WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Ransomware đơn giản dựa vào GnuPG để mã hóa
Giới tội phạm mạng luôn tìm ra những cách đơn giản để phát triển và duy trì mã độc bằng việc tận dụng các công cụ hợp pháp mã nguồn mở để mã hóa file trên máy tính nạn nhân, lấy thông tin để đòi tiền chuộc.
Các chuyên gia an ninh mạng vừa phát hiện ra một malware mới sử dụng chương trình mã nguồn mở GnuPG để mã hóa dữ liệu. GnuPG tuân theo chuẩn OpenPGP dựa trên kỹ thuật mã hóa bất đối xứng, yêu cầu một cặp khóa (khóa công khai và khóa bí mật) để mã hóa và giải mã dữ liệu.
Trojan.Ransomcrypt.L, tên của malware được đặt bởi Symantec, sau khi khóa file, sẽ hiện thông báo đòi tiền chuộc (bằng tiếng Nga) yêu cầu nạn nhân trả phí để nhận được khóa bí mật giải mã dữ liệu.
Điểm thú vị lại nằm ở sự đơn giản của mã độc này, với module chính chỉ là một file batch cho phép kẻ xấu dễ dàng cập nhật và duy trì hoạt động của mã độc. File batch về cơ bản là một script cho phép chạy nhiều lệnh thông qua dòng lệnh.
Để mã hóa file, đầu tiên file batch tải khóa công khai RSA 1024-bit cùng cặp với khóa bí mật nằm trong tay của kẻ xấu. Khóa công khai sau đó được nhập vào chương trình GnuPG và được sử dụng để khóa dữ liệu trên máy nạn nhân (XLS, XLSX, DOC, DOCX, PDF, JPG, CD, JPEG, 1CD, RAR, MDB và ZIP).
Dữ liệu sẽ không được giải mã nếu không có khóa bí mật đang nằm trong tay kẻ xấu. Ngay khi quá trình này hoàn tất, thông điệp đòi tiền chuộc dưới dạng pops up sẽ được gửi đến nạn nhân đòi trả ít nhất 200 USD để khôi phục dữ liệu.
Trong trường hợp này, các chuyên gia An ninh mạng khuyên người dùng không nên trả tiền chuộc bởi không có gì đảm bảo rằng khóa bí mật sẽ được gửi đến nạn nhân. Cách tốt nhất để ngăn ngừa việc mất file dữ liệu là có giải pháp sao lưu dữ liệu và phục hồi dữ liệu đó.
Theo thông tin từ phía Symantec, Trojan.Ransomcrypt.L còn có thể đánh cắp mật khẩu từ các trình duyệt web, điều này làm nó nguy hiểm hơn cho dù Trojan này rất đơn giản.
Các chuyên gia an ninh mạng vừa phát hiện ra một malware mới sử dụng chương trình mã nguồn mở GnuPG để mã hóa dữ liệu. GnuPG tuân theo chuẩn OpenPGP dựa trên kỹ thuật mã hóa bất đối xứng, yêu cầu một cặp khóa (khóa công khai và khóa bí mật) để mã hóa và giải mã dữ liệu.
Trojan.Ransomcrypt.L, tên của malware được đặt bởi Symantec, sau khi khóa file, sẽ hiện thông báo đòi tiền chuộc (bằng tiếng Nga) yêu cầu nạn nhân trả phí để nhận được khóa bí mật giải mã dữ liệu.
Điểm thú vị lại nằm ở sự đơn giản của mã độc này, với module chính chỉ là một file batch cho phép kẻ xấu dễ dàng cập nhật và duy trì hoạt động của mã độc. File batch về cơ bản là một script cho phép chạy nhiều lệnh thông qua dòng lệnh.
Để mã hóa file, đầu tiên file batch tải khóa công khai RSA 1024-bit cùng cặp với khóa bí mật nằm trong tay của kẻ xấu. Khóa công khai sau đó được nhập vào chương trình GnuPG và được sử dụng để khóa dữ liệu trên máy nạn nhân (XLS, XLSX, DOC, DOCX, PDF, JPG, CD, JPEG, 1CD, RAR, MDB và ZIP).
Dữ liệu sẽ không được giải mã nếu không có khóa bí mật đang nằm trong tay kẻ xấu. Ngay khi quá trình này hoàn tất, thông điệp đòi tiền chuộc dưới dạng pops up sẽ được gửi đến nạn nhân đòi trả ít nhất 200 USD để khôi phục dữ liệu.
Trong trường hợp này, các chuyên gia An ninh mạng khuyên người dùng không nên trả tiền chuộc bởi không có gì đảm bảo rằng khóa bí mật sẽ được gửi đến nạn nhân. Cách tốt nhất để ngăn ngừa việc mất file dữ liệu là có giải pháp sao lưu dữ liệu và phục hồi dữ liệu đó.
Theo thông tin từ phía Symantec, Trojan.Ransomcrypt.L còn có thể đánh cắp mật khẩu từ các trình duyệt web, điều này làm nó nguy hiểm hơn cho dù Trojan này rất đơn giản.
Nguồn: SoftPedia
Chỉnh sửa lần cuối bởi người điều hành: