Ransomware dựa trên Python mới giống như Locky

Linh Anh| 17/09/2018 15:25
Theo dõi ICTVietnam trên

Các nhà nghiên cứu của Trend Micro đã phát hiện một họ ransomware được sử dụng trong các cuộc tấn công vào tháng 7 và tháng 8 giống như ransomware Locky không mấy nổi tiếng đã hoạt động mạnh vào năm 2016.


Phần mềm độc hại (malware) mới này mang tên PyLocky, được viết bằng ngôn ngữ lập trình Python và được “đóng gói” cùng với PyInstaller, một công cụ chuyển các ứng dụng Python thành các ứng dụng thực thi độc lập.

Theo các nhà nghiên cứu bảo mật,  PyLocky khác biệt so với nhiều phần mềm độc hại khác của Python là do khả năng chống học máy. PyLocky cũng sử dụng trình cài đặt Inno dựa trên tập lệnh nguồn mở và tạo ra một thách thức thực sự cho các phương pháp phân tích tĩnh.

Hơn nữa, PyLocky có sự phát tán tập trung cao, với nhiều email spam nhắm vào các nước châu Âu, đặc biệt là Pháp. Ban đầu số lượng email spam thấp, sau tăng dần lên theo thời gian.

Một hoạt động spam được quan sát hồi đầu tháng 8 đã nhắm mục tiêu vào các doanh nghiệp ở Pháp, dùng phương pháp phi kỹ thuật đột nhập vào hệ thống hoặc mạng công ty (social engineering) trong nỗ lực dụ các nạn nhân tiềm năng nhấp vào một liên kết rồi chuyển hướng các nạn nhân tới một URL độc hại để họ tải về một tệp tin nén (ZIP) chứa PyLocky.

Một khi được cài đặt trên máy của nạn nhân, PyLocky sẽ cố gắng mã hóa hình ảnh, video, âm thanh, tài liệu, trò chơi, cơ sở dữ liệu và các tập tin lưu trữ cùng nhiều thứ khác. Tổng cộng, mã độc này nhắm mục tiêu vào danh sách hơn 150 loại tệp tin để mã hóa.

Mã độc này lợi dụng dịch vụ Windows Management Instrumentation (WMI) để kiểm tra các đặc tính của hệ thống bị ảnh hưởng. Nó cũng có các tính năng chống sandbox (kỹ thuật rất quan trọng trong bảo mật giúp hạn chế việc truy cập vào tài nguyên hệ thống của các ứng dụng ngoài), làm hệ thống "ngủ" trong 999.999 giây (khoảng 11,5 ngày) nếu hệ thống bị ảnh hưởng có tổng dung lượng bộ nhớ khả dụng dưới 4GB.

Đoạn mã hóa của ransomware này được triển khai nhờ sử dụng thư viện PyCrypto và tận dụng mã 3DES (Triple DES). PyLocky lặp lại các bước trên từng ổ đĩa logic, tạo ra một danh sách các tệp tin và sau đó ghi đè lên các tập tin được nhắm mục tiêu bằng một phiên bản đã được mã hóa.

Sau khi hoàn thành quá trình mã hóa, PyLocky đưa ra một thông báo đòi tiền chuộc và cũng thiết lập giao tiếp với máy chủ điều khiển bằng lệnh (command and control - C&C). Thông báo tiền chuộc của malware này bằng tiếng Anh, tiếng Pháp, tiếng Hàn Quốc và tiếng Ý, cho thấy rằng các bên khai thác mã độc này đang nhắm tới các chiến dịch rộng lớn hơn.

Theo kết luận của Trend Micro: “Những kỹ thuật lẩn tránh của PyLocky và việc lợi dụng các công cụ hợp pháp thường được giới hạn cho các quản trị viên, chứng minh rõ hơn ý nghĩa của việc phòng thủ theo chiều sâu. Ví dụ, học máy là một công cụ bảo mật có giá trị trong việc phát hiện malware duy nhất, nhưng nó không phải là một viên "đạn bạc" (silver bullet). Với những mối đe dọa hiện nay, khi các cuộc tấn công đa hướng khác nhau được kẻ tấn công sử dụng tùy ý, thì một phương pháp tiếp cận nhiều lớp về bảo mật trở nên quan trọng", TrendMicro cho biết.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Xây dựng hạ tầng cho mạng 5G tương lai của Việt Nam
    Đông Nam Á là một trong những khu vực có tốc độ phát triển nhanh nhất trên thế giới. Dự kiến tới năm 2030, ASEAN (gồm 10 quốc gia Đông Nam Á) sẽ trở thành nền kinh tế lớn thứ tư toàn cầu. Phần lớn động lực thúc đẩy sự phát triển này đến từ sự vận động và tăng trưởng không ngừng của nền kinh tế số trong khu vực, với giá trị ước tính lên đến gần 1 nghìn tỉ đô-la vào năm 2030.
  • 5G và những thay đổi toàn diện trong xây dựng thành phố thông minh
    Với tốc độ cực cao, độ trễ cực thấp, băng thông rộng và kết nối mật độ cực lớn, 5G là hạ tầng cốt lõi hỗ trợ toàn diện cho sự đổi mới và phát triển của thành phố thông minh trên tất cả các lĩnh vực, tác động tích cực vào công tác xây dựng và quản lý thành phố, tạo ra một môi trường sống tiện nghi, bền vững và an toàn hơn bao giờ hết.
  • Vượt qua hơn 1.000 doanh nghiệp, Bưu điện Việt Nam đạt giải Thương hiệu Quốc gia 2024
    Đây là lần thứ 2 liên tiếp Bưu điện Việt Nam vinh dự nhận giải thưởng danh giá này bởi những thành tựu lớn trong lĩnh vực logistics, bưu chính chuyển phát tại Việt Nam và Quốc tế.
  • Cuộc đua trung tâm dữ liệu AI tại Đông Nam Á
    Trí tuệ nhân tạo (AI) đã trở thành một động lực chính thúc đẩy đổi mới công nghệ toàn cầu và Đông Nam Á đang ngày càng khẳng định vai trò của mình trong cuộc đua phát triển AI. Hàng loạt các hãng công nghệ và đám mây lớn đã thông báo kế hoạch xây dựng, vận hành trung tâm dữ liệu mới tại Đông Nam Á.
  • Mở rộng trông xe không dùng tiền mặt mang lại lợi ích "kép"
    Việc áp dụng hình thức thanh toán qua ứng dụng thu phí không dừng VETC và mã QR vào hoạt động thanh toán phí gửi xe không dùng tiền mặt không những góp phần từng bước hình thành hệ thống giao thông thông minh mà còn tăng cường công tác quản lý nhà nước, minh bạch trong công tác thu phí dịch vụ trông giữ xe.
  • 10 xu hướng định hình tương lai của quản lý giao dịch số
    Quản lý giao dịch số đang phát triển mạnh mẽ, được thúc đẩy bởi những tiến bộ công nghệ và nhu cầu ngày càng tăng về xử lý tài liệu an toàn, hiệu quả. Đây là công cụ quan trọng giúp doanh nghiệp giảm bớt thủ tục hành chính và tối ưu hóa quy trình xử lý tài liệu số.
  • Zalo giữ vững ngôi đầu nền tảng nhắn tin được yêu thích nhất
    Ngày 5/11, theo báo cáo “The Connected Consumer Q.III/2024” mới nhất do Decision Lab công bố, Zalo tiếp tục dẫn đầu các nền tảng nhắn tin tại Việt Nam về tỷ lệ sử dụng (renetration rate) và mức độ yêu thích (preference rate).
  • Triển vọng thị trường chữ ký số toàn cầu
    Thị trường chữ ký số toàn cầu đang có ​​sự tăng trưởng chưa từng có khi các doanh nghiệp và cá nhân ngày càng áp dụng các giải pháp số để xác thực tài liệu và giao dịch an toàn.
  • ĐMST mở xã hội mang lại cho 90% doanh nghiệp cơ hội tạo giá trị kinh doanh bền vững
    Theo bà Nguyễn Phương Linh, Viện trưởng Viện MSD, hơn 90% các doanh nghiệp cho rằng đổi mới sáng tạo (ĐMST) mở xã hội mang lại cho doanh nghiệp cơ hội tạo ra giá trị kinh doanh bền vững, tác động tích cực đến xã hội và môi trường.
  • ‏FPT đẩy mạnh phát triển giải pháp low-code tại thị trường Hàn Quốc‏
    ‏Mới đây, FPT vừa ký kết thỏa thuận hợp tác ba năm với OutSystems, chính thức trở thành đối tác phân phối và triển khai tại thị trường Hàn Quốc, đảm bảo thời gian ra mắt phần mềm của khách hàng được rút ngắn và tối ưu chi phí.
Ransomware dựa trên Python mới giống như Locky
POWERED BY ONECMS - A PRODUCT OF NEKO