WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Bạn sẽ được mở khóa file nếu lây nhiễm ransomware cho người khác
Dòng ransomware mới xuất hiện có tên Popcorn Time, do nhóm MalwareHunterTeam phát hiện, đưa ra cho nạn nhân cách thức lấy được khóa để giải mã file, folder bị khóa mà không mất tiền bằng cách lây nhiễm thêm hai người dùng khác.
Popcorn Time hoạt động tương tự các loại ransomware khác, như Crysis và TeslaCrypt, mã hóa các loại dữ liệu được lưu trữ trên máy tính bị lây nhiễm và yêu cầu nạn nhân trả một khoản tiền chuộc để phục hồi dữ liệu.
Tuy nhiên, đối với các tập tin quan trọng, Popcorn Time đưa cho nạn nhân hai tùy chọn, trả tiền chuộc cho hacker hoặc lây nhiễm 2 người dùng khác và 2 người này phải trả tiền chuộc, để lấy được khóa giải mã miễn phí.
Nạn nhân được khuyến khích trả tiền chuộc 1 Bitcoin (~ $ 750) trong thời hạn 7 ngày để nhận khóa giải mã được lưu trữ trên một máy chủ từ xa thuộc sở hữu của hacker tạo ra Popcorn Time.
Nếu tiền chuộc không được thanh toán trong thời hạn này, khóa giải mã sẽ bị xóa vĩnh viễn và việc lấy các tập tin quan trọng là điều không thể.
Ngoài ra, nếu mã ransomware không đầy đủ dễ dẫn đến việc nạn nhân giải mã sai 4 lần, khi đó Popcorn Time sẽ bắt đầu xóa các tập tin của nạn nhân.
Cách thức hoạt động của Popcorn Time
Sau khi lây nhiễm, Popcorn Time sẽ kiểm tra xem nó đã đang chạy trên PC hay chưa. Nếu rồi, nó sẽ tự “chấm dứt” hoạt động của mình.
Nếu chưa, Popcorn Time sẽ tải nhiều hình ảnh khác nhau để sử dụng làm hình nền hoặc bắt đầu mã hóa các tập tin bằng thuật toán AES-256. Các tập tin được mã hóa sẽ có tiện ích ".filock" hoặc ".kok" được kết nối với mã độc.
Trong khi mã hóa dữ liệu, ransomware sẽ hiển thị một màn hình fake giả mạo là cài đặt của một chương trình.
Ngay sau khi việc mã hóa được hoàn tất, mã độc chuyển đổi 2 chuỗi base64, lưu chúng là thông báo tiền chuộc dưới định dạng restore_your_files.html và restore_your_files.txt, sau đó tự động hiển thị thông báo tiền chuộc dịnh dạng HTML đòi 1 Bitcoin.
Muốn có khóa giải mã? Hãy lây nhiễm thêm hai người nữa
Hacker tạo ra Popcorn Time đưa ra cho nạn nhân cách thức "quái đản" để lấy được khóa giải mã miễn phí: Lây lan ransomware cho 2 người khác thông qua link giới thiệu của nạn nhân.
Nếu 2 nạn nhân mới bị lây nhiễm trả tiền chuộc, thì khi đó nạn nhân ban đầu sẽ lấy được khóa giải mã miễn phí.
Để thấy cách thức này khả thi, thông báo đòi tiền chuộc cung cấp một URL trỏ vào tập tin nằm trên máy chủ TOR của Popcorn Time.
Nhập khóa giải mã sai 4 lần là bạn mất dữ liệu!
Khi thực hiện, ransomware Popcorn Time sẽ hiển thị 1 màn hình khóa điền các thông tin khác nhau liên quan đến thao tác cài đặc riêng cho từng nạn nhân.
Nạn nhân cũng sẽ tìm thấy 1 trường nhập khóa giải mã cho mình sau khi trả tiền chuộc.
Mã nguồn của Popcorn Time có chứa hàm thông báo việc xóa các file nếu nạn nhân nhập khóa giải mã sai 4 lần.
Popcorn Time hoạt động tương tự các loại ransomware khác, như Crysis và TeslaCrypt, mã hóa các loại dữ liệu được lưu trữ trên máy tính bị lây nhiễm và yêu cầu nạn nhân trả một khoản tiền chuộc để phục hồi dữ liệu.
Tuy nhiên, đối với các tập tin quan trọng, Popcorn Time đưa cho nạn nhân hai tùy chọn, trả tiền chuộc cho hacker hoặc lây nhiễm 2 người dùng khác và 2 người này phải trả tiền chuộc, để lấy được khóa giải mã miễn phí.
Nạn nhân được khuyến khích trả tiền chuộc 1 Bitcoin (~ $ 750) trong thời hạn 7 ngày để nhận khóa giải mã được lưu trữ trên một máy chủ từ xa thuộc sở hữu của hacker tạo ra Popcorn Time.
Nếu tiền chuộc không được thanh toán trong thời hạn này, khóa giải mã sẽ bị xóa vĩnh viễn và việc lấy các tập tin quan trọng là điều không thể.
Ngoài ra, nếu mã ransomware không đầy đủ dễ dẫn đến việc nạn nhân giải mã sai 4 lần, khi đó Popcorn Time sẽ bắt đầu xóa các tập tin của nạn nhân.
Cách thức hoạt động của Popcorn Time
Sau khi lây nhiễm, Popcorn Time sẽ kiểm tra xem nó đã đang chạy trên PC hay chưa. Nếu rồi, nó sẽ tự “chấm dứt” hoạt động của mình.
Nếu chưa, Popcorn Time sẽ tải nhiều hình ảnh khác nhau để sử dụng làm hình nền hoặc bắt đầu mã hóa các tập tin bằng thuật toán AES-256. Các tập tin được mã hóa sẽ có tiện ích ".filock" hoặc ".kok" được kết nối với mã độc.
Trong khi mã hóa dữ liệu, ransomware sẽ hiển thị một màn hình fake giả mạo là cài đặt của một chương trình.
Ngay sau khi việc mã hóa được hoàn tất, mã độc chuyển đổi 2 chuỗi base64, lưu chúng là thông báo tiền chuộc dưới định dạng restore_your_files.html và restore_your_files.txt, sau đó tự động hiển thị thông báo tiền chuộc dịnh dạng HTML đòi 1 Bitcoin.
Muốn có khóa giải mã? Hãy lây nhiễm thêm hai người nữa
Hacker tạo ra Popcorn Time đưa ra cho nạn nhân cách thức "quái đản" để lấy được khóa giải mã miễn phí: Lây lan ransomware cho 2 người khác thông qua link giới thiệu của nạn nhân.
Nếu 2 nạn nhân mới bị lây nhiễm trả tiền chuộc, thì khi đó nạn nhân ban đầu sẽ lấy được khóa giải mã miễn phí.
Để thấy cách thức này khả thi, thông báo đòi tiền chuộc cung cấp một URL trỏ vào tập tin nằm trên máy chủ TOR của Popcorn Time.
Nhập khóa giải mã sai 4 lần là bạn mất dữ liệu!
Khi thực hiện, ransomware Popcorn Time sẽ hiển thị 1 màn hình khóa điền các thông tin khác nhau liên quan đến thao tác cài đặc riêng cho từng nạn nhân.
Nạn nhân cũng sẽ tìm thấy 1 trường nhập khóa giải mã cho mình sau khi trả tiền chuộc.
Mã nguồn của Popcorn Time có chứa hàm thông báo việc xóa các file nếu nạn nhân nhập khóa giải mã sai 4 lần.
Nguồn: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: