Tiện ích mã hóa do kỹ sư Google tạo ra bị lợi dụng để phát triển ransomware

Mỗi ngày người ta lại phát hiện ra thêm các mã độc, ransomware mới và mức độ tinh vi của chúng ngày càng tăng thêm. Mới đây, các chuyên gia bảo mật đã tìm ra một ransomware mới được sử dụng trong một cuộc tấn công nhắm vào người dùng máy tính cá nhân.

Sau khi kiểm tra, họ phát hiện ra rằng một header văn bản đã được thêm vào mỗi tập tin. Header bắt đầu bằng URL "age-encryption.org" như hình ảnh bên dưới.

age-encryption.org/v1
-> X25519 O9LABKJJggKQAsCbCQzPQFz0XwOHXSljEJU2xwS3zHA
Ildq7HXhtndUkpcHnz1+jnFjkpPK8wrVbDSbYXye2wg
--- Rwz4uNO8q6DbP1gbGuSVIA7W2wUKNluxyvMHuAJNIyM

URL này dẫn tới kho lưu trữ GitHub của tiện ích mã hóa có tên "Age", được tạo ra bởi Filippo Valsorda, một chuyên gia về tiền mã hóa kiêm trưởng nhóm bảo mật tại Google. Theo hướng dẫn sử dụng, "Age" dùng để mã hóa tập tin, bản sao lưu và luồng dữ liệu thay cho công cụ GPG.

Như vậy, thay vì sử dụng các thuật toán thường thấy như AES+RSA, ransomware AgeLocker đã sử dụng chính công cụ "Age" để mã hóa tập tin của nạn nhân. Chuyên gia giải mã ransomware Michael Gillespie chia sẻ rằng "Age" sử dụng các thuật toán X25519 (đường cong ECDH), ChaChar20-Poly1305 và HMAC-SHA256 nên nó trở thành một công cụ mã hóa tập tin rất mạnh mẽ.

Trong trường hợp này, khi rơi vào tay kẻ xấu, sự an toàn, mạnh mẽ của "Age" lại gây ra một số rắc rối.

Sau khi xâm nhập vào máy tính của nạn nhân, hacker sẽ khởi chạy AgeLocker, mã hóa toàn bộ tập tin của nạn nhân. Bên cạnh ghi chú đòi tiền chuộc, hacker còn gửi một email hướng dẫn nạn nhân cách thanh toán cho chúng.

Số tiền chuộc mà những kẻ đứng đằng sau AgeLocker yêu cầu là 7 bitcoin, tương đương 64.500 USD, một con số cực kỳ cao.

Cho tới thời điểm này, các chuyên gia vẫn chưa tìm ra phương thức giải mã AgeLocker. Trang BleepingComputer đã liên hệ với Valsorda để xem ông có giải pháp gì không nhưng chưa nhận được câu trả lời.

• Hướng dẫn chung về giải mã ransomware