Thời gian gần đây, các nhà nghiên cứu bảo mật nhận thấy số người nhiễm ransomware Exorcist 2.0 có sự gia tăng đột biến. Qua điều tra, họ phát hiện ra rằng Exorcist 2.0 đang sử dụng một phương thức phát tán mới, khá tinh vi.
Cụ thể, lợi dụng các mã độc quảng cáo, Exorcist 2.0 hiển thị các quảng cáo về phần mềm crack trên những trang web chính thống. Khi nhấp vào quảng cáo, người dùng sẽ được chuyển hướng tới một trang chứa các phần mềm crack giả.
Lợi dụng nhu cầu tải phần mềm crack để sử dụng mà không cần trả tiền bản quyền. Exorcist 2.0 đã lây nhiễm lên rất nhiều máy tính trên toàn cầu. Các phần mềm crack trên trang web của những kẻ đứng sau Exorcist 2.0 thực chất là bộ cài đặt ransomware.
Ví dụ, trong bức ảnh bạn thấy ở đây, trang web giả vờ cung cấp phần mềm "Windows 10 Activator 2020", cho phép bạn kích hoạt bản quyền Windows 10 miễn phí. Khi tải xuống bạn sẽ nhận được một tập tin zip được bảo vệ bởi mật khẩu và một tập tin văn bản chứa mật khẩu.
Do tập tin zip được bảo vệ bởi mật khẩu nên các trình quét mã độc như Google Safe Browsing, Microsoft SmartScreen... sẽ bị vượt qua.
Khi điền mật khẩu để giải nén và chạy phần mềm, toàn bộ tập tin trên máy của nạn nhân sẽ bị mã hóa. Đương nhiên, bản quyền Windows 10 cũng không được kích hoạt.
Trong các thư mục chứa những tập tin bị mã hóa, kẻ tấn công sẽ đưa vào một tập tin chứa liên kết tới một trang web Tor. Truy cập vào trang Tor này, nạn nhân sẽ thấy cách để chuộc lại dữ liệu, cách liên lạc với kẻ tấn công và số tiền chuộc mà họ phải trả.
Số tiền chuộc mà những kẻ tấn công yêu cầu rơi vào khoảng từ 250 USD đến 1.000 USD, có thể cao hơn tùy thuộc số lượng dữ liệu bị mã hóa.
Giả mạo phần mềm crack để phân phối mã độc là một chiến thuật từng được ransomware STOP sử dụng. Nó thành công tới nỗi biến STOP trở thành một trong những loại ransomware phổ biến nhất hiện tại.
Để tránh nhiễm ransomware Exorcist 2.0 hay các mã độc khác như STOP, người dùng nên tránh tải về phần mềm từ các nguồn không xác định, nên sử dụng phần mềm bản quyền và cập nhật phần mềm thường xuyên.