Mã độc TorrentLocker đã cập nhật bản mã hóa mới

Những kẻ phát triển một loại phần mềm độc hại mã hóa các tập tin của máy tính và yêu cầu tiền chuộc đã khắc phục được một lỗi cho phép phục hồi các tập tin mà không phải trả tiền, các chuyên gia bảo mật cho biết .

Mã độc TorrentLocker đã cập nhật bản mã hóa mới

Các phần mềm độc hại TorrentLocker đang xuất hiện nhiều trong tháng trước và nhắm mục tiêu vào người dùng tại Úc. Hiện có vẻ như nó cũng nhắm mục tiêu vào các nạn nhân ở Anh.

Những kẻ phát triển TorrentLocker đã phạm sai lầm tương tự như những kẻ tạo ra một chương trình ransomware khác như CryptoDefense. Các nhà nghiên cứu đã tìm thấy các phản hồi rằng CryptoDefense để lại chìa khóa giải mã ngay trên máy tính của nạn nhân. Đầu tháng này, các nhà nghiên cứu đến từ văn phòng tư vấn cho biết rằng TorrentLocker sử dụng cùng keystream để mã hóa tất cả các tập tin của máy tính. Đó là một sai lầm, vì không bao giờ nên sử dụng một keystream quá một lần, theo một bài viết trên blog của Viện SANS.

Khi mã hóa được thực hiện bằng cách kết hợp keystream với các tập tin gốc sử dụng toán tử XOR, các nhà nghiên cứu có thể phục hồi các keystream dùng để mã hóa các tập tin này bằng cách áp dụng XOR giữa các tập tin được mã hóa và các tập tin gốc.

Khi đã phát hiện ra cách thức hoạt động, việc khắc phục điểm yếu này trong các phần mềm độc hại chỉ là vấn đề thời gian.

Một nhà phân tích kỹ thuật cao cấp của iSight, đã viết rằng một biến thể của TorrentLocker không có lỗi đã bị phát hiện, điều này cho thấy “sự cải tiến rất nhanh của tin tặc.”

TorrentLocker yêu cầu 500 USD để mở khóa các tập tin và phải trả bằng Bitcoin. Hummel viết rằng mặc dù tỷ lệ người trả tiền chuộc khá thấp, nhưng nhìn vào địa chỉ Bitcoin liên quan đến TorrentLocker có thể thấy những kẻ tấn công đang tạo ra được “rất nhiều Bitcoins”.

Pcworld

> Giải pháp bảo mật toàn diện dành cho website, đăng ký miễn phí 14-ngày tại đây <