Chúng ta đều biết rất rõ rằng ransomware là loại phần mềm độc hại nguy hiểm nhất trong những năm gần đây. Khi người dùng bị nhiễm nó, tất cả các tệp cá nhân của họ sẽ được mã hóa bằng một thuật toán thực tế không thể phá vỡ. Tuy nhiên, giờ đây các nhà nghiên cứu bảo mật đã phát hiện ra một ransomware mới mà qua đó bất kỳ ai cũng có thể hack máy tính của người xem trong TeamViewer.
Hack TeamViewer này có thể cho phép khách hàng xâm nhập máy tính của người xem
Ransomware là loại phần mềm độc hại nguy hiểm nhất trong những năm gần đây. Khi người dùng bị lây nhiễm bởi nó, tất cả các tệp cá nhân của họ đều được mã hóa bằng một thuật toán thực tế không thể bị phá vỡ và sau đó, họ được yêu cầu trả “tiền chuộc” để khôi phục các tệp hoặc nếu không, tất cả các tệp sẽ bị mất. .
Các cách phổ biến nhất để phát tán ransomware là thông qua các chiến dịch quảng cáo độc hại, bộ dụng cụ khai thác hoặc email, mặc dù hình thức phân phối của ransomware mới, được gọi là Surprise, đã khiến cả người dùng và các nhà nghiên cứu bảo mật phải ngạc nhiên.
Thật ngạc nhiên, một tên đã nhận ransomware này cho phần mở rộng mà nó thêm vào tất cả các tệp bị nhiễm, là một ransomware mới được phát hiện lần đầu tiên vào ngày 10 tháng 3 bởi một số chữ ký chống vi-rút, được phát triển từ dự án EDA2 miễn phí, một mã ransomware mở. được xuất bản cho mục đích giáo dục nhưng, như mọi khi, đang được sử dụng để làm điều xấu xa.
Đúng như tên gọi, ransomware này đã gây bất ngờ cho tất cả người dùng. Những nạn nhân của cùng một nạn nhân đã phát hiện ra rằng, đột nhiên, từ ngày này sang ngày khác, tất cả các tệp của họ đã được mã hóa thêm phần mở rộng “.surprise” trong tất cả ảnh, tài liệu và tệp cá nhân của hệ thống. Khi quá trình lây nhiễm hoàn tất, phần mềm độc hại sẽ để lại 3 tệp trên màn hình cùng với các hướng dẫn cần thiết để khôi phục chúng. Tác giả của ransomware này ẩn sau hai tài khoản email, một trong ProtonMail và một trong Sigaint.
Ransomware này sử dụng thuật toán AES-256 để mã hóa các tệp bằng khóa chính RSA-2048, được lưu trữ trên máy chủ điều khiển từ xa. Phần mềm độc hại này có thể phát hiện 474 định dạng tệp khác nhau để mã hóa chúng, xóa chúng một cách an toàn và ngăn chặn việc khôi phục chúng thông qua các bản sao lưu trừ khi chúng được lưu trữ giống nhau trên một thiết bị bên ngoài được ngắt kết nối với máy tính tại thời điểm lây nhiễm.
Để khôi phục các tệp, tin tặc yêu cầu thanh toán 0,5 Bitcoin, khoảng $ 786,25, tuy nhiên, tùy thuộc vào loại và số lượng tệp đã được mã hóa, khoản thanh toán có thể lên tới 25 Bitcoin, khoảng $ 393124,88.
Không biết bằng cách nào mà tin tặc có thể kết nối với các máy chủ TeamViewer để phân phối Surprise. Bản thân phần mềm ransomware không có gì đáng ngạc nhiên vì nó gần giống như bất kỳ phần mềm nào khác. Tuy nhiên, điều khiến người dùng tò mò nhất chính là con đường lây nhiễm bệnh cho người dùng.
Mặc dù ban đầu không có gì rõ ràng, khi số lượng nạn nhân tăng lên, có thể quan sát thấy một mô hình và tất cả họ đều đã cài đặt công cụ điều khiển từ xa TeamViewer trong hệ thống của họ. Phân tích hồ sơ của công cụ này, tất cả các nạn nhân đều có thể thấy cách một người dùng trái phép đã kết nối với máy tính của họ, đã tải xuống tệp có tên “ngạc nhiên.exe” (ransomware) và thực thi nó theo cách thủ công, do đó dẫn đến sự nhiễm trùng.
Hiện tại vẫn chưa biết bằng cách nào mà hacker có thể kết nối từ xa với máy tính của nạn nhân, mặc dù có hai lựa chọn khả thi: –
Đầu tiên, mặc dù hơi phức tạp, là tên cướp biển có lỗ hổng zero-day cho phép anh ta / cô ta kết nối từ xa với bất kỳ máy chủ TeamViewer nào. Các nhân viên bảo mật của TeamViewer đã kiểm tra công cụ của họ sau lần lây nhiễm đầu tiên và đảm bảo rằng điều này là không thể, dẫn đến lựa chọn thứ hai.
Điều thứ hai và có lẽ nhiều khả năng hơn là nó sử dụng một công cụ quét mạng để phát hiện bất kỳ máy chủ TeamViewer nào được kết nối và sau đó, quản lý để truy cập vào hệ thống của nạn nhân thông qua các cuộc tấn công vũ phu.
Cả hai công ty bảo mật như Bleeping Computer và TeamViewer đều đang nghiên cứu vụ việc để làm sáng tỏ cách thức hacker có thể phân phối ransomware mới này thông qua công cụ điều khiển từ xa này.
Theo khuyến cáo trực tiếp từ TeamViewer, nếu chúng ta muốn tránh bất kỳ điều gì bất ngờ, chúng ta nên bảo vệ các phiên TeamViewer bằng mật khẩu phức tạp, kích hoạt xác thực kép, giữ cho máy chủ được cập nhật phiên bản mới nhất và cuối cùng, đảm bảo rằng cuộc tấn công máy tính không đến từ bất kỳ nhánh nào khác (ví dụ, phần mềm độc hại khác được cài đặt trong hệ thống).
Những người chịu trách nhiệm về công cụ điều khiển từ xa này cũng khuyến nghị tất cả nạn nhân đến sở cảnh sát tương ứng của họ để khai báo và có thể giúp đỡ, xác định những người chịu trách nhiệm càng nhiều càng tốt.
Bạn cũng không nên trả tiền bởi vì, ngay cả khi chúng tôi làm vậy, chúng tôi không có bảo đảm để khôi phục các tệp của mình, đặc biệt là khi các ping cuối cùng chống lại máy chủ C & C không trả lại phản hồi.
Bạn nghĩ gì về ransomware mới này và cách thức lây nhiễm? Đơn giản chỉ cần chia sẻ tất cả quan điểm và suy nghĩ của bạn trong phần bình luận bên dưới.