và sau đó mã hóa tất cả dữ liệu của nạn nhân , thêm phần mở rộng “.surprise” tới tất cả những file .

Những dấu hiệu đầu tiên của việc lây nhiễm Ransomware này được đăng lên diễn đàn Bleeping Computer , nới đây những nạn nhân của Ransomware thường kêu gọi sự trợ giúp .

Đầu tiên , những người dùng đã rất ngạc nhiên khi thấy những file của họ đã bị khóa và không truy cập được , kèm theo 3 file mới được đưa lên Desktop của họ . Đó là những thông tin cảnh báo đòi tiền chuộc cho biết nạn nhân muốn giải mã thì phải liên hệ với tin tặc thông qua hai địa chỉ nowayout@protonmail.com và nowayout@sigaint.org.

Tin tặc đòi tiền chuộc 0.5 Bitcoin ( gần 200$ ) , tùy thuộc theo nội dung của những file bị mã hóa mà số tiền chuộc có thể lên tới 25 Bitcoin ( gần 10.000$ ) .

Về mặt kỹ thuật mã độc này không có gì đặc biệt so với những họ đòi tiền chuộc khác . Nó dùng thuật toán AES-256 để mã hóa file , và sau đó RSA-2048 để bảo vệ những khóa giải mã của mỗi file và khóa Master được tải tới máy chủ CnC .

Surprise nhắm tới 474 những phần mở rộng file khác nhau và dùng file BAT để xóa những bảo sao Shadow khiến cho việc tự động khôi phục là không thể chỉ trừ trường hợp người dùng đã sao lưu những dữ liệu này tới ổ đĩa ngoài .

Lawrence Abrams, là admin của Bleeping Computer , cho biết Ransomware trên là một phiên bản tương tự như mã độc đòi tiền chuộc nguồn mở EDA2 . EDA2 bắt đầu từ một dự án giáo dục , nhưng sau đó được tải lên GitHub và nhiều tin tặc đã lợi dụng nó để sử dụng mặc dù cho nó có “cửa sau” trong phần quản trị .

Utku , tác giá EDA2 , dùng “cửa sau” khi có thể để hỗ trợ cho những nạn nhân Ransomware lấy lại dữ liệu miễn phí . nhưng lần này máy chủ CnC của Surprise đã tắt sau vài tuần do đó sử dụng “cửa sau” là không thể được . Nguyên nhân có thể do tin tặc không có đủ tiền để duy trì máy chủ hoạt động trực tuyến liên tục .

Điều đó có nghĩa là mã độc đòi tiền chuộc này không thể lưu những khóa RSA tới máy chủ CnC nên nạn nhân nào muốn trả tiền chuộc cũng không thể lấy khôi phục được dữ liệu của mình .

Những nạn nhân của Surprise cho biết họ có cài đặt Teamviewer và khi tìm kiếm trong lịch sử truy cập của Teamviewer đã phát hiện ra ai đó đã truy cập máy tính của họ qua Teamviewer , tải file surprise.exe , rồi chạy file này để mã hóa dữ liệu của họ .

Có ba khả năng giải thích sự xâm nhập trên . Một là có thể có lỗi Zero-Day trong Teamviewer nên tin tặc đã mở những kết nối để thực hiện những hành vi độc hại . Cách này ít có thể xảy ra bởi vì để tìm được lỗi Zero-Day phải dùng rất nhiều kỹ năng và những kỹ thuật để khai thác được những lỗ hổng như vậy .

Cách giải thích thứ hai có thể tin tặc quét Internet để tìm kiếm khả năng truy cập những Teamviewer đang hoạt động , sau đó dùng tấn công Brute-Force để đăng nhập bằng những mật khẩu thông dụng .

Khả năng thứ ba đó là người dùng tải những bản Teamviewer từ trên mạng qua những trang không có nguồn gốc rõ ràng , không phải trực tiếp từ trang Teamviewer . Những bản Teamviewer này đã tích hợp sẵn “cửa sau “ để tin tặc dễ bề hoạt động .