Ransomeware giả mạo Microsoft “tống tiền” người sử dụng Cách đây không lâu, đồng nghiệp của tôi, anh Nguyễn Hồng Quang, chuyên gia phân tích malware, đã viết một bài blog đề cập đến việc hacker Nga sử dụng virus máy tính để tống tiền người sử dụng. Sau khi đọc bài đó, tôi đã nghĩ chắc chắn hình thức này sẽ được hacker phát triển trong thời gian tới. Không ngoài dự đoán này, gần đây hệ thống HoneyPot của chúng tôi đã thu thập được rất nhiều mẫu virus lừa đảo kiếm tiền dạng này, nhưng sử dụng một kịch bản mới và phát tán trên quy mô lớn hơn nhiều. Nếu trước đây malware giả dạng các video khiêu dâm thì lần này, chúng mạo danh bộ cài đặt hay cập nhật của các phần mềm nổi tiếng như Adobe Flash Player, Firefox … để lừa người sử dụng kích hoạt. Một khi người sử dụng cả tin chạy malware, họ sẽ thấy màn hình hiện lên thông báo “Windows license locked” (bản quyền Windows đã bị khóa) ở lần khởi động máy tính kế tiếp. Thực chất, đây là một thông báo giả mạo do virus tạo ra. Ngay sau khi người sử dụng đăng nhập vào hệ thống , cửa sổ này xuất hiện và được đặt ở chế độ toàn màn hình, bởi vậy, người sử dụng không thể đóng cũng như chuyển sang cửa sổ khác, kể cả tiện ích task manager của Windows. Điều đó đồng nghĩa với việc máy tính không thể sử dụng được nữa. Hình 1: Cảnh báo giả của virus Nội dung hiển thị trong cửa sổ cảnh báo giả này vẫn là những thông báo mang tính dọa nạt: “Windows license locked… system reinstallation may lead to loss of personal data” (Bản quyền Windows đã bị khóa … Việc cài đặt lại hệ thống có thể gây mất các dữ liệu cá nhân). Nếu cách đây không lâu, các dòng thông báo này chỉ hiển thị bằng tiếng Nga thì lần này chúng đã được hỗ trợ rất nhiều ngôn ngữ khác nhau, cho thấy quy mô lớn dần của chiến dịch lừa đảo. Sau màn “dọa nạt” là hướng dẫn cách khắc phục để kiếm tiền. Lần này hacker giả mạo dịch vụ kích hoạt key Windows qua điện thoại của Microsoft. Hình 2 : Giả mạo dịch vụ kích hoạt key Windows qua điện thoại Trên cửa sổ này, hacker cung cấp những những hướng dẫn rất tỉ mỉ, từ việc làm thế nào để gọi bằng điện thoại cố định, bằng điện thoại di động, đến việc làm sao để nhập mã cho đúng. Tò mò về hệ thống này, tôi đã “thử bị lừa” xem sao. Sau một hồi thử gọi đến các số được cung cấp, cuối cùng tôi cũng kết nối được với một số có mã nước Đan Mạch. Tổng đài trả lời tự động là giọng của một phụ nữ : “Hello, welcome to our activation system… Enter your code. Our system will send you the activation key.” (Xin chào, chào mừng bạn đến với hệ thống kích hoạt key của chúng tôi… Vui lòng nhập mã của bạn. Hệ thống của chúng tôi sẽ gửi key kích hoạt tới cho bạn). Dù được hướng dẫn tận tình cách nhập mã, tuy nhiên, sau khi nhập xong, thử lại 3 lần tôi vẫn không nhận được key. Như vậy, không hề có key nào và càng gọi bạn sẽ càng mất tiền. Nếu máy tính đã nhiễm malware, bạn cũng không cần lo lắng quá. Thực ra, sau 3 ngày, những cảnh báo đó sẽ tự hủy. Tuy nhiên, rất có thể hacker đã kiếm được kha khá từ những cuộc gọi của bạn. Hình 3: Virus được lập trình chạy trong 72 giờ sau khi người sử dụng đăng nhập Việc phải bật máy và chờ đợi 3 ngày hẳn không dễ chịu chút nào, đó là chưa kể đến những ảnh hưởng tới công việc. Bởi vậy, để bảo vệ máy tính một cách toàn diện trước những loại virus này, bạn nên sử dụng một phần mềm antivirus có bản quyền được cập nhật thường xuyên. P/S : Khi dịch ngược những biến thể gần đây, tôi phát hiện ra chúng chỉ sử dụng một key active duy nhất và được hardcode là “1351236”. Nguyễn Công Cường, Senior malware researcher, Bkav R&D Nguồn: Bkis Blog
