Mã độc tống tiền CTB-Locker phát tán mạnh mẽ, lây nhiễm hàng trăm ngàn máy chủ web

Chúng ta đang phải chứng kiến sự gia tăng chóng mặt các mối đe dọa tống tiền từ mã độc Crytowall đến mã độc Locky vừa mới được phát hiện tuần trước. Nay một loại ransomware khác thuộc họ mã độc CTB-Locker đã được cập nhật để lây nhiễm vào website. Chiếm kiểm soát và mã hóa dữ liệu website là hướng biến đổi mới nhất của mã độc có tên “CTB-Locker for Websites“. Mã độc sẽ thay đổi giao diện website nhằm thông báo cho quản trị viên biết muốn giải mã dữ liệu cần thực hiện trả tiền chuộc 0.4 BTC. Tuy nhiên, quản trị viên website bị lây nhiễm có thể mở khóa 2 tệp tin bất kì như một cách chứng tỏ rằng khóa giải mã hoạt động tốt. Chuyên gia Lawrence Abrams thuộc BleepingComputer cho biết CTB-Locker ransomware thay đổi giao diện trang index gốc (index.php hoặc index.html). Trang này sao đó chứa thông điệp cảnh báo chủ website rằng các tệp tin đã bị mã hóa và họ cần trả tiền chuộc trước thời hạn cụ thể.
“Script, tài liệu, ảnh, cơ sở dữ liệu và các file quan trọng đã bị mã hóa bằng thuật toán mạnh nhất AES-256 và chìa khóa chỉ dành cho trang này”
Ngay sau khi có được quyền kiểm soát website, tin tặc giữ 2 khóa giải mã AES-256 khác nhau. Khóa đầu tiên có thể được dùng để giải mã 2 file bất kì trong danh sách các file bị mã hóa nhằm minh họa quá trình giải mã. Khi quản trị viên website nhập tên tệp tin muốn giải mã và nhấn “Decrypt for Free”, jquery sẽ gửi yêu cầu đến máu chủ điều khiển. Sau khi giải mã sẽ hiện lên thông điệp ‘Congratulations! TEST FILES WAS DECRYPTED!!’ Khóa giải mã còn lại sẽ được gửi tới nạn nhân sau khi nạn nhận gửi tiền chuộc tới tin tặc. Tất cả nội dung website sẽ bị mã hóa và một định danh duy nhất được tạo ra dành cho website đó. Gần như tất cả các kiểu file đều bị ảnh hưởng bởi CTB-Locker Ransomware. CTB-Locker for Website chứa các file như sau:
  • index.php : thành phần chính của CTB-Locker for Websites, nó chứa chương trình mã hóa và giải mã cũng như trang thanh toán.
  • allenc.txt : Chứa danh sách các file bị mã hóa.
  • test.txt : Chứa đường dẫn và tên 2 file chọn trước để có thể giải mã miễn phí.
  • victims.txt : Chứa danh sách các file sẽ bị mã hóa.
  • extensions.txt – Danh sách các phần mở rộng file sẽ bị mã hóa.
  • secret_[site_specific_string] : File bí mất sử dụng trong phần giải mã miễn phí nằm trong cùng thư mục với file index.php.
Theo nhà nghiên cứu phát hiện ra mã độc này, có ba máy chủ điều khiển:
  • http://erdeni.ru/access.php
  • http://studiogreystar.com/access.php
  • http://a1hose.com/access.php
Nếu nạn nhân không thanh toán đúng hạn, số tiền có thể sẽ tăng lên gấp đôi. CTB-Locker for Websites không phải là phát triển mới nhất của họ mã độc tống tiền. Chúng đã bắt đầu xâm hại môi trường Windows bằng cách thực thi mã được kí bởi các chứng chỉ hợp pháp do tin tặc đánh cắp được. Các chứng chỉ này thường được kiểm tra được dùng để xác thực tính đúng đắn của sản phẩm và được kiểm tra bởi các cơ quan có thẩm quyền trước khi được cấp như Verizon, DigiCert. Hiện tại rất nhiều website và chủ yếu là các trang WordPress bị lây nhiễm CBT-Locker . Quản trị viên website cần sử dụng các bản sao lưu sạch để đưa trang web trở lại hoạt động bình thường.

THN