Mã độc tống tiền được đặt tên là Syrk, có mục đích kiếm lợi từ sự phổ biến của trò chơi Fortnite bằng cách giả mạo một công cụ hack trò chơi này. Sau khi được thực thi, mã độc bắt đầu mã hóa và thêm đuôi .Syrk cho các tệp trên thiết bị của nạn nhân.
Fortnite là trò chơi khá phổ biến với hơn 250 triệu người chơi trên toàn thế giới. Gần đây, hàng triệu người chơi đã tham gia vào giải đấu toàn thế giới Fortnite World Cup với tổng giá trị giải thưởng lên đến hàng chục triệu USD.
Công ty Cyren đã phân tích về mã độc này và tiết lộ rằng, mã độc dựa trên phần mềm độc hại nguồn mở Hidden-Cry. Mã nguồn của phần mềm độc hại này đã có sẵn trên GitHub từ cuối năm 2018.
Mã độc tống tiền Syrk có mục đích lừa người dùng trả tiền chuộc càng sớm càng tốt bằng cách cứ 2 tiếng sẽ xóa dần các tệp của người dùng. Nhưng theo các nhà nghiên cứu của Cyren, nạn nhân có thể khôi phục các tệp này và thậm chí có thể giải mã dữ liệu đã bị mã hóa mà không cần trả tiền cho tin tặc.
Mã độc Syrk có kích thước 12MB, bao gồm một số lượng lớn các tệp được nhúng trong phần tài nguyên của nó. Khi thực thi, mã độc cố gắng vô hiệu hóa trình Windows Defender và User Account Control (UAC) bằng cách chỉnh sửa registry để có thể tồn tại lâu dài. Mã độc cũng theo dõi hệ thống để tìm ra các công cụ có thể chấm dứt tiến trình của nó như Task Manager, Procmon64 và ProcessHacker để lẩn tránh. Ngoài ra, nó cũng cố gắng lây nhiễm sang USB khi được gắn vào hệ thống.
Điều đáng mừng là các nhà nghiên cứu của Cyren đã phát hiện ra 2 phương pháp có thể giải mã dữ liệu đã bị mã hóa mà không cần trả tiền chuộc, lý do bởi các tệp tin cần thiết để giải mã cũng có sẵn trên những máy tính bị nhiễm.
Một trong số đó là dh35s3h8d69s3b1k.exe, công cụ giải mã Hidden-Cry được nhúng trong phần tài nguyên của phần mềm độc hại. Trích xuất và thực thi tệp tin này sẽ tạo tập lệnh PowerShell cần thiết để giải mã.
Ngoài ra, các nhà nghiên cứu cũng quan sát thấy mã độc này đã đưa vào các máy tính bị lây nhiễm các tệp có chứa ID và mật khẩu cần thiết để giải mã các tệp. Đó là các tệp -i+.txt, -pw+.txt và +dp-.txt trong đường dẫn C:\Users\Default\AppData\Local\Microsoft\.
Các nhà nghiên cứu cũng cho biết, mã độc Syrk cũng bao gồm cơ chế dọn sạch dưới dạng lệnh có thể thực thi, để xóa các tệp tin đã đưa vào máy tính sau khi sử dụng mật khẩu để giải mã dữ liệu.
Toàn Thắng
Theo SecurityWeek
08:00 | 03/09/2019
15:00 | 24/10/2019
17:00 | 03/01/2020
16:00 | 12/12/2019
09:00 | 26/08/2019
08:00 | 03/07/2019
15:00 | 02/03/2020
13:00 | 21/08/2024
Mặc dù đã có những biện pháp kiểm duyệt từ Google, tuy nhiên kho ứng dụng Play Store dành cho nền tảng Android vẫn thường xuyên ghi nhận xuất hiện các phần mềm có chứa mã độc.
08:00 | 17/07/2024
Mới đây, một lỗ hổng bảo mật nghiêm trọng trong Exim Mail Server đã được phát hiện có thể cho phép kẻ tấn công gửi các tệp đính kèm độc hại đến hộp thư của người dùng mục tiêu.
13:00 | 06/06/2024
Hàng loạt các ransomware như LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat và Cheerscrypt... đã nhắm mục tiêu vào cơ sở hạ tầng VMware ESXi theo một chuỗi hành động tương tự nhau.
08:00 | 22/05/2024
Các nhà nghiên cứu đã cảnh báo về một phần mềm gián điệp có tên Cuckoo trên hệ thống MacOS của Apple. Cuckoo có thể tồn tại lâu dài trên các máy tính mục tiêu và hoạt động như một phần mềm gián điệp, có khả năng thu thập thông tin từ các máy chủ đã bị nhiễm.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Các nhà nghiên cứu bảo mật tại Cisco Talos vừa phát hiện ra một số lỗ hổng Microsoft Office, cho phép tin tặc theo dõi người dùng thông qua camera và micro.
10:00 | 23/08/2024
