Mã độc ZCryptor lây lan qua ổ cứng di động

08:00 | 24/06/2016 | HACKER / MALWARE

Thời gian gần đây, nhiều dòng mã độc tống tiền mới có thể lây lan qua các ổ cứng di động đã được phát hiện.

Được biết đến với tên gọi Ransom:Win32/ZCryptor.A, mã độc này có cách thức lây nhiễm tương tự như cách thức lây nhiễm của một số dạng mã độc khác như: thư rác, mã độc marco hay chương trình cài đặt giả mạo. Điểm khác biệt của Zcryptor là khả năng tự phát tán và lây nhiễm từ một máy tính bị xâm nhập.

Để thực hiện lây nhiễm, ZCryptor cài đặt một tập tin autorun.inf trên ổ cứng di động. Tập tin này có thể lây nhiễm vào các máy tính khi sử dụng những ổ đĩa này. Các nhà nghiên cứu của Microsoft giải thích rằng, các mã độc tống tiền này sẽ lợi dụng mạng nhằm mục đích tự phát tán, chúng sẽ cài đặt các bản sao của mình đến các vị trí khác nhau, thay đổi các thuộc tính tập tin này để tự ẩn mình trong mạng.

Khi phân tích mã độc này, các nhà nghiên cứu của hãng bảo mật TrendMicro nhận thấy, mã độc ZCryptor được thiết kế để nhắm vào các máy tính Windows XP 64 bit, ngoài ra chúng cũng có thể chạy trên một số phiên bản gần đây của Windows như Windows 7 và 8.

Khi lây nhiễm vào hệ thống, mã độc Zcryptor có thể chạy khi khởi động hệ thống bằng cách tạo ra các khóa đăng ký registry, sau khi cài tập tin autorun.inf từ ổ cứng di động và zycrypt.lnk vào trong thư mục khởi động hệ thống. Tiếp đó, các mã độc này sẽ tạo ra các bản sao ẩn của chúng là {Drive}: \ system.exevà % appdata% \ zcrypt.exe.

Mã độc ZCryptor lây lan qua ổ cứng di động

Mã độc tống tiền này nhắm vào hầu hết các loại tập tin, mã hóa chúng và thêm phần mở rộng .zcrypt, đồng thời cũng tạo các mutex zcrypt1.0 trên những máy tính bị nhiễm, với mục đích thông báo rằng máy tính của người dùng đã nhiễm phần mềm độc hại. Ngoài ra chúng cũng kết nối đến các máy chủ điều khiển để trao đổi thông tin.

Mã độc ZCryptor yêu cầu khoản tiền chuộc ban đầu là 1,2 Bitcoin, nhưng sẽ tăng lên 5 Bitcoin sau bốn ngày nếu người dùng không thanh toán. Tuy nhiên, việc trả tiền chuộc không phải là một sự lựa chọn có thể giải quyết được triệt để vấn đề. Thay vào đó, người dùng nên sao lưu dữ liệu để giảm bớt tác động của sự lây nhiễm mã độc.

‹ › ×

Tin liên quan

Morgan Stanley chấp nhận nộp phạt vì bán ổ cứng chứa dữ liệu khách hàng không mã hóa

13:00 | 13/10/2022

Ngày 20/9, Morgan Stanley đã đồng ý trả cho Ủy ban Chứng khoán và Giao dịch (SEC) một khoản phạt lên tới 35 triệu USD vì lỗi bảo mật dữ liệu, bao gồm ổ cứng không được mã hóa từ các trung tâm dữ liệu ngừng hoạt động được bán lại trên các trang web đấu giá mà không bị xóa trước đó.

Tin cùng chuyên mục

Tin tặc Nga tấn công vào hệ thống mạng lưới của Chính phủ Ba Lan

08:00 | 15/05/2024

Ba Lan cho biết nhóm tin tặc APT28 có liên quan đến Cơ quan tình báo quân đội Nga (GRU) đã thực hiện các cuộc tấn công mạng nhắm mục tiêu vào các tổ chức chính phủ Ba Lan trong khoảng thời gian đầu tháng 5/2024.

Rò rỉ 272 nghìn dữ liệu quân nhân của Anh

10:00 | 14/05/2024

Bộ Quốc phòng Anh vừa tiết lộ một vụ vi phạm dữ liệu tại hệ thống trả lương của bên thứ ba làm lộ dữ liệu của 272 nghìn quân nhân và cựu chiến binh trong lực lượng vũ trang.

Cảnh báo hai lỗ hổng zero-day trên các thiết bị của Cisco nhằm phát tán phần mềm độc hại

08:00 | 04/05/2024

Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.

Thêm vụ tấn công mã hóa dữ liệu giống VnDirect, tin tặc đòi 140 triệu USD

10:00 | 10/04/2024

Một nhà cung cấp dịch vụ trung tâm dữ liệu bị tấn công với hình thức và thủ đoạn tương tự như vụ tấn công mã độc tống tiền vào VnDirect, chỉ khác về loại mã độc cụ thể mà tin tặc dùng để mã hóa dữ liệu.