xâm nhập vào máy tính cá nhân, khoá tập tin đòi tiền chuộc bằng các phương thức nguy hiểm hơn. Một biến thể mới của mã độc tống tiền mang tên Reveton còn tấn công vào các cá nhân bên ngoài nước Nga và điển hình là người dùng tại châu Âu và Mỹ. Reveton lây lan thông qua các trang web xấu và tạo ra nhiều biến thể mới khác.

Vào năm 2013, biến thể Cryptolocker nguy hiểm nhất của mã độc tống tiền đã bị phát hiện. Bên cạnh việc vô hiệu hoá tất cả các tập tin trên máy tính, nó còn mã hoá các tập tin này, bắt buộc nạn nhân phải trả tiền chuộc để phục hồi.

Trong khoảng thời gian 2014 - 2015, mã độc tống tiền Crypto đã phát triển và tấn công vào các doanh nghiệp. Chúng mã hoá các tập tin trong tài nguyên mạng được chia sẻ và tiến hành khoá toàn bộ hệ thống máy tính của doanh nghiệp. Sau đó, sự tiến hoá của mã độc tống tiền dường như đã chậm lại nhưng các chuyên gia trong lĩnh vực ATTT vẫn phát hiện thêm một biến thể mới có tên TROJ_ CRYPTRBIT.H. Loại mã độc này buộc nạn nhân trả tiền bằng Bitcoins. 

Đến nay, mã độc tống tiền vẫn được nhận định là một trong những xu hướng chính của mã độc. Các doanh nghiệp, tổ chức về an toàn thông tin mạng đã nhiều lần cảnh báo người dùng về sự xuất hiện, phát tán mạnh mẽ của các loại mã độc tống tiền.

Một số biến thể mới của mã độc tống tiền

Mã độc tống tiền hiển thị dạng quảng cáo trên Skype: Hãng bảo mật F-Secure đã phát hiện một quảng cáo trên Skype có chứa phần mềm độc hại Angler có khả năng mã hóa toàn bộ dữ liệu và đòi tiền chuộc người dùng. Mã độc Angler có thể lây nhiễm trong quá trình người dùng truy cập các trang web có độ bảo mật kém, cho phép tin tặc khai thác và tiến hành các cuộc tấn công từ xa một cách dễ dàng.

Khi mã độc Angler phát hiện một lỗ hổng bảo mật trên ứng dụng (như Adobe Flash) nó sẽ lợi dụng để tự động tải các dữ liệu độc hại về máy tính nạn nhân. Đầu tiên, nó sẽ làm nhiệm vụ đánh cắp toàn bộ thông tin đăng nhập, mật khẩu lưu trên máy tính và gửi tới các máy chủ do tin tặc quản lý. Tiếp theo, Angler thực hiện mã hóa tập tin người dùng và gửi thông tin đòi tiền chuộc. Do khả năng mã hóa mạnh mã độc nên người dùng chỉ có thể lựa chọn định dạng lại hệ thống, thiết bị và khôi phục dữ liệu từ bản sao lưu dự phòng hoặc chấp nhận trả tiền chuộc để lấy khóa giải mã.

Mã độc tống tiền Locky mã hóa tập tin trên mạng chia sẻ: Locky là dòng mã độc tống tiền có khả năng mã hóa dữ liệu trên mạng chia sẻ không được ánh xạ (unmap). Thực tế, Locky chỉ sử dụng lại những kỹ thuật giống như các mã độc khác, như khả năng thay đổi hoàn toàn tên tệp tin cho tập tin mã hóa, để gây khó khăn cho việc khôi phục dữ liệu. Tính năng này đã được biết đến trước đó trên CrytoWall. Điều này cho thấy các biến thể mã độc đời sau được tin tặc phát triển có xu hướng kế thừa các tính năng của mã độc trước đó. 

Mã độc Locky phát tán thông qua email giả mạo hóa đơn thanh toán, với tệp tin word đính kèm chứa mã độc hại. Khi người dùng kích hoạt tính năng macro để xem nội dung tệp tin đính kèm, đồng thời sẽ tải về mã độc Locky và thực thi mã độc. Ngay lập tức, Locky bắt đầu mã hóa tệp tin trên hệ thống bị xâm nhập.

Để mã hóa, Locky tạo và chỉ định một số thập lục phân (hexa) cho máy tính của nạn nhân và quét toàn bộ driver và các mạng chia sẻ không được ánh xạ để tìm các tập tin sẽ mã hóa. Mã độc sử dụng thuật toán AES và chỉ nhắm tới các tệp tin có phần đuôi mở rộng đáp ứng tiêu chuẩn nhất định.

Toàn bộ các tập tin mã hóa được tự động đặt lại tên thành unique_id][identifier].locky với ID duy nhất và các thông tin khác cũng được nhúng vào cuối tập tin được mã hóa. Ngoài ra, mã độc này sẽ xóa toàn bộ các Shadow Volume Copies (thuộc System Restore, có chức năng khôi phục dữ liệu) trên thiết bị, để ngăn cản nạn nhân khôi phục lại những tập tin của họ.

Locky để lại một thông báo đòi tiền chuộc “Locky_recover_instructions.txt” trong mỗi tập tin mà nó mã hóa, cung cấp cho người dùng thông tin về điều đã xảy ra với tệp tin của họ kèm theo các đường dẫn đến trang giải mã. Ngoài ra, mã độc cũng thay đổi hình nền Desktop thành một hình ảnh .bmp cũng chứa các hướng dẫn như trong đoạn thông báo yêu cầu người dùng trả 0,5 bitcoin để khôi phục các tập tin của mình.

Mã độc tống tiền tấn công email nội bộ: Ngày 9/3/2016, Trung tâm VNCERT đã gửi công văn cảnh báo hoạt động của tin tặc dùng mã độc mã hóa dữ liệu tống tiền để tấn công các cơ quan tổ chức có sử dụng email nội bộ. Theo VNCERT, tin tặc sẽ giả mạo một địa chỉ thư điện tử có đuôi là @tencongty.com.vn để gửi thư điện tử có kèm mã độc đến các người dùng trong tổ chức mà tin tặc nhắm tới. 

Việc tin tặc giả mạo chính các địa chỉ thư điện tử của đơn vị sẽ làm cho người dùng khó phát hiện các thư giả mạo, dẫn đến số lượng các máy tính bị lây nhiễm mã độc mã hóa dữ liệu tăng cao. Khi người dùng mở tập tin đính kèm sẽ kích hoạt tự động tải mã độc và tự thực thi trên máy. Sau đó, mã độc sẽ tiến hành mã hóa nội dung toàn bộ các dữ liệu trên máy nạn nhân với mục đích đánh cắp dữ liệu trên máy để tống tiền nạn nhân.

Mã độc tống tiền CryptoFortress tấn công qua mạng nội bộ: Ngày 16/3/2016, trong thông báo cảnh báo về sự xuất hiện biến thể mới của mã độc tống tiền, đại diện công ty VNIST nêu rõ, loại mã độc tống tiền mới mang tên CryptoFortress rất nguy hiểm.

Mã độc CryptoFortress có nhiều tính năng mới, có thể quét và mã hóa cả những dữ liệu vô tình được chia sẻ qua mạng nội bộ. 

CryptoFortress có giao diện gần giống với mã độc TorrentLocker, đồng thời có một số thuộc tính mới và nguy hiểm như mã hóa tập tin thông qua mạng chia sẻ ngay cả khi chúng chưa được ánh xạ đến một ổ đĩa. CryptoFortress sử dụng khóa mã hóa RSA-AES 2048 bit, được tạo ra trên máy chủ bị lây nhiễm. Sau đó mã độc tống tiền lấy ra 2048 bit RSA, và cộng XOR nó với một phím nhúng, và gắn thêm 8 byte của khóa vào cuối của mỗi tập tin. 

Thông thường khi một mã độc tống tiền mã hóa dữ liệu, nó sẽ lấy danh sách các ổ đĩa trong máy tính và mã hóa dữ liệu trên đó. Vì vậy, các mạng chia sẻ dữ liệu dùng chung vẫn sẽ an toàn nếu chúng không được ánh xạ thành một ổ đĩa. Nhưng CryptoFortress sẽ liệt kê toàn bộ các mạng qua giao thức SMB (giao thức hỗ trợ chia sẻ dữ liệu qua mạng LAN) đang mở để mã hóa những gì mà nó tìm thấy. 

Mã độc mã hoá dữ liệu trong máy tính: Ngày 17/3/2016, UBND TP Đà Nẵng đã ra thông báo nhằm cảnh báo hình thức lây nhiễm mới của mã độc tống tiền. Tin tặc sẽ thực hiện việc giả mạo một địa chỉ thư điện tử có dạng xxx@tênđơnvị .com.vn để gửi thư có kèm mã độc đến người dùng trong cùng đơn vị. Các mã độc được nén và đính kèm tập tin dưới dạng tệp tin nén .zip hoặc .rar để tránh các hệ thống có sử dụng dò quét mã độc. Khi người dùng mở các tập tin này, mã độc sẽ được kích hoạt và mã hóa nội dung toàn bộ các dữ liệu trên máy nạn nhân, khiến người dùng không thể truy cập dữ liệu trên máy tính đã bị nhiễm mã độc. 

Đáng chú ý, tháng 3/2016, tại Mỹ, mã độc tống tiền mới được phát hiện mang tên SamSam đã làm tê liệt toàn bộ hệ thống một bệnh viện. Sau khi phát hiện lỗ hổng bảo mật trên phần mềm của hệ thống máy chủ, SamSam sẽ phát tán và lây nhiễm ra toàn bộ máy tính trên cùng hệ thống mạng, mã hóa dữ liệu để đòi tiền chuộc. Như vậy, mã độc này không cần lừa người dùng kích chuột vào email lừa đảo, nó sẽ tự mình “len lỏi” vào hệ thống, chọn các thông tin quan trọng nhất để mã hóa, đánh cắp dữ liệu. Đặc biệt, SamSam có thể hoạt động độc lập (offline) ngay cả khi bị ngắt kết nối với máy chủ, trao đổi thông tin với người dùng ngay trong quá trình mã hóa dữ liệu và hướng dẫn họ nạp tiền chuộc bằng bitcoin. 

Biện pháp phòng ngừa mã độc

Các chuyên gia khuyến cáo một số biện pháp phòng ngừa mã độc tống tiền như sau:

Đối với hệ thống: Bổ sung các giải pháp bảo mật gồm phần cứng và phần mềm; Xây dựng chính sách bảo mật để không cho phép người dùng tải, sử dụng các tập tin lạ; Phân quyền cho các loại tài khoản người dùng, các tập tin; Thực hiện các biện pháp kỹ thuật nhằm kiểm tra xác thực người dùng trên máy chủ gửi email của đơn vị, tránh bị giả mạo người gửi từ nội bộ; Tiến hành sao lưu dữ liệu định kỳ. 

Ngoài việc sử dụng các ổ đĩa lưu trữ như: ổ cứng cắm ngoài, USB, có thể sử dụng các công cụ, giải pháp chuyên dụng để sao lưu dữ liệu như: các máy chủ quản lý tập tin, máy chủ sao lưu từ xa, các công cụ lưu trữ đám mây cho phép khôi phục lịch sử thay đổi của tập tin....

Đối với người dùng nên cài đặt và cập nhật thường xuyên cho hệ điều hành, phần mềm chống mã độc. Đặc biệt, cần chú ý cảnh giác với các tập tin đính kèm, các đường liên kết ẩn được gửi đến thư điện tử người dùng, bao gồm người gửi từ trong nội bộ; Tắt các chế độ tự động mở, chạy tập tin đính kèm theo thư điện tử. Khi nghi ngờ việc máy tính nhiễm mã độc cần gửi thông tin sớm nhất tới quản trị viên để có biện pháp giải quyết kịp thời.

Các chuyên gia trong lĩnh vực ATTT khuyên người dùng nên cài đặt phần mềm bảo mật bản quyền cho máy tính cá nhân cũng như là các thiết bị di động.