Hơn 2000 trang web sử dụng CMS đã bị ransomware tấn công. - Ảnh: Dr. Web

Đại diện Dr. Web cho biết từ ngày 12-11-2015 đến nay đã có khoảng 2000 trang web đã bị xâm nhập với 1,6 triệu kết quả liên quan đến mã độc này.

Mã độc có tên gọi là Linux.Encoder.1 nhắm vào các trang web được triển khai trên các máy chủ nền tảng Linux sử dụng hệ thống quản lý nội dung (CMS) như: WordPress, hệ thống quản lý cửa hàng trực tuyến Magento.

Theo phân tích của Dr. Web, một khi tội phạm mạng truy cập vào website, các tập tin error.php sẽ bị thay đổi bằng mã độc (đối với Magento, nó được sao chép vào thư mục /skin/system directory). Mã độc này giúp tội phạm mạng thực hiện các hoạt động bất hợp pháp bằng cách gửi nhiều lệnh khác nhau theo mục đích khai thác.

Tiếp theo tin tặc có thể sao chép thay thế tập tin 404.php mà trên thực tế là Linux.Encoder.1 trên máy chủ. Từ đó, chúng có thể kết nối với tập tin PHP từ trình duyệt bất kỳ để xác định cấu trúc hệ điều hành (32-bit hoặc 64-bit) để chạy ransomware mã hóa tương ứng. Khi đã hoàn tất việc mã hóa, ransomware này sẽ tự hủy, gây rất nhiều khó khăn cho khổ chủ.

Đặc biệt, mã độc này hoàn toàn đủ khả năng mã hóa tất cả các tập tin trong bất kỳ thư mục nào mà quản trị viên có quyền truy cập. Nói cách khác, nó có toàn quyền truy xuất mọi đường dẫn lẫn các thành phần quản lý nội dung (CMS).

Trong một số trường hợp, Trojan này còn tiếm quyền cao hơn và hoạt động nguy hiểm của nó sẽ không bị hạn chế đến bất kỳ thư mục nào trên máy chủ Web. Sau đó, các chương trình độc hại sẽ lưu lại một chỉ dẫn cách giải mã, tất nhiên kèm theo là yêu cầu tiền chuộc đối với nạn nhân.