Cảnh báo mã độc tống tiền KeRanger nhắm vào máy Mac

Mặc dù được xem là một hệ điều hành máy tính khá an toàn nhưng Mac OS của Apple không phải là bất khả xâm phạm. Một loại mã độc mang tên KeRanger nhắm vào nền tảng này đã phát tán, lây lan đưa hàng triệu máy Mac vào nguy cơ bị tấn công, mất dữ liệu.

Mã độc KeRanger ẩn mình trong ứng dụng mang tên Tranmission Bittorrent khá phổ biến với nhiều người dùng Mac OS. Nhiều người dùng bị đánh lừa, tải về ứng dụng Transmission chứa phần mềm độc hại. Một tệp tin đi kèm có tên General.rtf sẽ được sao chép vào ~/Library/kernel_service và tự động thực thi. General.rtf là tệp tin mã độc KeRanger, chúng giả mạo một tệp tin tài liệu. General.rtf tạo ra 2 tệp tin ~/Library/.kernel_pid và ~/Library/.kernel_time. kernel_pid chứa ID dành cho tiến trình kernel_service đang chạy và .kernel_time chứa mốc thời gian mã độc được thực thi lần đầu tiên.

 KeRanger sẽ được cài đặt và nằm ẩn trong máy tính suốt 3 ngày. Sau 3 ngày mã độc sẽ được thực thi và phá hủy các dữ liệu trên máy tính của nạn nhân. Sau khi dữ liệu của nạn nhân bị mã hóa, KeRanger sẽ tạo ra một thông báo yêu cầu người dùng phải trả tiền cho chúng nếu muốn lấy lại các dữ liệu này.

Những tệp tin trong máy tính bị ảnh hưởng bởi KeRanger:

Theo nghiên cứu, mã độc sẽ mã hóa sử dụng thuật toán mã hóa AES để thực hiện mã hóa dữ liệu, các tệp tin sau khi bị mã hóa sẽ có đuôi là .encrypted. Ví dụ, tệp tin test.jpg sau khi bị mã hóa sẽ trở thành test.jpg.encrypted. Rất nhiều loại tệp tin bị mã hóa, điển hình là các tệp tin quan trọng như: tệp tin tài liệu, số liệu; hình ảnh; thiết kế; âm nhạc…vv, cụ thể là danh sách như trong hình dưới đây:

Trong các thư mục chứa dữ liệu bị mã độc KeRanger phá hủy sẽ xuất hiện một tệp tin có tên README_FOR_DECRYPT.txt chứa nội dung đe dọa của mã độc. Nội dung của tệp tin này nói về việc máy tính đã bị nhiễm mã độc và bị phá hủy các dữ liệu quan trọng, cách duy nhất mà nạn nhân có thể giải mã là thanh toán 1 Bitcoin tiền chuộc cho chúng.

Khuyến cáo của các chuyên gia bảo mật là người dùng nên thực hiện sao lưu dữ liệu thường xuyên để có thể phục hồi những dữ liệu cũ nếu có sự cố xảy; cài đặt và thường xuyên cập nhật cho phần mềm diệt virus trên máy tính để tăng cường bảo mật. Vì trên thực tế, ngay cả khi đã trả tiền chuộc, người dùng cũng chưa chắc sẽ được cũng cấp khóa giải mã của dữ liệu bị “bắt cóc”.

Xuân Dung