Một biến thể mới của phần mềm đòi tiền chuộc (ransomware) có thể ngăn không cho các máy tính bị nhiễm khởi động Windows bằng cách thay thế master boot record (MBR) của hệ điều hành này, đồng thời hiển thị thông báo đòi tiền của người sử dụng, theo các nhà nghiên cứu bảo mật của Trend Micro.
 |
MBR là đoạn mã cư trú trong các sector đầu tiên của ổ đĩa cứng và “mồi” bộ nạp khởi động. Bộ nạp khởi động sau đó nạp hệ điều hành.
Thay vì “mồi” bộ nạp khởi động Windows, MBR giả mạo (do ransomware mới cài đặt) hiển thị thông báo yêu cầu người dùng gửi tiền vào một tài khoản cụ thể thông qua dịch vụ thanh toán trực tuyến QIWI, để nhận được mã số mở khóa cho máy tính của họ.
“Mã này được cho là sẽ lại tiếp tục nạp hệ điều hành và loại bỏ sự lây nhiễm", ông Pantanilla nói. "Khi mã mở khóa được sử dụng, MBR giả mạo sẽ bị xóa".
Các ứng dụng ransomware thường giữ một cái gì đó thuộc về các nạn nhân để đòi tiền chuộc cho đến khi họ phải trả một khoản tiền. Phần lớn các ứng dụng ransomware vô hiệu hóa chức năng hệ thống quan trọng hoặc mã hóa các tài liệu và hình ảnh, nhưng đây là chương trình ransomware đầu tiên mà các nhà nghiên cứu của Trend Micro thấy có thể thay thế MBR để chặn hệ thống từ lúc khởi động.
Ransomware thường phổ biến hơn trên khắp Đông Âu và Nam Mỹ, nhưng loại malware này đang dần xuất hiện nhiều hơn trong các khu vực khác của thế giới.