Cảnh báo – 2 mã độc tống tiền nguy hiểm đã trở lại

www.tuoitre.vn -   16/08/2017 11:00:00 2315

Mã độc tống tiền (Ransomware) đang ngày càng trở nên nguy hiểm và dần trở thành mối lo thật sự với người dùng máy tính và các doanh nghiệp lớn làm thiệt hại hàng triệu USD và ảnh hưởng nặng nề.

Cảnh báo – 2 mã độc tống tiền nguy hiểm đã trở lại

Chỉ mới vài tháng trước, toàn thế giới phải đối mặt với sự xuất hiện của hàng loạt mã độc tống tiền Ransomware cực kỳ nguy hiểm như WannaCry, NotPetya, LeakerLocker làm chao đảo hàng loạt hệ thống bệnh viện, nhà máy, viễn thông, ngân hàng và nhiều tổ chức doanh nghiệp khác.

Trước sự ra đời của WannaCry và NotPetya, có thể kể đến bậc đàn anh Mamba – mã độc tống tiền có khả năng mã hóa đĩa cứng hệ thống và mã độc tống tiền Locky xuất hiện và gây ra hàng loạt sự cố an ninh mạng trên thế giới vào năm ngoái. Tin xấu là năm nay, chúng đang trở lại và lợi hại hơn xưa gấp nhiều lần.

Diablo6: Biến thể mới của mã độc tống tiền Locky

Lần đầu tiên xuất hiện vào đầu năm 2016, Locky được xem là một trong những mã độc tống tiền Ransomware có khả năng lây lan rộng nhất trên toàn thế giới và gây ra nhiều thiệt hại nặng nề cho nạn nhân nào dính phải nó.

Cảnh báo – 2 mã độc tống tiền nguy hiểm đã trở lại

Bằng cách lừa người dùng nhấp vào một tập đính kèm độc hại, Locky mã hóa hầu như toàn bộ loại tập tin có trên máy tính của nạn nhân và hệ thống mạng lưới để khóa lại và tống tiền nạn nhân. Mã độc này đã kiếm được rất nhiều tiền qua 2 kênh lây lan chính là Necurs botnet và Dridex botnet.

Lần này các chuyên gia bảo mật đã phát hiện một chiến dịch spam mã độc mới lây lan bởi chủng biến thể mới của Locky với tên Diablo6 và nhắm vào hàng loạt hệ thống máy tính trên thế giới, trong đó chủ yếu là Mỹ, kế đến là Áo.

Một chuyên gia bảo mật độc lập sử dụng bí danh Racco42 đã phát hiện ra chủng biến thể Locky mới này đã mã hóa tập tin trong các máy tính bị lây nhiễm và có tên tập tin mở rộng là .diablo6.

Mã độc tống tiền này cũng lây lan qua email chứa tập tin Microsoft Word đính kèm. Một khi tập tin được mở lên, một mã VBS Downloader sẽ tự tải mã độc Locky Diablo6 từ server quản lý từ xa.

Mã độc sẽ tự động mã hóa các tập tin với key RSA-2048 trên máy tính bị lây nhiễm trước khi hiển thị dòng tin thông báo cho nạn nhân phải tải và cài đặt trình duyệt Tor, truy cập trang web của kẻ tấn công để thực hiện các bước hướng dẫn trả tiền chuộc.

Được biết, mã độc tống tiền Locky Diablo6 đòi một khoản tiền là 0.49 Bitcoin (tương đương 2,079 USD) để giải mã và lấy lại tập tin dữ liệu.

Điều đáng tiếc là ở thời điểm hiện tại, các chuyên gia vẫn chưa tìm ra giải pháp để giải mã loại mã độc này, cho nên người dùng phải hết sức cẩn thận khi mở các tập tin đính kèm email.

Mamba đã trở lại và lợi hại hơn xưa

Mamba là một chủng loại ransomware khác cực kỳ mạnh và nguy hiểm bởi một khi đã bị lây nhiễm vào máy tính và hệ thống của người dùng, mã độc tống tiền này sẽ ngay lập tức mã hóa toàn bộ ổ cứng thay vì chỉ khóa tập tin dữ liệu như Locky, buộc toàn bộ hệ thống tê liệt chỉ trừ khi nạn nhân bỏ tiền ra chuộc lại hệ thống.

Cảnh báo – 2 mã độc tống tiền nguy hiểm đã trở lại

Sử dụng chung chiến thuật tấn công với các mã độc tống tiền khác như NotPetya và WannaCry nhưng mã độc Mamba được thiết kế để phá hoại doanh nghiệp và các tổ chức lớn hơn là khai thác Bitcoin.

Cuối năm ngoái, mã độc tống tiền Mamba đã lây nhiễm toàn hệ thống mạng lưới công ty vận tải San Francisco (San Francisco's Municipal Transportation Agency (MUNI)) trong dịp lễ Tạ Ơn, làm tê liệt toàn bộ hệ thống quản lý của tổ chức này, buộc phải hoãn toàn bộ chuyến tàu và tắt toàn bộ máy bán vé cũng như cổng kiểm soát của một số trạm tàu.

Nay, các chuyên gia bảo mật của Kaspersky Lab đã phát hiện ra chiến dịch lây lan Mamba mới, tấn công chủ yếu vào mạng lưới các công ty ở nhiều quốc gia, trong đó nổi bật là Brazil và Ả Rập Saudi.

Mamba sử dụng một công cụ mã hóa ổ đĩa Windows nguồn mở hợp pháp được gọi là Disk Cryptor, có khả năng khóa toàn bộ ổ cứng máy tính của tổ chức mà kẻ tấn công nhắm đến. Do đó khả năng gỡ khóa là rất khó bởi các giao thức mã hóa bởi DiskCryptor rất mạnh.

Mặc dù các chuyên gia vẫn chưa rõ cách thức xâm nhập của mã độc tống tiền này vào hệ thống mạng lưới của tổ chức, nhưng các chuyên gia tin rằng, Mamba có thể sẽ khai thác các lỗ hổng bảo mật của hệ thống hoặc qua các website độc hại hoặc qua email có đính kèm tập tin độc hại.

Nội dung tống tiền của Mamba cũng không yêu cầu tiền ngay lập tức, mà chỉ thông báo cho nạn nhân rằng ổ cứng của họ đã bị mã hóa và cung cấp 2 địa chỉ email, một ID number độc nhất để có thể lấy key giải mã sau này.

Minh Hương 

TIN CÙNG CHUYÊN MỤC

Tăng cường bảo mật, Google bổ sung tính ...

03/10/2023 12:00:00 9
Google cho biết tính năng này cho phép “người dùng làm việc với dữ liệu nhạy cảm của mình từ mọi nơi...

Để an toàn bảo mật, nên tắt 6 cài đặt nà...

02/10/2023 12:00:00 7
Có một số tính năng mới trong iOS 17 có thể xâm phạm quyền riêng tư cá nhân, gây khó chịu hoặc thậm ...

Tránh mất dữ liệu, hãy cập nhật Chrome n...

29/09/2023 12:00:00 10
Google khuyến khích người dùng nên cập nhật lên phiên bản mới nhất của trình duyệt Chrome để khắc ph...

Cập nhật Chrome ngay nếu bạn không muốn ...

28/09/2023 08:00:00 95
Google hôm thứ Tư đã tung ra các bản sửa lỗi để giải quyết lỗi zero-day mới được khai thác tích cực ...

Phát hiện phần mềm độc hại trên Android ...

28/09/2023 12:00:00 2
Khi đã lây nhiễm thành công lên smartphone của nạn nhân, Xenomorph sẽ giám sát hoạt động của nạn nhâ...

Những kẻ lừa đảo trên App Store – cảnh b...

27/09/2023 08:00:00 68
Chúng tôi đã phát hiện một số ứng dụng đầu tư lừa đảo trong App Store nhằm đánh lừa người dùng để lấ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ