Xuất hiện loại mã độc mã hóa thông qua mạng chia sẻ dùng chung

Một nhà nghiên cứu bảo mật đã phát hiện ra loại mã độc với tên mã CryptoFortress có thể mã hóa dữ liệu thông qua mạng chia sẻ ngay cả khi chúng chưa được ánh xạ thành ổ đĩa.

CryptoFortress là mã độc tống tiền (ransomware) có giao diện tương tự mã độc TorrentLocker nhưng nguy hiểm hơn những dạng ransomware khác. Thay vì mã hóa dữ liệu từ việc đánh cắp danh sách các ổ đĩa trong máy tính và mã hóa dữ liệu từ đó, CryptoFortress lại liệt kê toàn bộ các mạng qua giao thức SMB (giao thức hỗ trợ chia sẻ dữ liệu qua mạng Lan) đang mở để mã hóa bất cứ thứ gì mà nó tìm thấy. Nghĩa là các mạng chia sẻ chung mạng sẽ không an toàn ngay cả khi nó không được ánh xạ thành một ổ đĩa. Tính năng mới này thay đổi cái nhìn về các mối đe dọa với quản trị viên máy chủ và quản trị viên mạng. Nó càng trở nên quan trọng hơn trong việc thiết đặt an ninh cấp quyền hạn với các thư mục chia sẻ.

Cụ thể, khi thực thi, mã độc này sẽ mã hóa dữ liệu thông qua thuật toán RSA và thêm phần mở rộng .frtrss vào các tệp tin mã hóa. Trong tất cả các thư mục đều chứa một tệp tin thông điệp cảnh báo “READ IF YOU WANT YOUR FILES BACK.html” (hãy đọc nếu bạn muốn các tập tin được trả lại). Cảnh báo “tống tiền” này chứa đường dẫn đến máy chủ điều khiển TOR và cho biết số tiền nạn nhân phải trả nếu muốn lấy lại dữ liệu (1 Bitcoin) và địa chỉ ngân hàng nạn nhân phải chuyển đến. CryptoFortress sẽ thực hiện lệnh xóa toàn bộ Shadow Volume Copies (chức năng ổ đĩa dự phòng) để nạn nhân không thể khôi phục dữ liệu từ chúng.

Rõ ràng sự phát hiện ra mã độc này nhắc nhở các quản trị viên cần xây dựng kế hoạch dự phòng về việc sử dụng các ổ đĩa luân phiên thay vì chỉ phụ thuộc vào một bộ phận, hoặc mạng chia sẻ dùng chung để sao lưu dữ liệu.  Các giải pháp lưu trữ đám mây cũng là một lựa chọn an toàn và bảo mật cao cần cân nhắc.

Xuân Dung