Hơn 100.000 máy tính ở Trung Quốc bị nhiễm ransomware

Hơn 100.000 máy tính ở Trung Quốc bị nhiễm ransomware

December 5, 2018 | vietsunshine

Một phần mềm ransomware mới đang lan truyền nhanh chóng khắp Trung Quốc đã lây nhiễm hơn 100.000 máy tính trong bốn ngày qua do cuộc tấn công chuỗi cung ứng (supply-chain)… và số lượng người dùng bị nhiễm liên tục tăng mỗi giờ.

Điều bất ngờ ở đây là gì?

Không giống như hầu hết các phần mềm độc hại ransomware, virus mới không yêu cầu các khoản thanh toán đòi tiền chuộc bằng Bitcoin.

Thay vào đó, những kẻ tấn công đang yêu cầu các nạn nhân trả 110 NDT (gần 16 USD) tiền chuộc thông qua WeChat Pay – tính năng thanh toán được cung cấp bởi ứng dụng nhắn tin phổ biến nhất của Trung Quốc.

ransomware nhắm tới người dùng trung quốc

Ransomware + Password Stealer

Không giống như WannaCryNotPetya ransomware bùng phát gây ra sự hỗn loạn trên toàn thế giới năm ngoái, các ransomware mới của Trung Quốc đã được nhắm mục tiêu chỉ người dùng Trung Quốc.

Nó cũng bao gồm một khả năng bổ sung để ăn cắp mật khẩu tài khoản của người dùng cho Alipay, dịch vụ email NetEase 163, các trang web Baidu Cloud Disk, Jingdong (JD.com), Taobao, Tmall, AliWangWang và QQ.

Một tấn công chuỗi cung ứng

Theo công ty bảo mật mạng và chống virus Velvet Security của Trung Quốc, những kẻ tấn công đã thêm mã độc vào phần mềm lập trình “EasyLanguage” được sử dụng bởi một số lượng lớn các nhà phát triển ứng dụng.

Phần mềm lập trình sửa đổi độc hại được thiết kế để đưa mã ransomware vào mọi ứng dụng và sản phẩm phần mềm được biên dịch thông qua nó – một ví dụ khác về tấn công chuỗi cung ứng phần mềm để lây lan virus nhanh chóng.

danh sách các sản phầm truyền bá ransomware của trung quốc

Hơn 100.000 người dùng Trung Quốc đã cài đặt bất kỳ ứng dụng nào được liệt kê ở trên đã bị xâm phạm hệ thống của họ. Phần mềm ransomware này mã hóa tất cả các tệp trên hệ thống bị nhiễm, ngoại trừ các tệp có phần mở rộng gif, exe và tmp.

Sử dụng chữ ký số bị đánh cắp

Để bảo vệ chống lại các chương trình Antivirus, kẻ tấn công đã sign mã độc với chữ ký số đáng tin cậy của Tencent Technologies và tránh mã hóa dữ liệu trong một số thư mục cụ thể như “Trò chơi Tencent, Liên minh Huyền thoại, tmp, rtl và chương trình”.

Sau khi được mã hóa, phần mềm ransomware bật lên một lưu ý, yêu cầu người dùng trả 110 nhân dân tệ cho tài khoản WeChat của kẻ tấn công trong vòng 3 ngày để nhận khóa giải mã.

ransomware đánh cắp chữ ký số

Nếu không được thanh toán trong thời gian hiển thị, phần mềm độc hại sẽ tự động xóa khóa giải mã khỏi máy chủ điều khiển và lệnh điều khiển từ xa của nó.

Bên cạnh việc mã hóa các tệp người dùng, phần mềm ransomware cũng âm thầm đánh cắp thông tin xác thực đăng nhập của người dùng cho các trang web phổ biến của Trung Quốc và các tài khoản truyền thông xã hội và gửi chúng đến máy chủ từ xa.

Nó cũng tập hợp thông tin hệ thống bao gồm mô hình CPU, độ phân giải màn hình, thông tin mạng và danh sách phần mềm được cài đặt.

Poor Ransomware đã bị bẻ khóa

Các nhà nghiên cứu bảo mật mạng của Trung Quốc phát hiện ra rằng phần mềm ransomware đã được lập trình kém và những kẻ tấn công nói dối về quá trình mã hóa.

Ghi chú ransomware nói rằng các tệp của người dùng đã được mã hóa bằng thuật toán mã hóa DES, nhưng trên thực tế, nó mã hóa dữ liệu bằng mật mã XOR kém an toàn hơn và lưu bản sao khóa giải mã cục bộ trên chính hệ thống của nạn nhân trong một thư mục tại vị trí sau:

%user%\AppData\Roaming\unname_1989\dataFile\appCfg.cfg

Sử dụng thông tin này, nhóm bảo mật của Velvet đã tạo và phát hành một công cụ giải mã ransomware miễn phí có thể dễ dàng mở khóa các tệp được mã hóa cho các nạn nhân mà không yêu cầu họ phải trả bất kỳ khoản tiền chuộc nào.

Các nhà nghiên cứu cũng đã tìm cách crack và truy cập các máy chủ cơ sở dữ liệu và điều khiển lệnh và kiểm soát của kẻ tấn công và tìm thấy hàng ngàn thông tin đăng nhập bị đánh cắp được lưu trữ.

Ai là người đứng đằng sau Ransomware này?

Sử dụng thông tin có sẵn công khai, các nhà nghiên cứu đã tìm thấy một nghi phạm có tên “Luo”, một lập trình viên phần mềm chuyên nghiệp và phát triển các ứng dụng như “trợ lý tài nguyên lsy” và “cảnh báo cổ điển LSY v1.1”

thông tin của kẻ phán tán ramsomware trung quốc

Số tài khoản QQ của Lua, số điện thoại di động, ID Alipay và ID email khớp với thông tin mà các nhà nghiên cứu thu thập được bằng cách theo dõi tài khoản WeChat của kẻ tấn công.

Sau khi được thông báo về mối đe dọa, WeChat cũng đã tạm ngưng tài khoản của kẻ tấn công đang được sử dụng để nhận tiền chuộc.

Các nhà nghiên cứu Velvet cũng đã thông báo cho các cơ quan thực thi pháp luật Trung Quốc tất cả các thông tin để điều tra thêm.

Tags: , ,