Trong tháng 6, ransomware dựa trên mã nguồn mở, đặc biệt là các biến thể dựa trên Hidden Tear, tiếp tục tăng nhanh.
Khi được phát hành lần đầu tiên, mã nguồn mở cho phép bất cứ ai, kể cả các nhà phát triển không có kinh nghiệm, quấy rối nạn nhân với ransomware. Các biến thể dựa trên Hidden Tear đầu tiên, và thậm chí cả các ransomware nguồn mở tương tự như EDA2, không khác xa bản gốc. Tuy nhiên, không có gì ngạc nhiên khi các tác giả ransomware tiếp tục xây dựng mã nguồn đã được phát hành và tạo ra các biến thể cải tiến.
Một ví dụ là ransomware May (được phát hiện bởi Trend Micro dưới dạng RANSOM_HIDDENTEARMAY.A), một phiên bản Hidden Tear gần đây sử dụng mã hóa AES256 và RSA4096. Việc mã hóa thực sự dựa trên mã nguồn Hidden Tear, nhưng thế hệ khóa lại khác. Chỉ cần bạn chọn một tệp tin ngẫu nhiên trong C: \ Program Files \ Internet Explorer thì ransomware May sẽ tự chạy và xáo trộn 128 byte đầu tiên của tệp đó, sau đó sử dụng các byte đã được xáo trộn làm mật khẩu khóa AES.
Để giữ cho hệ thống của nạn nhân chạy trơn tru và ép họ trả tiền chuộc dễ dàng hơn, May tránh mã hóa các tập tin trong các thư mục chứa các chuỗi sau:
- Program Files
- Windows
- Program Data
Ransomware Mooware (được phát hiện dưới dạng RANSOM_HIDDEMEARMOWARE) là một biến thể Hidden Tear khác với mã nguồn gốc. Để khởi động, nó có một thuật toán mã hóa khác nhau từ Hidden Tear, sử dụng mã hóa XOR thay vì AES. Các ransomware mã hóa tập tin trong các thư mục Desktop, Personal, MyMusic, MyPictures và Cookies. Nó cũng kiểm tra kết nối mạng và vô hiệu hóa các công cụ Registry, Task Manager và CMD.
Cách đòi tiền chuộc cũng khá tinh vi, thậm chí “giúp đỡ” các nạn nhân với một loạt các câu hỏi thường gặp đính kèm.
Hình 1. Cách đòi tiền chuộc của Mooware.
Một phiên bản Hidden Tear khác được gọi là ransomware Franzi (được phát hiện bởi Trend Micro dưới dạng RANSOM_HIDDENTEARFRANZI.A) quét phần mềm gỡ lỗi của Microsoft. Cụ thể, nó kiểm tra: Crypto Obfuscator, OLLYDBG, IsDebuggerPresent, và CheckRemoteDebuggerPresent.
Ransomware mới tập trung vào đồ họa và kế hoạch thanh toán
Trend Micro lưu ý rằng TeslaCrypt đã bị xóa sổ vào tháng 5 năm 2016 nhưng sự biến mất đó lại mở ra một kỷ nguyên ransomware mới: Tesla (Trend Micro phát hiện dưới dạng RANSOM_CRYPTEAR.SM). Mặc dù có cùng tên Tesla, Tesla có một số khác biệt rõ rệt với TeslaCrypt cũ, bao gồm một giao diện phức tạp hơn. Nó cũng được viết bằng Microsoft Intermediate Language (MSIL), trong khi TeslaCrypt sử dụng C++.
Hình 2. Biểu tượng ransomware Tesla.
Hình 3. Cách đòi tiền chuộc của Tesla.
Widia (được phát hiện bởi Trend Micro dưới dạng RANSOM_WIDIALOCKER.A) là một ransomware khóa màn hình đang được phát triển, có thể có nguồn gốc từ Romania. Một tính năng của Widia là yêu cầu người sử dụng thanh toán tiền chuộc qua thẻ tín dụng, thay vì thanh toán Bitcoin. Phương thức thanh toán này là một lựa chọn thú vị cho các nhà phát triển bởi vì thẻ tín dụng vốn được sử dụng nhiều hơn và sẽ làm cho nạn nhân trả tiền chuộc dễ dàng hơn. Thẻ tín dụng giao dịch cũng dễ dàng truy vấn chứ không rắc rối như Bitcoin.
Trong khi đó, BlueHowl (được phát hiện bởi Trend Micro dưới dạng RANSOM_BLUEHOWL) là một ransomware khóa màn hình mới có âm thanh đính kèm và video nhúng của The Final Countdown nhằm đe doạ nạn nhân. Đối với thanh toán, nó có tùy chọn Bitcoin thông thường nhưng lại có thêm mã QR để tạo thuận lợi cho việc thanh toán.
Hình 4. BlueHowl sử dụng mã QR để thanh toán.
Bọn hacker sáng tạo ransomware đang tìm kiếm những cách mới để thu tiền chuộc từ nạn nhân bằng cách tạo ra các giao diện tốt hơn hoặc cung cấp các lựa chọn thanh toán được sử dụng rộng rãi. Khi ransomware tiếp tục lan rộng và phát triển, người dùng phải luôn cảnh giác và đảm bảo an toàn được ưu tiên.
Như Quỳnh (Theo Trend Micro)