Tin An Ninh Mạng

Ransom32 – Ransomware JavaScript đầu tiên lây lan trên cả Windows, Mac và Linux

hacker 19
Một “dịch vụ” ransomware mới có tên gọi Ransom32, lần đầu tiên sử dụng ransomware JavaScript để lây nhiễm trên các máy Mac, Windows và Linux.

Ransom32 có thể được triển khai một cách nhanh chóng và đơn giản. Nó có một bảng điều khiển cho phép hacker chỉ định các địa chỉ gửi Bitcoin, đồng thời thống kê số lượng Bitcoin chúng đã kiếm được.

Nói ngắn gọn, ransomware này đơn giản nhưng hoạt động rất hiệu quả. Bất kỳ ai cũng có thể tải về và phát tán ransomware, miễn là hắn có một địa chỉ để gửi Bitcoin về.

Phiên bản Ransom32 được phân tích đầu tiên bởi Emsisoft. Hãng cho biết dòng mã độc tống tiền này được nén trong một tập tin WinRAR và sử dụng framework NW.js để xâm nhập vào máy tính nạn nhân, sau đó sử dụng thuật toán mã hóa 128bit AES để mã hóa các tập tin.

{

}

148993994701_ransom32.jpg


Tại sao sử dụng NW.js?

NW.js, trước đó được gọi là Node_WebKit, là một framework JavaScript sử dụng cho phát triển ứng dụng web dựa trên Node.js và Chromium. NW.js tác động lên cơ chế sandbox vốn rất nghiêm ngặt của JavaScript, nhờ đó một ứng dụng Web có thể được xây dựng cho desktop mà không còn sandbox.

NW.js cho phép nhiều quyền kiểm soát và tương tác với hệ điều hành, tạo điều kiện cho JavaScript làm được mọi việc tương tự như C++ hoặc Delphi.

NW.js không chỉ cho phép lây nhiễm nhiều nền tảng mà còn gây khó khăn trong việc phát hiện bởi vì nó là một framework hợp pháp. Ransom32 có một số điểm tương đồng với mã độc tống tiền nổi tiếng CryptoLocker.

Ransom32 đã được giao dịch trên chợ đen, và tác giả của mã độc này yêu cầu 25% giá trị của tất cả các khoản tiền chuộc.

Cách thức Ransom32 hoạt động?

Mã độc được đính kèm trong các tập tin được gửi qua email giống như thông báo giao hàng hoặc các hóa đơn chưa thanh toán…

Ngay khi được cài đặt và khởi động, Ransom32 sẽ kết nối tới một máy chủ điều khiển trong mạng TOR, hiển thị thông báo kèm với địa chỉ Bitcoin để nạn nhân gửi tiền đến nếu muốn giải mã các file trên máy tính của mình.

Ở thời điểm hiện tại, Emsisoft mới chỉ phát hiện Ransom32 thực hiện các tấn công trên Windows, nhưng NW.js có thể chạy trên các hệ điều hành khác.

Cách thức bảo vệ

Đây là những bước quan trọng để bảo vệ máy tính của bạn khởi mối hiểm họa ransomware:

Thường xuyên backup những dữ liệu quan trọng.

Cài đặt phần mềm diệt virus để được bảo vệ thường trực.

Không mở file đính kèm trong các email có nguồn gốc lạ.

Nguồn: The Hacker News

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !