Mã độc DeathRansom đã có thể mã hóa dữ liệu của nạn nhân

DeathRansom – mã độc tống tiền trước đây từng bị coi là một trò đùa vì mã hóa thất bại, giờ đã có khả năng mã hóa dữ liệu của nạn nhân.

DeathRansom có khả năng sẽ trở thành một Ransomware

Các nhà nghiên cứu từ Fortinet đã phân tích malware DeathRansom và tiết lộ rằng nó đang bắt đầu thực sự mã hóa.

DeathRansom‘ có một cái tên nguy hiểm nhưng mọi người từ lâu chỉ coi là một trò đùa do cách thức nó hoạt động không giống phần mềm độc hại. Được phát tán lên mạng vào tháng 11/2019, DeathRansom giả dạng ransomware bằng cách thêm các phần mở rộng vào các tệp dữ liệu nạn nhân. Không giống như ransomware thông thường, DeathRansom không thể mã hóa dữ liệu của nạn nhân. Vì vậy, mọi người vẫn có thể lấy lại dữ liệu bằng cách xóa các tiện ích mở rộng được nó thêm vào.

Tuy nhiên, Fortinet đã tiết lộ rằng DeathRansom hiện đã chuyển đổi thành một mã độc nghiêm trọng và nó đang bắt đầu mã hóa dữ liệu. Theo nghiên cứu kỹ thuật trong phần đầu tiên của báo cáo, họ tuyên bố

“Phiên bản mới của mã độc này sử dụng thuật toán Curve25519 cho sơ đồ trao đổi khóa Elliptic Curve Diffie-Hellman (ECDH) kết hợp với Salsa20, RSA-2048, AES-256 ECB và thuật toán khối đơn giản XOR để mã hóa tệp.”

Hiện tại, khi lây nhiễm vào một hệ thống, DeathRansom sẽ mã hóa dữ liệu và đặt một ghi chú tiền chuộc, giống như bất kỳ phần mềm ransomware nào khác. Ghi chú tiền chuộc bao gồm một LOCK-ID duy nhất cho nạn nhân kèm HKCU\Software\Wacatac\private  được lưu trữ và được mã hóa theo base64.

Có thể liên kết với các chiến dịch phần mềm độc hại khác

Ngoài các phân tích kỹ thuật, Fortinet cũng theo dõi tác nhân đe dọa đằng sau DeathRansom.

Trong phần thứ hai của báo cáo, Fortinet tiết lộ rằng bộ khai thác của DeathRansom đã hoạt động được vài năm.

DeathRansom đã lây nhiễm cho người dùng những phần mềm ăn cắp mật khẩu như Vidar, Azorult, 1ms0rryStealer và Evrial và các phần mềm đào tiền ảo như SupremeMiner.

Họ cũng nghi ngờ một tác nhân đe dọa với tên gọi scat01 đứng đằng sau DeathRansom có liên kết với Nga.

Hiện tại, DeathRansom đang được phát tán rộng rãi thông qua các chiến dịch lừa đảo qua email