Gần đây, nhiều người sử dụng máy tính đã trở thành nạn nhân của một malware tống tiền mới. Đó là một Trojan ẩn dưới dạng một file có biểu tượng giống các chương trình xem video phổ biến và sẽ được kích hoạt khi người sử dụng chạy file đó. Một khi Trojan được kích hoạt, máy tính của nạn nhân sẽ bị khóa không sử dụng được. Nạn nhân được chỉ dẫn gửi một tin nhắn SMS tới một số điện thoại với mức phí 400 rúp (rúp là đơn vị tiền tệ của Nga, 400 rúp tương đương 260.000 VND) để nhận được mã mở khóa và lấy lại quyền điều khiển máy tính. Trên thực tế, một số người sử dụng đã làm theo cách đó để thoát khỏi phiền toái.

Trojan này sử dụng một kỹ thuật khá đơn giản để tống tiền các nạn nhân. Nó vẽ các cửa sổ lên màn hình và đặt thuộc tính TOP MOST cho các cửa sổ để cửa số hiển thị ở chế độ toàn màn hình.Trojan thiết lập một đồng hồ hẹn giờ bên trong chương trình của mình. Theo chu kì, Trojan liên tục đặt thuộc tính TOP MOST cho cửa số đã vẽ, để cửa sổ này luôn hiển thị trước tất cả các cửa sổ khác. Vì vậy, người sử dụng không thể thao tác với các cửa sổ còn lại cho tới khi họ nhập đúng mã để mở khóa.

Khi đã bị lây nhiễm, trên màn hình máy tính của nạn nhân sẽ xuất hiện thông báo như sau:

Nội dung của thông báo trên :

Lưu ý!!!

Hệ thống của bạn bị chặn vì vi phạm quy định sử dụng mạng Internet, có thể vì những lý do sau: truy cập các trang web có nội dung không lành mạnh, lưu lại các file video có nội dung không lành mạnh.Việc chặn hệ thống này nhằm tránh phát tán các nội dung nói trên từ máy tính cá nhân của bạn lên mạng Internet.

Để gỡ bỏ sự ngăn chặn này bạn cần:

Nạp 400 rúp vào số điện thoại Beeline 89654031266. Sau khi nạp tiền xong, bạn sẽ nhận được mã.

Sau khi gỡ bỏ sự ngăn chặn này, bạn phải xóa hết những nội dung trái pháp luật có trong máy tính của bạn.

Nếu bạn từ chối nạp tiền, đó sẽ là sự vi phạm tiếp theo và tất cả dữ liệu trong máy tính của bạn sẽ bị xóa sạch mà không thể phục hồi bởi vì máy tính của bạn là mối đe dọa đối với cộng đồng mạng.

Mã để mở khóa có thể tìm được dễ dàng trên Internet tại một số diễn đàn với số điện thoại của hacker.

Bkav nhận diện các mẫu trojan này là W32.FakePornC.Trojan và W32.FakePornA.Trojan, thuộc họ  W32.FakePorn.Trojan.

Năm 2008, Bkav cũng phát hiện một loại virus tống tiền, được biết với tên GPCode. GPCode mã hóa các file: txt, doc, exel, pdf, rar, zip … bằng thuật toán RSA-1024bit. Đi kèm trong thư mục chứa các file bị mã hóa là một file .txt chứa nội dung tống tiền. Để giải mã các file này cần mật khẩu do hacker nắm giữ.

Cách phòng tránh tốt nhất là không nên mở các file đính kèm không rõ nguồn gốc, đăc biệt là các file thực thi (các file có đuôi .exe…). Không nên truy cập vào các trang web đen, các trang web độc hại, có nội dung không lành mạnh và thường xuyên cập nhật phần mềm diệt virus trên máy tính của mình.

Bkav R&D

Trackback URI | Comments RSS