Ransomware Bitcoin không trả lại dữ liệu ngay cả khi đã nhận được tiền chuộc

Ransomware Bitcoin từ chối khôi phục quyền truy cập dữ liệu cho các nạn nhân ngay cả khi họ đã trả tiền chuộc.

Phần mềm độc hại GermanWiper thông báo với các nạn nhân rằng dữ liệu đã được mã hóa nhưng thực tế là đã xóa hoàn toàn. Sau đó, hacker đòi hỏi 0.15038835 BTC (khoảng $1,750) với lý do cho nạn nhân cơ hội lấy lại dữ liệu.

Chiến lược hoạt động của Ransomware Germanwiper Bitcoin

Theo Bleeping Computer, cho đến nay, GermanWiper chủ yếu ảnh hưởng đến người dùng Windows Microsoft ở Đức.

GermanWiper sử dụng một chiến dịch lừa đảo lệch lạc nhắm đến các nạn nhân và lây nhiễm phần mềm độc hại vào các máy tính doanh nghiệp. Các hacker đóng gói phần mềm trong các email và ngụy trang như thư xin việc.

Trên các diễn đàn Bleeping Computer, một số người đã gặp phải phần mềm Ransomware Bitcoin cho biết các email lừa đảo trông giống như các ứng dụng công việc nghiêm túc và chuyên nghiệp có cấu trúc ngữ pháp, chính tả hoàn hảo:

“Khách hàng của tôi đang mong đợi các đơn xin việc, vì họ đã đăng một quảng cáo trên ‘Bundesagentur für Arbeit’ (Trung tâm việc làm) và theo tôi tìm hiểu được từ Internet, các nạn nhân khác cũng trong tình huống tương tự. Ngữ pháp và chính tả rất tốt. Mọi thứ dường như theo thứ tự. Vì vậy, rất khó cho người dùng thông thường tránh được cái bẫy này”.

‘Ma quỷ’ nằm trong thư mục nén

Một trường hợp cụ thể liên quan đến một người xin việc tên là Lena Kretschmer, người gửi email với chủ đề: “Ihr Stellenangebot – Bewerbung [Đơn xin việc] – Lena Kretschmer”.

Email cũng chứa tệp đính kèm với phần mở rộng .zip. Khi giải nén, hai tệp tài liệu PDF giống nhau xuất hiện. Tuy nhiên, đây không phải là các tệp PDF mà là các phím tắt khởi chạy một loạt các sự kiện tải xuống và cài đặt phần mềm độc hại.

Nhưng không giống như hầu hết các Ransomware, dữ liệu bị mã hóa cho đến khi được trả một lượng Bitcoin xác định vào một địa chỉ do hacker kiểm soát, mà thay vào đó, GermanWiper xóa hoàn toàn dữ liệu bằng cách ghi đè nội dung bằng số 0.

Ransomware Bitcoin bỏ qua các chức năng quan trọng

Tuy nhiên, GermanWiper không xóa tất cả dữ liệu người dùng. Một số tệp, thư mục không bị xóa – đặc biệt là những tệp cần thiết cho việc khởi động Windows OS đúng cách và trình duyệt Internet.

Vì không có cơ hội khôi phục dữ liệu bị phá hủy nên các nạn nhân của GermanWiper đừng nghĩ đến việc trả Bitcoin cho tin tặc.

• Ransomware bắt nguồn từ sự xuống cấp của cơ sở hạ tầng nhưng Bitcoin phải ‘đứng mũi chịu sào’
• Ransomware Bitcoin tấn công 100 doanh nghiệp Mỹ và lan sang Trung Quốc

Thùy Trang

    Tạp chí Bitcoin | Newsbtc