Hơn 100.000 máy tính ở Trung Quốc bị lây nhiễm loại ransomware mới

0

Một loại ransomware mới đang lây lan nhanh chóng khắp đất nước Trung Quốc. Số lượng máy tính và người dùng bị lây nhiễm tăng lên liên tục hàng giờ. Hiện tại đã ghi nhận hơn 100.000 máy tính ở Trung Quốc bị nhiễm loại ransomware mới này.

Điều khác lạ là loại virus mới này không hề đòi hỏi các khoản thanh toán tiền chuộc bằng Bitcoin mà yêu cầu nạn nhân chuộc lại qua WeChat Pay với số tiền 110 NDT (gần 16 USD). WeChat Pay là tính năng thanh toán được cung cấp bởi ứng dụng nhắn tin phổ biến nhất của Trung Quốc, WeChat.

ransomware-moi-Trung-quoc
Hơn 100.000 máy tính ở Trung Quốc bị nhiễm loại ransomware mới này

Các đặc điểm của mã độc mới tại Trung Quốc

Tống tiền và đánh cắp mật khẩu: không bùng nổ mạnh mẽ và gây hỗn loạn toàn thế giới như mã độc tống tiền WannaCry và NotPetya, loại ransomware mới này chỉ nhắm mục tiêu vào người dùng Trung Quốc. Nó cũng có thể đánh cắp mật khẩu tài khoản của người dùng Alipay, dịch vụ email NetEase 163, các trang web Baidu Cloud Disk, Jingdong (JD.com), Taobao, Tmall, AliWangWang và QQ.

Tấn công chuỗi cung ứng supply chain: Theo công ty Velvet Security của Trung Quốc, các hacker đã chèn mã độc vào phần mềm lập trình “ EasyLanguage” được sử dụng rộng rãi trong giới phát triển ứng dụng. Bằng cách này, tin tặc có thể đưa mã độc vào mọi ứng dụng và phần mềm được biên dịch thông qua nó. Đây là một ví dụ về tấn công chuỗi cung ứng phần mềm để lây lan virus một cách nhanh chóng. Hơn 100.000 người dùng Trung Quốc cài đặt các ứng dụng như trên đã bị lây nhiễm ransomware. Mã độc này mã hóa tất cả các tệp trên hệ thống, ngoại trừ các tệp có phần mở rộng gif, exe và tmp.

Sử dụng chữ ký số bị đánh cắp: Để qua mặt các chương trình anti-virus, kẻ tấn công đã ký mã độc với chữ ký số đáng tin của Tencent Technologies và tránh mã hóa dữ liệu trong một số thư mục cụ thể như Tencent Games, League of Legends, tmp, rtl và program.

Sau khi dữ liệu bị mã hóa, người dùng sẽ nhận được một thông báo yêu cầu trả 110 NDT qua tài khoản WeChat của hacker trong vòng 3 ngày để nhận khóa giải mã. Nếu không trả đúng hạn, mã độc sẽ tự động xóa khóa giải mã khỏi máy chủ C&C từ xa.

Ngoài việc mã hóa dữ liệu người dùng, ransomware còn âm thầm lấy cắp thông tin xác thực đăng nhập của người dùng cho các trang web phổ biến của Trung Quốc và các tài khoản mạng xã hội rồi gửi chúng đến máy chủ từ xa. Mã độc cũng tập hợp thông tin hệ thống bao gồm mẫu CPU, độ phân giải màn hình, thông tin mạng và danh sách phần mềm được cài đặt.

Ransomware đã bị bẻ khóa: các chuyên gia nghiên cứu của Trung Quốc phát hiện ra loại ransomware này được lập trình sơ sài và những kẻ tấn công đã nói dối về quá trình mã hóa. Bằng chứng là khi bị tấn công, người dùng nhận được thông báo là dữ liệu đã bị mã hóa bằng thuật toán DES, nhưng trên thực tế nó mã hóa dữ liệu bằng mật mã XOR kém an toàn hơn và lưu bản sao khóa giải mã ngay trên chính hệ thống của nạn nhân tại:

%user%\AppData\Roaming\unname_1989\dataFile\appCfg.cfg

Dựa trên thông tin này, Velvet đã tạo ra và phát hành công cụ giải mã ransomware miễn phí có thể dễ dàng mở khóa các tệp đã bị mã hóa cho nạn nhân mà không phải trả khoản tiền chuộc nào. Các nhà nghiên cứu cũng tìm ra cách bẻ khóa và truy cập các máy chủ cơ sở dữ liệu MySQL và các C&C của kẻ tấn công và tìm thấy hàng ngàn thông tin đăng nhập bị đánh cắp được lưu trữ trên đó.

Thủ phạm đằng sau cuộc tấn công ransomware này?

Kẻ bị tình nghi là “Luo”, một lập trình viên phần mềm chuyên phát triển các ứng dụng như “trợ lý tài nguyên lsy” và “cảnh báo cổ điển LSY v1.1”

Số tài khoản QQ, số điện thoại di động, ID Alipay và ID email của Lua khớp với thông tin mà các nhà nghiên cứu thu thập được bằng cách theo dõi tài khoản WeChat của kẻ tấn công.

ransomware-moi-thong-tin-tin-tac
Thông tin tài khoản của tin tặc hoàn toàn trùng khớp với thông tin mà các nhà nghiên cứu thu thập được

Sau khi nhận được thông báo về mối đe dọa, WeChat cũng đã tạm ngưng tài khoản của kẻ tấn công. Các nhà nghiên cứu Velvet cũng đã thông báo cho các cơ quan thực thi pháp luật Trung Quốc tất cả các thông tin có sẵn để điều tra thêm.

Nguồn: WhiteHat.vn

Bài viết liên quan Bài viết cùng tác giả