Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Ransom32 – Ransomware JavaScript đầu tiên lây lan trên cả Windows, Mac và Linux
Một “dịch vụ” ransomware mới có tên gọi Ransom32, lần đầu tiên sử dụng ransomware JavaScript để lây nhiễm trên các máy Mac, Windows và Linux.
Ransom32 có thể được triển khai một cách nhanh chóng và đơn giản. Nó có một bảng điều khiển cho phép hacker chỉ định các địa chỉ gửi Bitcoin, đồng thời thống kê số lượng Bitcoin chúng đã kiếm được.
Nói ngắn gọn, ransomware này đơn giản nhưng hoạt động rất hiệu quả. Bất kỳ ai cũng có thể tải về và phát tán ransomware, miễn là hắn có một địa chỉ để gửi Bitcoin về.
Phiên bản Ransom32 được phân tích đầu tiên bởi Emsisoft. Hãng cho biết dòng mã độc tống tiền này được nén trong một tập tin WinRAR và sử dụng framework NW.js để xâm nhập vào máy tính nạn nhân, sau đó sử dụng thuật toán mã hóa 128bit AES để mã hóa các tập tin.
Tại sao sử dụng NW.js?
NW.js, trước đó được gọi là Node_WebKit, là một framework JavaScript sử dụng cho phát triển ứng dụng web dựa trên Node.js và Chromium. NW.js tác động lên cơ chế sandbox vốn rất nghiêm ngặt của JavaScript, nhờ đó một ứng dụng Web có thể được xây dựng cho desktop mà không còn sandbox.
NW.js cho phép nhiều quyền kiểm soát và tương tác với hệ điều hành, tạo điều kiện cho JavaScript làm được mọi việc tương tự như C++ hoặc Delphi.
NW.js không chỉ cho phép lây nhiễm nhiều nền tảng mà còn gây khó khăn trong việc phát hiện bởi vì nó là một framework hợp pháp. Ransom32 có một số điểm tương đồng với mã độc tống tiền nổi tiếng CryptoLocker.
Ransom32 đã được giao dịch trên chợ đen, và tác giả của mã độc này yêu cầu 25% giá trị của tất cả các khoản tiền chuộc.
Cách thức Ransom32 hoạt động?
Mã độc được đính kèm trong các tập tin được gửi qua email giống như thông báo giao hàng hoặc các hóa đơn chưa thanh toán…
Ngay khi được cài đặt và khởi động, Ransom32 sẽ kết nối tới một máy chủ điều khiển trong mạng TOR, hiển thị thông báo kèm với địa chỉ Bitcoin để nạn nhân gửi tiền đến nếu muốn giải mã các file trên máy tính của mình.
Ở thời điểm hiện tại, Emsisoft mới chỉ phát hiện Ransom32 thực hiện các tấn công trên Windows, nhưng NW.js có thể chạy trên các hệ điều hành khác.
Cách thức bảo vệ
Đây là những bước quan trọng để bảo vệ máy tính của bạn khởi mối hiểm họa ransomware:
Thường xuyên backup những dữ liệu quan trọng.
Cài đặt phần mềm diệt virus để được bảo vệ thường trực.
Không mở file đính kèm trong các email có nguồn gốc lạ.
Nguồn: The Hacker News
Ransom32 có thể được triển khai một cách nhanh chóng và đơn giản. Nó có một bảng điều khiển cho phép hacker chỉ định các địa chỉ gửi Bitcoin, đồng thời thống kê số lượng Bitcoin chúng đã kiếm được.
Nói ngắn gọn, ransomware này đơn giản nhưng hoạt động rất hiệu quả. Bất kỳ ai cũng có thể tải về và phát tán ransomware, miễn là hắn có một địa chỉ để gửi Bitcoin về.
Phiên bản Ransom32 được phân tích đầu tiên bởi Emsisoft. Hãng cho biết dòng mã độc tống tiền này được nén trong một tập tin WinRAR và sử dụng framework NW.js để xâm nhập vào máy tính nạn nhân, sau đó sử dụng thuật toán mã hóa 128bit AES để mã hóa các tập tin.
Tại sao sử dụng NW.js?
NW.js, trước đó được gọi là Node_WebKit, là một framework JavaScript sử dụng cho phát triển ứng dụng web dựa trên Node.js và Chromium. NW.js tác động lên cơ chế sandbox vốn rất nghiêm ngặt của JavaScript, nhờ đó một ứng dụng Web có thể được xây dựng cho desktop mà không còn sandbox.
NW.js cho phép nhiều quyền kiểm soát và tương tác với hệ điều hành, tạo điều kiện cho JavaScript làm được mọi việc tương tự như C++ hoặc Delphi.
NW.js không chỉ cho phép lây nhiễm nhiều nền tảng mà còn gây khó khăn trong việc phát hiện bởi vì nó là một framework hợp pháp. Ransom32 có một số điểm tương đồng với mã độc tống tiền nổi tiếng CryptoLocker.
Ransom32 đã được giao dịch trên chợ đen, và tác giả của mã độc này yêu cầu 25% giá trị của tất cả các khoản tiền chuộc.
Cách thức Ransom32 hoạt động?
Mã độc được đính kèm trong các tập tin được gửi qua email giống như thông báo giao hàng hoặc các hóa đơn chưa thanh toán…
Ngay khi được cài đặt và khởi động, Ransom32 sẽ kết nối tới một máy chủ điều khiển trong mạng TOR, hiển thị thông báo kèm với địa chỉ Bitcoin để nạn nhân gửi tiền đến nếu muốn giải mã các file trên máy tính của mình.
Ở thời điểm hiện tại, Emsisoft mới chỉ phát hiện Ransom32 thực hiện các tấn công trên Windows, nhưng NW.js có thể chạy trên các hệ điều hành khác.
Cách thức bảo vệ
Đây là những bước quan trọng để bảo vệ máy tính của bạn khởi mối hiểm họa ransomware:
Thường xuyên backup những dữ liệu quan trọng.
Cài đặt phần mềm diệt virus để được bảo vệ thường trực.
Không mở file đính kèm trong các email có nguồn gốc lạ.
Nguồn: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: