Gần đây, hãng quan sát thấy CTB Locker có thêm những cải tiến mới khi nó cung cấp dịch vụ "giải mã miễn phí", gia hạn thời hạn chuộc, và tùy chọn thay đổi ngôn ngữ thông báo tống tiền. Những biến thể mới này cũng yêu cầu thanh toán 3 BTC (khoảng 630 USD), trong khi những phiên bản cũ hơn trong tháng 7 chỉ tính phí .02 BTC tương đương 24 USD.

Cùng với những nâng cấp này, Trend Micro cũng phát hiện một nhánh các cuộc tấn công như vậy tại một số khu vực, chủ yếu ở châu Âu, Trung Đông, Châu Phi, Trung Quốc, Mỹ Latin và Ấn Độ.

Lây nhiễm CTB-Locker

Như Trend Micro đã báo cáo trước đây rằng CTB Locker sử dụng mạng ẩn danh Tor để ẩn các hoạt động của nó, nhưng biến thể mới này có các điểm khác biệt hết sức đáng chú ý.

CTB-Locker lây nhiễm thông qua email spam. Các thông báo spam được gửi ở nhiều ngôn ngữ khác nhau và thường giả vờ mang những thông báo quan trọng để lừa người nhận mở file đính kèm được bọc trong hai lớp lưu trữ.

Một số mẫu thư rác trong những cuộc tấn công này được gửi từ các hệ thống là một phần của botnet Cutwail. Cutwail tái sử dụng những nguồn lực sẵn có (bao gồm các bot). Và không bất ngờ khi một số địa chỉ IP trong chiến dịch thư rác này đã nằm trong danh sách đen của Trend Micro nhiều năm qua, cùng với đó là một số địa chỉ xuất hiện từ đầu năm 2004.

Hình 1. Mẫu email spam với tập tin đính kèm .ZIP có chứa phần mềm độc hại downloader TROJ_CRYPCTB.SMD

Tập tin đính kèm là một phần mềm độc hại downloader, cụ thể là TROJ_CRYPCTB.SMD. Phần mềm độc hại này kết nối với một số liên kiết URL, dẫn đến quá trình tải CTB-Locker vào máy tính. Mã độc tống tiền CTB-Locker được phát hiện là TROJ_CRYPCTB.SME. Kiểm tra các đường dẫn URL, chúng tôi xác định chúng đều độc hại và có bắt nguồn tại Pháp. Phần mềm độc hại downloader sử dụng phương pháp phân phối xoay vòng (round-robin) để chọn ra đường dẫn URL tải về CTB-Locker.

Dưới đây là sơ đồ giải thích chu trình tấn công của phần mềm tống tiền bắt đầu từ những tin nhắn spam có đính kèm tập tin.ZIP độc hại như ở hình 1.

Hình 2. Mô hình lây nhiễm CTB-Locker

Những nâng cấp mới ở CTB-Locker

Biến thể TROJ_CRYPCTB.A trước đấy trong tháng 7 cho phép người dùng có 72 tiếng thanh toán, trong khi biến thể mới này cho người dùng 96 tiếng. Việc gia hạn thời gian có thể là vì muốn tăng khả năng nạn nhân sẽ trả phí.

Sau khi nhấn "Next", nạn nhân sẽ được dẫn đến trang hiển thị phần “Test Decryption” (Giải mã thử) nhằm dụ họ bằng “món quà” phiễn phí này. Phần “Test Decryption” giải mã miễn phí 5 file bất kì để thuyết phục nạn nhân rằng việc giải mã là thực sự hoạt động. Có các hướng dẫn bổ sung thông báo người dùng không đổi tên hoặc xóa các file, và chỉ những file được chọn sẽ được giải mã. Phần mềm tống tiền cũng hiển thị thông báo đòi tiền chuộc với các ngôn ngữ khác như Đức, Hà Lan và Ý.

Nhấn “Next” tiếp sẽ dẫn đến trang thanh toán. Tại đây, nạn nhân buộc phải trả 3 BTC tương đương 630 USD để tiến hành giải mã file, nếu không tất cả các file sẽ vĩnh viễn bị mã hóa. Ngoài ra, còn có các hướng dẫn trả tiền chuộc thông qua trình duyệt Tor. Dưới đây là so sánh giữa biến thể CBT-Locker trong tháng 7/2014 và phiên bản mới nhất của nó.

Hình 3. Biến thể CBT-Locker mới đòi tiền chuộc đến 630 USD hay 3 BTC để giải mã file nạn nhân

Thông báo chỉ ra rằng nạn nhân phải trả tiền chuộc trước thời hạn, nếu không, tất cả các file sẽ vĩnh viễn bị mã hóa.

Phân tích biến thể mới cho thấy một tính năng chưa từng có ở các biến thể CTB Locker trước đây, đó là việc giải mã các file miễn phí. Mô hình freemium này đã từng xuất hiện ở phần mềm độc hại CoinVault, nhưng biến thể CTB Locker tăng mức tiền chuộc bằng cách cho phép nạn nhân chọn 5 file chứ không phải chỉ một file để giải mã.

Việc giải mã miễn phí có thể được coi là một cách thuyết phục người dùng rằng các file khác thực sự cũng có thể được phục hồi nếu họ nộp tiền chuộc.

Hình 4. Dịch vụ “Free decryption” (Miễn phí giải mã)

Một tính năng đặc biệt nữa ở phiên bản này là thông báo đòi tiền chuộc cho phép người dùng tùy chọn ngôn ngữ ngoài tiếng Anh. Cho đến nay, có thêm ba ngôn ngữ được phát hiện gồm Ý, Đức, và Hà Lan.

Hình 5. Các thông báo ngẫu nhiên với thêm ba ngôn ngữ theo thứ tự từ trái sang: Ý, Đức, Hà Lan

Cách phòng chống phần mềm tống tiền

Trước hết, người dùng cần biết nhận ra các email spam. Một số email trông có vẻ hợp pháp nhưng tốt nhất là luôn kiểm tra địa chỉ người gửi, tiêu đề, và đặc biệt nội dung email khi xuất hiện bất kì điều gì đáng ngờ.

Ngoài ra, luôn thận trọng khi mở các file, email, và đường dẫn URL lạ, đặc biệt là các file đính kèm email. Mặc dù nó có giải mã miễn phí như là mồi nhử để trả tiền chuộc nhưng không có gì đảm bảo rằng tội phạm mạng sẽ thực sự giải mã các file của bạn và khiến mọi thứ trở lại bình thường.

Người dùng cũng nên nhớ phải thường xuyên sao lưu dữ liệu của mình. Trong đó có nguyên tắc 3-2-1 là có ba bản sao, hai phương tiện truyền thông, và một nơi lưu trữ tách biệt.

Một dãy liên quan đến downloader của phần mềm tống tiền CTB Locker:

15a49a48a406902cfed2f7cfc6bcf0640aa00a46
3071c4419d5e67970206d524334ce0c65593d741
46f003336c1c726f2f8110c53292a10d0b585ded
69841be4aa6134facc24e6401a470d19d70884ee
6a1127180d19b8f9b7f1b9d2c2682eee2c0ba0b0
6eb03d6cb4f9a5aae49a9d85652a4daa4f984ba8
81f68349b12f22beb8d4cf50ea54d854eaa39c89
c2981fd43e72369de4118727b9b1117f07906dda
f1897120c2bbcd5135db0295249118aa5f5eb116
6eb03d6cb4f9a5aae49a9d85652a4daa4f984ba8
358c555cee162833706bb995cbf8d1d1ae79864a
ac34a415a7900053789d4b676eb7aa49a8fa9b5d

Một dãy liên quan đến CTB Locker:

c74fc2f0f2ff530f02b92cdc53fb731b7cf77039
81f68349b12f22beb8d4cf50ea54d854eaa39c89
0d4b6401eb5f89ff3a2cf7262872f6b3d903b737