Các chuyên gia an ninh đã phát hiện thấy phiên bản cải tiến của mã độc ransomware cho Windows và Android

Tác giả của mã độc ransomware tiếp tục cải thiện chương trình mã hóa file và phương pháp lây nhiễm cho Windows và Android, khiến các cuộc tấn công này trở nên khó tránh hơn.
Mối đe dọa ransomware lớn nhất cho người dùng Windows là CryptoWall, một mã độc tinh vi mã hoá một loạt các tập tin và yêu cầu nạn nhân phải trả một khoản tiền chuộc bằng tiền ảo Bitcoin để phục hồi chúng.
CryptoWall sử dụng thuật toán mã hóa không thể bẻ khóa và ẩn giấu các máy chủ điều khiển trên các hệ thống mạng ẩn danh Tor và I2P, khiến các chuyên gia an ninh và đơn vị hành pháp khó khăn hơn trong việc ngăn chặn chúng.
CryptoWall 3.0, phiên bản mã độc mới nhất, được phát tán vào tháng 1 sau khi nghỉ hai tháng bởi tác giả của nó. Một thay đổi đáng chú ý: nó không còn tích hợp các thủ thuật nâng quyền cục bộ, Cisco Systems cho biết.
Các thủ thuật nâng quyền cho phép tin tặc thực thi các mã độc với quyền quản trị hoặc hệ thống thay vì tài khoản người dùng cục bộ của nạn nhân, mà có thể với nhiều hạn chế. CryptoWall cần quyền truy cập mức này để vô hiệu hóa tính năng an ninh trên hệ thống bị xâm nhập, cho nên việc thiếu các thủ thuật quyền trong bộ cài đặt có thể là điều đáng ngạc nhiên ngay lúc đầu.
Trong thực tế, điều này cho thấy tác giả của CryptoWall đã dựa nhiều hơn vào những cuộc tấn công qua việc tải dữ liệu trên Web để lây nhiễm hệ thống, các chuyên gia của Cisco cho biết vào hôm thứ Hai trong một bài trên blog với một bài phân tích kỹ thuật cho phiên bản mới của mã độc này.
Cuộc tấn công qua việc tải dữ liệu được thực hiện qua các trang web bị xâm nhập hoặc thông qua các quảng cáo chứa mã độc và thường khai thác lỗ hổng trong các plug-in của trình duyệt như Flash Player, Java, Adobe Reader hoặc Silverlight. Công cụ được sử dụng cho các cuộc tấn công như vậy được gọi là bộ công cụ khai thác và chúng có sẵn chức năng nâng quyền, theo các chuyên gia.
Bộ công cụ khai thác có thể ảnh hưởng đến nhiều người sử dụng và khó có thể ngăn chặn, được nhấn mạnh bởi các cuộc tấn công qua quảng cáo chứa mã độc gần đây mà khai thác lỗ hổng zero-day chưa biết trước đó trong Flash Player. Chúng đạt tỷ lệ thành công cao hơn nhiều so với các phương pháp phát tán mã độc khác như email đính kèm file mã độc.
Điều đó không có nghĩa là việc phát tán ransomware đã từ bỏ phương thức lây nhiễm qua email. Theo báo cáo của các chuyên gia từ công ty diệt virus F-Secure vào hôm thứ Hai, trong tháng này họ đã phát hiện thấy sự gia tăng đáng kể việc lây nhiễm mã độc ransomware khác được gọi là CTB-Locker.
CTB-Locker là hầu hết lây lan qua email được đính kèm file zip chứa mã độc. Các file zip giả mạo gồm có một file zip khác chứa một file thực thi .scr hoặc .cab, các chuyên gia của F-Secure cho biết trong một bài trên blog. Khi chạy bất kỳ file thực thi nào, CTB-Locker sẽ được lây nhiễm.
Giống như CryptoWall, CTB sử dụng thuật toán mã hóa mạnh làm cho nạn nhân không thể phục hồi các file bị mã hóa nếu không trả tiền chuộc, và nếu họ không có bản sao an toàn. Khoản tiền chuộc của CTB là 3 Bitcoin, tức khoảng 650 USD, cao hơn so với mức tiền chuộc là 500 USD của CryptoWall.
Người dùng Android cũng không miễn nhiễm đơic với mối đe dọa này. Sau khi phán tán mã độc ransomware mã hóa tập tin đầu tiên cho Android, tác giả của Simplocker trở thành trò cười cho ngành ngăn chặn mã độc khi nó được phát hiện rằng đã sử dụng cùng một khóa mã hóa hardcoded trên tất cả các thiết bị lây nhiễm, do đó dễ dàng phục hồi các file bị ảnh hưởng.
Nhưng họ đã trở lại, các chuyên gia từ công ty diệt virus Avast Software cảnh báo. Và không may là họ đã sửa chữa sai lầm của mình, với một biến thể Simplocker tinh vi hơn đã lây nhiễm hơn 5.000 người dùng khác nhau đến khi được phát hiện.
"Lý do tại sao biến thể này nguy hiểm hơn phiên bản trước đó là vì nó khởi tạo các khóa khác nhau duy nhất cho mỗi thiết bị lây nhiễm, nên việc giải mã rất khó khăn," Nikolaos Chrysaidos, chuyên gia nghiên cứu Avast,  cho biết trong một bài trên blog hôm thứ Ba.
Simplocker được phát tán thông qua các quảng cáo giả trên các trang web bị che mờ mà yêu cầu người dùng cần cài đặt Flash Player để xem video. Ứng dụng Flash Player được cài đặt bởi những quảng cáo đó chính là Simplocker.
Mặc định, Android ngăn chặn việc cài đặt những ứng dụng mà không phải do tải về từ Google Play. Tuy nhiên, tin tặc thường sử dụng mánh khóe xã hội để thuyết phục người dùng vô hiệu hóa chức năng bảo vệ này và cho phép cài đặt các ứng dụng từ những nguồn không rõ ràng.
Ngay khi Simplocker được cài đặt, nó sẽ hiển thị một thông báo giả mạo với tuyên bố là từ FBI và cảnh báo nạn nhân rằng tài liệu khiêu dâm bất hợp pháp đã được phát hiện trên thiết bị của họ. Thông điệp này đòi hỏi nạn nhân phải trả 200 USD để mở khóa điện thoại của họ.
Các chuyên gia an ninh khuyên nạn nhân không nên trả những món tiền đó cho tội phạm mạng, bởi vì không có sự đảm bảo rằng họ sẽ nhận được khóa giải mã và điều đó cũng sẽ khuyến khích tin tặc tiếp tục kế hoạch của họ. Tuy nhiên, có nhiều báo cáo công khai của người dùng, các công ty và thậm chí cả các tổ chức chính phủ đã nộp khoản tiền chuộc để phục hồi các tập tin quan trọng của họ.
Điều này cho thấy việc sao lưu dữ liệu định kỳ là khá quan trọng. File nên được sao lưu vào ổ đĩa hoặc trên những thư mục chia sẻ trên mạng mà chỉ tạm thời kết nối với máy tính hoặc bắt buộc đăng nhập bằng tên người dùng và mật khẩu. Bởi vì mã độc ransomware chỉ có thể mã hóa các file từ thư mục truy cập qua mạng nếu được cấp quyền ghi dữ liệu.