WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
TeslaCrypt 2.0 bổ sung thuật toán, ngụy trang dưới vỏ bọc CryptoWall
TeslaCrypt, mã độc chuyên mã hóa các tập tin trò chơi điện tử luôn tìm cách tăng cường các kỹ thuật tấn công và gần đây nhất, cải thiện thuật toán mã hóa trong phiên bản mới nhất 2.0 của mình.
Theo Kasperky Lab, TeslaCrypt 2.0 không chỉ làm cho các tập tin không thể giải mã mà còn sử dụng một trang HTML được sao chép trực tiếp từ một ransomeware riêng biệt là: CryptoWall. Một bước tiến xa hơn nữa là, TeslaCrypt không còn sử dụng tên của mình nữa mà ngụy trang dưới tên gọi CryptoWall.
Cụ thể hơn, khi bị lây nhiễm, nạn nhân sẽ được dẫn tới một trang HTML được sao chép trực tiếp từ CryptoWall. Chỉ khác một điều là URL của trang này sẽ dẫn tới hệ thống máy chủ Tor của TeslaCrypt.
Fedor Sinitsyn, chuyên gia phân tích mã độc của Kaspersky cho biết chưa biết được chính xác tại sao TeslaCrypt lại sử dụng cách thức ngụy trang như thế. Nhưng ông dự đoán có thể là “để đe dọa nạn nhân và đánh lạc hướng các chuyên gia”.
Sinitsyn cho rằng dù TeslaCrypt không “nổi tiếng” như CryptoWall, thì cơ chế mã hóa mới cũng giúp “tăng thứ hạng” của mã độc này. Các phiên bản trước đó lưu dữ liệu trong một tập tin được dùng để phục hồi lại khóa giải mã, và dữ liệu này không được lưu trữ trong hệ thống. Việc sao lưu dữ liệu mang tính cấp bách hơn bao giờ hết, và đó là cách phòng thủ tốt nhất chống lại các cuộc tấn công của ransomware.
Sinitsyn khuyến cáo các nhà quản trị hệ thống cần thực hiện quá trình sao lưu dữ liệu ở cấp độ doanh nghiệp, và đào tạo người sử dụng cách tự bảo vệ mình khỏi ransomeware.
TeslaCrypt phát tán thông qua bộ công cụ khai thác gồm Angler, Sweet Orange và Nuclear, và phần lớn hệ thống bị lây nhiễm đều ở Mỹ.
Theo Kasperky Lab, TeslaCrypt 2.0 không chỉ làm cho các tập tin không thể giải mã mà còn sử dụng một trang HTML được sao chép trực tiếp từ một ransomeware riêng biệt là: CryptoWall. Một bước tiến xa hơn nữa là, TeslaCrypt không còn sử dụng tên của mình nữa mà ngụy trang dưới tên gọi CryptoWall.
Cụ thể hơn, khi bị lây nhiễm, nạn nhân sẽ được dẫn tới một trang HTML được sao chép trực tiếp từ CryptoWall. Chỉ khác một điều là URL của trang này sẽ dẫn tới hệ thống máy chủ Tor của TeslaCrypt.
Fedor Sinitsyn, chuyên gia phân tích mã độc của Kaspersky cho biết chưa biết được chính xác tại sao TeslaCrypt lại sử dụng cách thức ngụy trang như thế. Nhưng ông dự đoán có thể là “để đe dọa nạn nhân và đánh lạc hướng các chuyên gia”.
Sinitsyn cho rằng dù TeslaCrypt không “nổi tiếng” như CryptoWall, thì cơ chế mã hóa mới cũng giúp “tăng thứ hạng” của mã độc này. Các phiên bản trước đó lưu dữ liệu trong một tập tin được dùng để phục hồi lại khóa giải mã, và dữ liệu này không được lưu trữ trong hệ thống. Việc sao lưu dữ liệu mang tính cấp bách hơn bao giờ hết, và đó là cách phòng thủ tốt nhất chống lại các cuộc tấn công của ransomware.
Sinitsyn khuyến cáo các nhà quản trị hệ thống cần thực hiện quá trình sao lưu dữ liệu ở cấp độ doanh nghiệp, và đào tạo người sử dụng cách tự bảo vệ mình khỏi ransomeware.
TeslaCrypt phát tán thông qua bộ công cụ khai thác gồm Angler, Sweet Orange và Nuclear, và phần lớn hệ thống bị lây nhiễm đều ở Mỹ.
Nguồn: SC Magazine
Chỉnh sửa lần cuối bởi người điều hành: