Mã độc tống tiền được đặt tên là Syrk, có mục đích kiếm lợi từ sự phổ biến của trò chơi Fortnite bằng cách giả mạo một công cụ hack trò chơi này. Sau khi được thực thi, mã độc bắt đầu mã hóa và thêm đuôi .Syrk cho các tệp trên thiết bị của nạn nhân.
Fortnite là trò chơi khá phổ biến với hơn 250 triệu người chơi trên toàn thế giới. Gần đây, hàng triệu người chơi đã tham gia vào giải đấu toàn thế giới Fortnite World Cup với tổng giá trị giải thưởng lên đến hàng chục triệu USD.
Công ty Cyren đã phân tích về mã độc này và tiết lộ rằng, mã độc dựa trên phần mềm độc hại nguồn mở Hidden-Cry. Mã nguồn của phần mềm độc hại này đã có sẵn trên GitHub từ cuối năm 2018.
Mã độc tống tiền Syrk có mục đích lừa người dùng trả tiền chuộc càng sớm càng tốt bằng cách cứ 2 tiếng sẽ xóa dần các tệp của người dùng. Nhưng theo các nhà nghiên cứu của Cyren, nạn nhân có thể khôi phục các tệp này và thậm chí có thể giải mã dữ liệu đã bị mã hóa mà không cần trả tiền cho tin tặc.
Mã độc Syrk có kích thước 12MB, bao gồm một số lượng lớn các tệp được nhúng trong phần tài nguyên của nó. Khi thực thi, mã độc cố gắng vô hiệu hóa trình Windows Defender và User Account Control (UAC) bằng cách chỉnh sửa registry để có thể tồn tại lâu dài. Mã độc cũng theo dõi hệ thống để tìm ra các công cụ có thể chấm dứt tiến trình của nó như Task Manager, Procmon64 và ProcessHacker để lẩn tránh. Ngoài ra, nó cũng cố gắng lây nhiễm sang USB khi được gắn vào hệ thống.
Điều đáng mừng là các nhà nghiên cứu của Cyren đã phát hiện ra 2 phương pháp có thể giải mã dữ liệu đã bị mã hóa mà không cần trả tiền chuộc, lý do bởi các tệp tin cần thiết để giải mã cũng có sẵn trên những máy tính bị nhiễm.
Một trong số đó là dh35s3h8d69s3b1k.exe, công cụ giải mã Hidden-Cry được nhúng trong phần tài nguyên của phần mềm độc hại. Trích xuất và thực thi tệp tin này sẽ tạo tập lệnh PowerShell cần thiết để giải mã.
Ngoài ra, các nhà nghiên cứu cũng quan sát thấy mã độc này đã đưa vào các máy tính bị lây nhiễm các tệp có chứa ID và mật khẩu cần thiết để giải mã các tệp. Đó là các tệp -i+.txt, -pw+.txt và +dp-.txt trong đường dẫn C:\Users\Default\AppData\Local\Microsoft\.
Các nhà nghiên cứu cũng cho biết, mã độc Syrk cũng bao gồm cơ chế dọn sạch dưới dạng lệnh có thể thực thi, để xóa các tệp tin đã đưa vào máy tính sau khi sử dụng mật khẩu để giải mã dữ liệu.
Toàn Thắng
Theo SecurityWeek
08:00 | 03/09/2019
15:00 | 24/10/2019
17:00 | 03/01/2020
16:00 | 12/12/2019
09:00 | 26/08/2019
08:00 | 03/07/2019
15:00 | 02/03/2020
10:00 | 27/10/2024
Kho lưu trữ Internet Archive, nơi lưu giữ lịch sử toàn bộ Internet, xác nhận họ đã bị tấn công, làm lộ dữ liệu của 31 triệu người dùng. Ngay cả những tổ chức uy tín nhất cũng không miễn nhiễm với các cuộc tấn công mạng tinh vi.
16:00 | 19/09/2024
Hệ thống định vị vệ tinh toàn cầu (Global Navigation Satellite System - GNSS) là hệ thống xác định vị trí dựa trên vị trí của các vệ tinh nhân tạo, do Bộ Quốc phòng Hoa Kỳ thiết kế, xây dựng, vận hành và quản lý. Hệ thống GNSS ban đầu được dùng trong mục đích quân sự nhưng sau những năm 1980, Chính phủ Hoa Kỳ cho phép sử dụng GNSS vào mục đích dân sự ở phạm vi toàn cầu. Chính vì việc mở rộng phạm vi sử dụng nên đã dẫn đến các nguy cơ mất an toàn thông tin (ATTT) cho các hệ thống này. Bài báo sau đây sẽ giới thiệu các kỹ thuật tấn công mạng vào các hệ thống định vị toàn cầu.
10:00 | 16/08/2024
Vào tháng 5/2024, các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một mối đe dọa APT mới nhắm vào các thực thể Chính phủ Nga. Được gọi là CloudSorcerer, đây là một công cụ gián điệp mạng tinh vi được sử dụng để theo dõi lén lút, thu thập dữ liệu và đánh cắp thông tin thông qua cơ sở hạ tầng đám mây Microsoft Graph, Yandex Cloud và Dropbox. Phần mềm độc hại này tận dụng các tài nguyên đám mây và GitHub làm máy chủ điều khiển và ra lệnh (C2), truy cập chúng thông qua API bằng mã thông báo xác thực. Bài viết này sẽ tiến hành phân tích và giải mã về công cụ gián điệp mạng này, dựa trên báo cáo mới đây của Kaspersky.
14:00 | 29/07/2024
Công ty cung cấp dịch vụ Communication APIs Twilio (Mỹ) đã xác nhận rằng một API không bảo mật đã cho phép các tác nhân đe dọa xác minh số điện thoại của hàng triệu người dùng xác thực đa yếu tố Authy, khiến họ có khả năng bị tấn công lừa đảo qua tin nhắn SMS và tấn công hoán đổi SIM.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024
