Mã độc tống tiền được đặt tên là Syrk, có mục đích kiếm lợi từ sự phổ biến của trò chơi Fortnite bằng cách giả mạo một công cụ hack trò chơi này. Sau khi được thực thi, mã độc bắt đầu mã hóa và thêm đuôi .Syrk cho các tệp trên thiết bị của nạn nhân.
Fortnite là trò chơi khá phổ biến với hơn 250 triệu người chơi trên toàn thế giới. Gần đây, hàng triệu người chơi đã tham gia vào giải đấu toàn thế giới Fortnite World Cup với tổng giá trị giải thưởng lên đến hàng chục triệu USD.
Công ty Cyren đã phân tích về mã độc này và tiết lộ rằng, mã độc dựa trên phần mềm độc hại nguồn mở Hidden-Cry. Mã nguồn của phần mềm độc hại này đã có sẵn trên GitHub từ cuối năm 2018.
Mã độc tống tiền Syrk có mục đích lừa người dùng trả tiền chuộc càng sớm càng tốt bằng cách cứ 2 tiếng sẽ xóa dần các tệp của người dùng. Nhưng theo các nhà nghiên cứu của Cyren, nạn nhân có thể khôi phục các tệp này và thậm chí có thể giải mã dữ liệu đã bị mã hóa mà không cần trả tiền cho tin tặc.
Mã độc Syrk có kích thước 12MB, bao gồm một số lượng lớn các tệp được nhúng trong phần tài nguyên của nó. Khi thực thi, mã độc cố gắng vô hiệu hóa trình Windows Defender và User Account Control (UAC) bằng cách chỉnh sửa registry để có thể tồn tại lâu dài. Mã độc cũng theo dõi hệ thống để tìm ra các công cụ có thể chấm dứt tiến trình của nó như Task Manager, Procmon64 và ProcessHacker để lẩn tránh. Ngoài ra, nó cũng cố gắng lây nhiễm sang USB khi được gắn vào hệ thống.
Điều đáng mừng là các nhà nghiên cứu của Cyren đã phát hiện ra 2 phương pháp có thể giải mã dữ liệu đã bị mã hóa mà không cần trả tiền chuộc, lý do bởi các tệp tin cần thiết để giải mã cũng có sẵn trên những máy tính bị nhiễm.
Một trong số đó là dh35s3h8d69s3b1k.exe, công cụ giải mã Hidden-Cry được nhúng trong phần tài nguyên của phần mềm độc hại. Trích xuất và thực thi tệp tin này sẽ tạo tập lệnh PowerShell cần thiết để giải mã.
Ngoài ra, các nhà nghiên cứu cũng quan sát thấy mã độc này đã đưa vào các máy tính bị lây nhiễm các tệp có chứa ID và mật khẩu cần thiết để giải mã các tệp. Đó là các tệp -i+.txt, -pw+.txt và +dp-.txt trong đường dẫn C:\Users\Default\AppData\Local\Microsoft\.
Các nhà nghiên cứu cũng cho biết, mã độc Syrk cũng bao gồm cơ chế dọn sạch dưới dạng lệnh có thể thực thi, để xóa các tệp tin đã đưa vào máy tính sau khi sử dụng mật khẩu để giải mã dữ liệu.
Toàn Thắng
Theo SecurityWeek
08:00 | 03/09/2019
15:00 | 24/10/2019
17:00 | 03/01/2020
16:00 | 12/12/2019
09:00 | 26/08/2019
08:00 | 03/07/2019
15:00 | 02/03/2020
10:00 | 28/03/2024
Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.
15:00 | 25/03/2024
Ngày 15/3/2024, Quỹ Tiền tệ Quốc tế (IMF) cho biết họ đã bị tấn công mạng sau khi những kẻ tấn công xâm phạm 11 tài khoản email của tổ chức này vào đầu năm nay.
14:00 | 05/03/2024
Một sự cố an ninh mạng nghiêm trọng gần đây đã xảy ra khi một trình cài đặt trong phần mềm của Chính phủ Nga bị cài đặt backdoor để phát tán trojan truy cập từ xa có tên Konni RAT (còn gọi là UpDog).
15:00 | 15/11/2023
VideoLAN vừa phát hành phiên bản VLC Media Player 3.0.20, hiện đã có sẵn cho hệ điều hành Windows, Mac và Linux để giải quyết hai lỗ hổng nghiêm trọng.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024