Hãng bảo mật Kaspersky Lab vừa phát hiện hành vi kỳ lạ từ một mối đe dọa mới của "gia đình" mã hóa dữ liệu đòi tiền chuộc TeslaCrypt. Phiên bản 2.0 của Trojan khét tiếng này nhắm đến các game thủ khi cho hiển thị một trang HTML trên trình duyêt web.
Kaspersky Lab đánh giá, đây là một bản sao của CrytoWall 3.0 - Một chương trình đòi tiền khét tiếng khác. Có lẽ những tên tội phạm làm việc này để khẳng định: Cho đến nay, nhiều tập tin bị CryptoWall mã hóa sẽ không thể bị giải mã. Sau khi lây nhiễm thành công, chương trình sẽ đòi 500 USD tiền chuộc cho khóa giải mã; nếu nạn nhân trì hoãn, tiền chuộc sẽ tăng gấp đôi.
Trojan mã hóa dữ liệu đòi tiền chuộc TeslaCrypt nhắm tới game thủ. (Ảnh minh họa: Internet)
Bị phát hiện vào tháng 2.2015, TeslaCrypt được cảnh báo là một mối đe dọa nguy hiểm đối với các game thủ. Theo đó, nó cố gắng lây nhiễm vào các tập tin của game như hồ sơ người dùng, thông tin ván đầu được lưu lại,... "Điều đó có nghĩa là TeslaCrypt không mã hóa tập tin lớn hơn 268 MB", Kaspersky Lab khẳng định.
Khi TeslaCrypt tấn công vào máy tính của nạn nhân, nó sẽ tạo ra một địa chỉ mới để nhận tiền chuộc Bitcoin và một key bí mật để thu hồi nó. Phiên bản 2.0 của Trojan này sử dụng 2 bộ mã khóa: Một bộ chỉ có trong hệ thống bị nhiễm độc, bộ khác liên tục được tạo ra mỗi khi chương trình độc hại khởi chạy lại trên hệ thống.
Không những vậy, khóa bí mật cùng với tập tin người dùng bị mã hóa không lưu trên ổ cứng, khiến cho việc giải mã tập tin người dùng phức tạp hơn rất nhiều.
Các chương trình nhiễm độc TeslaCrypt được phát tán thông qua Angler, Sweet Orange và Nuclear. Với cơ chế phát tán phần mềm độc hại kiểu này, nạn nhân chỉ việc truy cập vào một trang web nhiễm độc thì mã độc sẽ lợi dụng lỗ hổng trình duyệt (thường ở plug-ins) để cài đặt phần mềm độc hại chuyên dụng lên máy tính.
Fedor Sinitsyn, Chuyên viên cao cấp Phân tích phần mềm độc hại tại Kaspersky Lab cho biết: TeslaCrypt được thiết kế để lừa gạt và đe dọa người dùng. Ví dụ, ở phiên bản trước, nó gửi tin nhắn đến nạn nhân, nói rằng các tập tin của họ bị mã hóa bởi thuật toán mã hóa RSA-2048 nổi tiếng và không còn cách nào khác ngoài trả tiền chuộc. Tuy nhiên, thực tế, các tên tội phạm không dùng thuật toán này.
Trong bản cải tiến mới nhất, nó thuyết phục nạn nhân rằng, họ đang đối mặt với CryptoWall - một khi tập tin bị mã hóa thì không cách nào giải mã được. Tuy nhiên, tất cả đường dẫn đều dẫn tới máy chủ TeslaCrypt.
Kaspersky đặt tên cho chương trình độc hại này là Trojan-Ransom.Win32.Bitman.tk. Vào tháng 4.2015, Kaspersky Lab cùng với Cục phòng chống tội phạm công nghệ cao Hà Lan cũng đã khởi chạy website giải mã phần mềm này, giúp các nạn nhân của phần mềm đòi tiền CoinVault khét tiếng lấy lại dữ liệu của họ mà không phải trả tiền cho những tên tội phạm.