Một loại mã độc (ransomware) mới được phát hiện đã ẩn giấu các thành phần của nó bên trong các hình ảnh trực tuyến vô hại để có thể qua mặt các phần mềm chống vi rút.

Với tên gọi SyncCrypt, mã độc được phân phối thông qua email đính kèm các tệp tin WSF giả mạo là lệnh của tòa án. Khi tệp đính kèm được thực thi, tệp JScript đã nhúng sẽ lấy hình ảnh vô hại từ những đường link cụ thể và trích xuất các thành phần độc hại ẩn bên trong chúng.

Các thành phần của mã độc được lưu trữ bên trong các hình ảnh như tệp ZIP và chúng không được kích hoạt nếu người dùng chỉ truy cập URL thông qua trình duyệt. JScript nói trên, tuy nhiên, không chỉ tải các hình ảnh, mà còn chiết xuất các thành phần độc hại ẩn (sync.exe, readme.html, và readme.png), Lawrence Abrams của BleepingComputer tiết lộ.

Tệp WSF cũng tạo ra một tác vụ chạy định kỳ trong Windows được gọi là Sync. Khi tệp tin sync.exe được thực hiện, nó sẽ bắt đầu quét máy tính của nạn nhân cho các loại tệp nhất định và mã hóa chúng bằng mã hóa AES. Phần mềm độc hại mã hóa khóa AES được sử dụng với khóa mã hóa RSA-4096 nhúng.

Mã độc nhằm vào hơn 350 loại tập tin khác nhau và gắn thêm phần mở rộng .kk sau khi mã hóa. Mối đe dọa này sẽ bỏ qua các tệp tin nằm trong một số thư mục như \windows\, ​​\program files (x86)\, \program files\, \programdata\, \winnt\, \system volume information\, \desktop\readme\ và \$Recycle.bin\.

Kẻ tấn công đòi số tiền chuộc khoảng $ 430 để có được chìa khóa giải mã. Những kẻ tấn công yêu cầu các nạn nhân liên lạc với một trong các địa chỉ email sau getmyfiles@keemail.me, getmyfiles@scryptmail.com và getmyfiles@mail2tor.com để có thể nhận được khóa giải mã sau khi trả tiền.

Việc phân phối của mã độc này có hiệu quả cao vì khả năng vượt qua phát hiện của các phần mềm diệt virut. Theo Abrams, chỉ có một trong 58 nhà cung cấp trong danh sách VirusTotal có thể phát hiện các hình ảnh độc hại vào thời điểm phân tích.

Các chuyên gia an ninh mạng khuyến cáo, người dùng nên chú ý khi mở tệp đính kèm hoặc nhấp vào URL trong email nhận được từ các nguồn không tin cậy, thường xuyên sao lưu dữ liệu để đảm bảo họ có thể khôi phục dữ liệu của họ mà không phải trả tiền chuộc. Việc cập nhật bản vá của các phần mềm trên máy cũng giúp giảm nguy cơ bị tấn công.

(Theo securityweek.com)

Trang chủ ]  [ Trở lại ]