Không giống như hầu hết các phần mềm độc hại ransomware, virus mới không yêu cầu các khoản thanh toán đòi tiền chuộc bằng Bitcoin.
Thay vào đó, những kẻ tấn công đang yêu cầu các nạn nhân trả 110 NDT (gần 16 USD) tiền chuộc thông qua WeChat Pay – tính năng thanh toán được cung cấp bởi ứng dụng nhắn tin phổ biến nhất của Trung Quốc.
Không giống như WannaCry và NotPetya ransomware bùng phát gây ra sự hỗn loạn trên toàn thế giới năm ngoái, các ransomware mới của Trung Quốc đã được nhắm mục tiêu chỉ người dùng Trung Quốc.
Nó cũng bao gồm một khả năng bổ sung để ăn cắp mật khẩu tài khoản của người dùng cho Alipay, dịch vụ email NetEase 163, các trang web Baidu Cloud Disk, Jingdong (JD.com), Taobao, Tmall, AliWangWang và QQ.
Theo công ty bảo mật mạng và chống virus Velvet Security của Trung Quốc, những kẻ tấn công đã thêm mã độc vào phần mềm lập trình “EasyLanguage” được sử dụng bởi một số lượng lớn các nhà phát triển ứng dụng.
Phần mềm lập trình sửa đổi độc hại được thiết kế để đưa mã ransomware vào mọi ứng dụng và sản phẩm phần mềm được biên dịch thông qua nó – một ví dụ khác về tấn công chuỗi cung ứng phần mềm để lây lan virus nhanh chóng.
Hơn 100.000 người dùng Trung Quốc đã cài đặt bất kỳ ứng dụng nào được liệt kê ở trên đã bị xâm phạm hệ thống của họ. Phần mềm ransomware này mã hóa tất cả các tệp trên hệ thống bị nhiễm, ngoại trừ các tệp có phần mở rộng gif, exe và tmp.
Để bảo vệ chống lại các chương trình Antivirus, kẻ tấn công đã sign mã độc với chữ ký số đáng tin cậy của Tencent Technologies và tránh mã hóa dữ liệu trong một số thư mục cụ thể như “Trò chơi Tencent, Liên minh Huyền thoại, tmp, rtl và chương trình”.
Sau khi được mã hóa, phần mềm ransomware bật lên một lưu ý, yêu cầu người dùng trả 110 nhân dân tệ cho tài khoản WeChat của kẻ tấn công trong vòng 3 ngày để nhận khóa giải mã.
Nếu không được thanh toán trong thời gian hiển thị, phần mềm độc hại sẽ tự động xóa khóa giải mã khỏi máy chủ điều khiển và lệnh điều khiển từ xa của nó.
Bên cạnh việc mã hóa các tệp người dùng, phần mềm ransomware cũng âm thầm đánh cắp thông tin xác thực đăng nhập của người dùng cho các trang web phổ biến của Trung Quốc và các tài khoản truyền thông xã hội và gửi chúng đến máy chủ từ xa.
Nó cũng tập hợp thông tin hệ thống bao gồm mô hình CPU, độ phân giải màn hình, thông tin mạng và danh sách phần mềm được cài đặt.
Các nhà nghiên cứu bảo mật mạng của Trung Quốc phát hiện ra rằng phần mềm ransomware đã được lập trình kém và những kẻ tấn công nói dối về quá trình mã hóa.
Ghi chú ransomware nói rằng các tệp của người dùng đã được mã hóa bằng thuật toán mã hóa DES, nhưng trên thực tế, nó mã hóa dữ liệu bằng mật mã XOR kém an toàn hơn và lưu bản sao khóa giải mã cục bộ trên chính hệ thống của nạn nhân trong một thư mục tại vị trí sau:
%user%\AppData\Roaming\unname_1989\dataFile\appCfg.cfg
Sử dụng thông tin này, nhóm bảo mật của Velvet đã tạo và phát hành một công cụ giải mã ransomware miễn phí có thể dễ dàng mở khóa các tệp được mã hóa cho các nạn nhân mà không yêu cầu họ phải trả bất kỳ khoản tiền chuộc nào.
Các nhà nghiên cứu cũng đã tìm cách crack và truy cập các máy chủ cơ sở dữ liệu và điều khiển lệnh và kiểm soát của kẻ tấn công và tìm thấy hàng ngàn thông tin đăng nhập bị đánh cắp được lưu trữ.
Sử dụng thông tin có sẵn công khai, các nhà nghiên cứu đã tìm thấy một nghi phạm có tên “Luo”, một lập trình viên phần mềm chuyên nghiệp và phát triển các ứng dụng như “trợ lý tài nguyên lsy” và “cảnh báo cổ điển LSY v1.1”
Số tài khoản QQ của Lua, số điện thoại di động, ID Alipay và ID email khớp với thông tin mà các nhà nghiên cứu thu thập được bằng cách theo dõi tài khoản WeChat của kẻ tấn công.
Sau khi được thông báo về mối đe dọa, WeChat cũng đã tạm ngưng tài khoản của kẻ tấn công đang được sử dụng để nhận tiền chuộc.
Các nhà nghiên cứu Velvet cũng đã thông báo cho các cơ quan thực thi pháp luật Trung Quốc tất cả các thông tin để điều tra thêm.
Trong bối cảnh kỹ thuật số ngày nay, DevOps là một cách tiếp cận thiết yếu để phát triển và triển khai phần mềm. Nó cho phép các tổ chức tăng cường sự linh hoạt và tốc độ phân phối, đồng thời cải thiện sự hợp tác giữa các nhóm phát triển và vận hành. […]
Giải pháp quản lý truy cập đặc quyền (PAM – Privileged Access Management) là một công cụ được sử dụng để quản lý và bảo vệ các tài khoản có quyền truy cập đặc biệt trong hệ thống của một doanh nghiệp. PAM cho phép quản lý và kiểm soát quyền truy cập đặc quyền […]
DLP là gì? Ngăn ngừa mất dữ liệu (DLP), theo Gartner, có thể được định nghĩa là các công nghệ thực hiện cả kiểm tra nội dung và phân tích dữ liệu theo ngữ cảnh được gửi qua các ứng dụng nhắn tin như email và nhắn tin tức thời, chuyển động qua mạng, được […]
