Mã độc bùng cháy năm 2016
Năm 2016 đang chứng kiến sự trở lại mạnh mẽ của rất nhiều loại mã độc tống tiền (ransomware) và còn nguy hiểm hơn khi crypto-ransomware (mã hóa dữ liệu của người dùng để đòi tiền chuộc) chiếm phần lớn số ca lây nhiễm trong thời gian qua.
Mới đây, các chuyên gia an ninh mạng đã tiếp tục phát hiện một loại mã độc tống tiền mới có tên gọi Locky, sử dụng thuật toán mã hóa AES để mã hóa dữ liệu cũng như tập tin trên mạng chia sẻ (Network sharing). Cách thức mà ransomeware này lây nhiễm, phát tán qua Internet cũng đơn giản đến không ngờ: Microsoft Word.
Kích hoạt marco để xem nội dung trong file Word? => máy tính của bạn sẽ bị mã hóa ngay lập tức
Cụ thể, Locky sẽ núp bóng dưới một file Word đính kèm macro độc hại và phát tán thông qua email giả mạo hóa đơn thanh toán, hợp đồng mua bán hay chứa nội dung tò mò. Khi người nhận email kích hoạt macro để xem nội dung trong file Word này, nó sẽ âm thầm tải về Locky từ máy chủ của hacker và ngay lập tức thực hiện quá trình mã hóa toàn bộ tệp tin trên máy tính bị xâm nhập.
Ransomeware này sẽ quét toàn bộ ổ cứng và thậm chí là mạng chia sẻ (Network sharing) để xác định những tập tin bị mã hóa. Nhưng, nó sẽ bỏ qua các tập tin/thư mục hệ thống như tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot và Windows để đảm bảo rằng người dùng vẫn khởi động được Windows bình thường.
Toàn bộ các tập tin sau khi bị mã hóa bởi thuật toán AES sẽ bị đổi tên thành [unique_id][identifier].locky. Tinh vi hơn, Locky sẽ xóa toàn bộ thông tin của System Restore để người dùng không có cách nào khác để khôi phục lại dữ liệu của họ.
Cuối cùng, mã độc này sẽ thay đổi hình nền Desktop thành một hình ảnh để cảnh báo nạn nhân về những gì đã xảy ra với dữ liệu của họ, kèm theo các đường dẫn đến trang giải mã và yêu cầu khoản tiền chuộc khoảng 0.5 bitcoin (hơn 200 USD) để khôi phục các tập tin của mình. Họ chỉ có 2 sự lựa chọn: hoặc cài lại toàn bộ hệ thống, chấp nhận việc mất mát dữ liệu hoặc cay đắng trả tiền cho hacker.
Trả tiền chuộc (bitcoin) hoặc chấp nhận mất toàn bộ dữ liệu ?
Thực tế, Locky vẫn kế thừa những kỹ thuật giống như các loại mã độc ransomeware khác được phát hiện trước đó, như khả năng thay đổi hoàn toàn tên file cho tập tin mã hóa để gây khó khăn cho việc khôi phục dữ liệu – tương tự với Cryptolocker. Tuy nhiên, nó nguy hiểm hơn với khả năng mã hóa dữ liệu ngay cả trên mạng chia sẻ Network Sharing – mối đe dọa với những hệ thống máy tính lớn.
Công ty bảo mật Kaspersky từng phải thừa nhận rằng, nếu nạn nhân đã rơi vào tình trạng này, họ không thể làm gì khác ngoài việc trả tiền chuộc cho tin tặc – như những gì bệnh viện Hollywood Presbyterian đã làm ngày hôm qua: trả 17.000 USD bitcoin để đổi lấy sự bình yên.
Những gì mà Locky thực hiện trên máy tính của người dùng
Hiện tại, ransomware này vẫn đang được phát tán với tỉ lệ 4.000 lây nhiễm mới mỗi giờ, xấp xỉ con số 100,000 mỗi ngày tại các quốc gia Đức, Hà Lan, Mỹ, Croatia, Mexio, Phần Lan…. Thật khó hiểu khi đến tận năm 2016, một file Word cũng có thể mã hóa toàn bộ dữ liệu của người dùng!
Theo nguồn sưu tầm genk