Các nhà nghiên cứu cảnh báo phần mềm đòi tiền chuộc mới với mật mã không thể phá được

Researchers warn of new, meaner ransomware with unbreakable crypto

Move over, CryptoLocker. Criminals are talking up more advanced PowerLocker.

by Dan Goodin - Jan 7 2014, 4:42am ICT

Theo: http://arstechnica.com/security/2014/01/researchers-warn-of-new-meaner-ransomware-with-unbreakable-crypto/

Bài được đưa lên Internet ngày: 07/01/2013

Lời người dịch: Tội phạm thế giới ngầm đã tạo ra hàng loạt phần mềm độc hại mới như PrisonLocker và PowerLocker và mới đây là CryptoLocker. “PowerLocker có thể chứng minh thậm chí một mối đe dọa còn tiềm tàng hơn vì nó có thể được bán trên các diễn đàn thế giới ngầm như một bộ công cụ phần mềm độc hại DIY cho bất kỳ ai trả 100USD cho một giấy phép, bài viết hôm thứ sáu cảnh báo. CryptoLocker, ngược lại, được xây dựng tùy ý để sử dụng từ một bọn tội phạm duy nhất. Hơn nữa, PowerLocker cũng có thể chào vài chức năng tiên tiến, bao gồm khả năng vô hiệu hóa trình quản lý tác vụ, sửa đăng ký và các chức năng quản trị khác được xây dựng trong hệ điều hành Windows”.

Các nhà nghiên cứu đã tiết lộ bằng chứng về một mẩu phần mềm độc hại mới mà có thể có khả năng bắt hàng GB dữ liệu đáng giá làm con tin trừ phi người sử dụng đầu cuối trả tiền chuộc.

Các thảo luận về phần mềm độc hại mới này, có tên là PrisonLocker và PowerLocker, từng diễn ra trong các diễn đàn tội phậm ngầm từ tháng 11, theo một bài trên blog được xuất bản hôm thứ sáu của Malware Must Die (Phần mềm độc hại phải chết), một nhóm cá nhà nghiên cứu chuyên đấu tranh với tội phạm trực tuyến. Phần mềm độc hại này dường như được truyền cảm hứng từ CryptoLocker, một phần mềm độc hại đã bùng phát vào tháng 10 khi nó sử dụng mã hóa không thể phá được để khóa các tệp máy tính của các nạn nhân cho tới khi họ trả hàng trăm USD để giải mã.

PowerLocker có thể chứng minh thậm chí một mối đe dọa còn tiềm tàng hơn vì nó có thể được bán trên các diễn đàn thế giới ngầm như một bộ công cụ phần mềm độc hại DIY cho bất kỳ ai trả 100USD cho một giấy phép, bài viết hôm thứ sáu cảnh báo. CryptoLocker, ngược lại, được xây dựng tùy ý để sử dụng từ một bọn tội phạm duy nhất. Hơn nữa, PowerLocker cũng có thể chào vài chức năng tiên tiến, bao gồm khả năng vô hiệu hóa trình quản lý tác vụ, sửa đăng ký và các chức năng quản trị khác được xây dựng trong hệ điều hành Windows. Các hình chụp màn hình và các thảo luận trực tuyến cũng chỉ ra phần mềm độc hại mới hơn có thể chức các bảo vệ mà ngăn cản nó khỏi bị kỹ thuật nghịch đảo khi chạy trong các máy ảo.

PowerLocker mã hóa các tệp bằng việc sử dụng các khóa dựa vào thuật toán Blowfish. Từng khóa sau đó được mã hóa tới 1 tệp mà chỉ có thể được mở khóa bằng một khóa RSA riêng 2048 bit. Các nhà nghiên cứu của The Malware Must Die nói họ đã từng giám sát các thảo luận trong vài tháng qua. Khả năng của mối đe dọa phần mềm mới đòi tiền chuộc dựa vào mật mã tới khi các lập trình viên tiếp tục thực hiện các cải tiến cho CryptoLocker cũ hơn. Tháng trước, ví dụ, các nhà nghiên cứu ở nhà cung cấp chống virus Trend Micro nói các phiên bản mới đã trao cho CryptoLocker các khả năng tự nhân bản mà cho phép nó lan truyền thông qua các đầu USB.

Security researchers have uncovered evidence of a new piece of malware that may be able to take gigabytes' worth of data hostage unless end users pay a ransom.

Discussions of the new malware, alternately dubbed PrisonLocker and PowerLocker, have been occurring on underground crime forums since November, according to a blog post published Friday by Malware Must Die, a group of researchers dedicated to fighting online crime. The malware appears to be inspired by CryptoLocker, the malicious software that wreaked havoc in October when it used uncrackable encryption to lock up victims' computer files until they paid hundreds of dollars for the decryption key.

PowerLocker could prove an even more potent threat because it would be sold in underground forums as a DIY malware kit to anyone who can afford the $100 for a license, Friday's post warned. CryptoLocker, by contrast, was custom built for use by a single crime gang. What's more, PowerLocker might also offer several advanced features, including the ability to disable the task manager, registry editor, and other administration functions built into the Windows operating system. Screen shots and online discussions also indicate the newer malware may contain protections that prevent it from being reverse engineered when run on virtual machines.

PowerLocker encrypts files using keys based on the Blowfish algorithm. Each key is then encrypted to a file that can only be unlocked by a 2048-bit private RSA key. The Malware Must Die researchers said they had been monitoring the discussions for the past few months. The possibility of a new crypto-based ransomware threat comes as developers continue to make improvements to the older CryptoLocker title. Late last month, for instance, researchers at antivirus provider Trend Micro said newer versions gave the CryptoLocker self-replicating abilities that allowed it to spread through USB thumb drives.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com