Phát hiện mã độc tống tiền Cr1ptT0r - nhắm mục tiêu vào các thiết bị NAS lưu trữ dữ liệu

Theo thông tin đăng tải trên trang Bleeping Computer ngày 22/2/2018, một biến thể mã độc mã hóa tống tiền mới được đặt tên là Cr1ptT0r đang nhắm mục tiêu vào các hệ thống lưu trữ qua mạng (NAS) có kết nối Internet nhằm mã hóa dữ liệu được lưu trữ trên đó.

Phát hiện mã độc tống tiền Cr1ptT0r - nhắm mục tiêu vào các thiết bị NAS lưu trữ dữ liệu - cybersec365.org

Theo đó, mã độc mã hóa tống tiền Cr1ptT0r  được phát hiện lần đầu tiên trên diễn đàn Bleeping Compter. Một số thành viên của diễn đàn này cho biết thiết bị D-Link DNS-320 của họ đã bị nhiễm mã độc mã hóa tống tiền. Sau khi liên hệ với D-Link, hãng cho biết thiết bị D-Link DNS-320 đã không còn sản xuất. Tuy nhiên, hãng vẫn còn hỗ trợ cập nhật cho sản phẩm này. Khi kiểm tra, phiên bản Firmware của thiết bị này được cập nhật lần cuối cùng vào năm 2016 và tồn tại rất nhiều lỗ hổng đã được công bố.

Khi tiến hành upload Cr1ptT0r lên trang VirusTotal, chỉ có duy nhất một công cụ nhận diện được nó là mã độc.

Được biết, các nhà nghiên cứu của Bleeping Computer đã cố gắng liên lạc với nhóm tác giả của Cr1ptT0r và họ đã xác nhận mã độc này được viết ra nhắm mục tiêu vào các lỗ hổng bảo mật trong bản Firmware cũ của thiết bị D-Link DNS-.

Sau khi bị lây nhiễm, mã độc sẽ tạo ra 2 tập tin gồm 1 file có tên "_FILES_ENCRYPTED_README.txt," để cung cấp cho nạn nhân cách để gởi tiền và lấy lại dữ liệu. 

Phát hiện mã độc tống tiền Cr1ptT0r - nhắm mục tiêu vào các thiết bị NAS lưu trữ dữ liệu - cybersec365.org

Và tập tin thứ 2 có tên "_cr1ptt0r_support.txt" chứa địa chỉ của một website thuộc mạng Tor nhằm hỗ trợ nạn nhân nếu như họ không biết phải làm gì. Ngoài ra, tin tặc cũng "sẵn lòng" giải mã 1 tập tin mẫu để khẳng định mình có thể giải mã được dữ liệu.

Nguồn: BleepingComputer