WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Ransomware ZCryptor phát tán qua ổ cứng di động
Trong nhiều tháng qua, nhiều dòng mã độc mã hóa dữ liệu (ransomware) xuất hiện, trong đó có một dòng rất đáng để lưu ý.
Được gọi là Ransom:Win32 / ZCryptor.A, ransomware này lợi dụng các phương pháp lây nhiễm được sử dụng bởi loại malware khác, chẳng hạn như thư rác, mã độc macro hay các trình cài đặt giả mạo. Điểm khác biệt với các ransomware khác là Zcryptor có hành vi giống worm, có thể tự phát tán từ thiết bị lây nhiễm.
Để làm được như vậy, ZCryptor thả một tập tin autorun.inf trên ổ đĩa di động, từ đó lây nhiễm các máy tính mà các ổ đĩa được cắm vào. Các nhà nghiên cứu Microsoft giải thích mã độc cũng lợi dụng các ổ đĩa mạng để tự phát tán. Nó sẽ thả các bản sao của chính mình đến các vị trí khác nhau, đồng thời thay đổi các thuộc tính tập tin để tự ẩn mình.
Khi phân tích ransomware này, các nhà nghiên cứu của TrendMicro quan sát thấy ZCryptor được thiết kế nhắm mục tiêu vào các máy tính Windows XP 64-bit và nó cũng có thể chạy trên nhiều phiên bản gần đây của Windows như Windows 7 và 8.
Một khi ZCryptor thực thi được trên hệ thống bị nhiễm, để chắc chắn có thể chạy khi máy khởi động, malware tạo ra một khóa registry, sau đó thả autorun.inf trên ổ đĩa di động, cùng với zycrypt.lnk trên folder start-up. Tiếp theo, malware tạo ra các bản sao ẩn của chính mình như {Ổ}: system.exe và % appdata% zcrypt.exe.
Ransomware nhắm mục tiêu đến nhiều loại tập tin khác nhau, mã hóa chúng sau đó bổ sung tiện ích mở rộng .zcrypt, đồng thời tạo ra các mutex zcrypt1.0 nhằm “đánh dấu” sự hiện diện của mình trên máy tính bị nhiễm. Ransomware cũng kết nối đến các máy chủ để trao đổi thông tin với nhau, nhưng theo các nhà nghiên cứu, những máy chủ này đã không hoạt động nữa.
ZCryptor đưa ra yêu cầu ban đầu là khoản tiền chuộc 1,2 Bitcoin, nhưng tăng lên đến 5 Bitcoin nếu sau bốn ngày không được thanh toán. Tuy nhiên, theo Jack Danahy từ Barkly, thanh toán không phải là lựa chọn khi bị ransomware tấn công. Thay vào đó, ông cho rằng sao lưu dữ liệu thường xuyên mới là biện pháp để giảm bớt tác động khi bị lây nhiễm ransomware.
Nguồn: Security Week
Được gọi là Ransom:Win32 / ZCryptor.A, ransomware này lợi dụng các phương pháp lây nhiễm được sử dụng bởi loại malware khác, chẳng hạn như thư rác, mã độc macro hay các trình cài đặt giả mạo. Điểm khác biệt với các ransomware khác là Zcryptor có hành vi giống worm, có thể tự phát tán từ thiết bị lây nhiễm.
Để làm được như vậy, ZCryptor thả một tập tin autorun.inf trên ổ đĩa di động, từ đó lây nhiễm các máy tính mà các ổ đĩa được cắm vào. Các nhà nghiên cứu Microsoft giải thích mã độc cũng lợi dụng các ổ đĩa mạng để tự phát tán. Nó sẽ thả các bản sao của chính mình đến các vị trí khác nhau, đồng thời thay đổi các thuộc tính tập tin để tự ẩn mình.
Khi phân tích ransomware này, các nhà nghiên cứu của TrendMicro quan sát thấy ZCryptor được thiết kế nhắm mục tiêu vào các máy tính Windows XP 64-bit và nó cũng có thể chạy trên nhiều phiên bản gần đây của Windows như Windows 7 và 8.
Một khi ZCryptor thực thi được trên hệ thống bị nhiễm, để chắc chắn có thể chạy khi máy khởi động, malware tạo ra một khóa registry, sau đó thả autorun.inf trên ổ đĩa di động, cùng với zycrypt.lnk trên folder start-up. Tiếp theo, malware tạo ra các bản sao ẩn của chính mình như {Ổ}: system.exe và % appdata% zcrypt.exe.
Ransomware nhắm mục tiêu đến nhiều loại tập tin khác nhau, mã hóa chúng sau đó bổ sung tiện ích mở rộng .zcrypt, đồng thời tạo ra các mutex zcrypt1.0 nhằm “đánh dấu” sự hiện diện của mình trên máy tính bị nhiễm. Ransomware cũng kết nối đến các máy chủ để trao đổi thông tin với nhau, nhưng theo các nhà nghiên cứu, những máy chủ này đã không hoạt động nữa.
ZCryptor đưa ra yêu cầu ban đầu là khoản tiền chuộc 1,2 Bitcoin, nhưng tăng lên đến 5 Bitcoin nếu sau bốn ngày không được thanh toán. Tuy nhiên, theo Jack Danahy từ Barkly, thanh toán không phải là lựa chọn khi bị ransomware tấn công. Thay vào đó, ông cho rằng sao lưu dữ liệu thường xuyên mới là biện pháp để giảm bớt tác động khi bị lây nhiễm ransomware.
Nguồn: Security Week