Tháng trước, mọi người phát hiện ra rằng một biến thể ransomware lưu hành dưới tên DXXD, các máy chủ được nhắm mục tiêu và các tệp được mã hóa trên chúng. Tuy nhiên, để an tâm cho những người bị ảnh hưởng, Michel Gillespie, người làm nghiên cứu bảo mật, đã phân tích phần mềm độc hại và đưa ra một phần mềm giải mã các tệp.

Mặc dù vậy, sau khi anh quản lý để làm điều này, các nhà phát triển của ransomware đã nhanh chóng trả lời, sửa đổi thuật toán và làm cho nó không thể giải mã được.

Không có gì đặc biệt về ransomware DXXD. Khi một hệ thống bị nhiễm, nó sẽ thêm phần mở rộng của dxxd vào một trong các tệp mà nó ảnh hưởng. Ví dụ: nếu bạn có một tệp có tên là hình ảnh.jpg, tên của nó sẽ trở thành hình ảnh.jpgdxxd sau khi được mã hóa. Các ransomware sẽ khóa càng nhiều tệp trên máy tính của bạn càng tốt, bao gồm cả chia sẻ mạng. Bạn sẽ chỉ thấy tệp ReadMe.TxT cung cấp cho bạn các hướng dẫn về cách liên hệ với nhà phát triển qua email và gửi tiền cho họ để mở khóa máy tính của bạn.

Tuy nhiên, điều khác biệt so với các chương trình mã hóa phần mềm độc hại khác hiện có, đó là thực tế là chương trình này sửa đổi một cài đặt được tìm thấy trong Windows Registry. Cài đặt cụ thể được thay thế bằng một lưu ý tiền chuộc, thay vì thông báo pháp lý thường được hiển thị khi người dùng đăng nhập trên máy tính.

Đáng buồn thay, có vẻ như các nhà phát triển ransomware của DXXD vẫn chưa được thực hiện. Họ đã đăng ký một tài khoản tại Bleeping Computer, một trang web về bảo mật máy tính và sử dụng nó để trêu chọc nạn nhân của họ, đặc biệt là một số nhà nghiên cứu bảo mật cố gắng tìm giải pháp giải mã cho phần mềm độc hại. Các nhà nghiên cứu đã xác nhận rằng các nhà phát triển của DXXD đã tạo ra một phiên bản mới hơn của phần mềm độc hại, thậm chí còn khó bẻ khóa hơn và họ đã dựa vào lỗ hổng zero-day để làm điều đó.