Được phát hiện vào cuối tháng trước, biến thể thứ 3 của ransomware buộc khởi động lại hết thống, cố gắng thay đổi ảnh nền màn hình máy tính. Tuy nhiên do lỗi mã hóa, chỉ có các hệ thống Windows 10 và Windows 8 mới được tải đầy đủ, trong khi các máy tính Windows 7 sẽ bị treo tại một điểm trước khi Windows Shell được tải hoàn toàn.
GandCrab lây nhiễm thông qua các email spam. Tuần trước Fortinet đã phát hiện các tin nhắn phân phối ransomware gia tăng một cách đáng kể. Các email đính kèm phiên bản 2.1 của phần mềm độc hại và hầu hết trong số đo (khoảng 75%) nhắm mục tiêu tới người dùng ở Hoa Kỳ, người dùng ở Anh, Canada, Romania và Nam Phi cũng bị ảnh hưởng.
Cảnh báo Ransomware GandCrab có thể phá vỡ hệ thống Windows 7
Trong vài ngày qua, ransomware GandCrab chuyển sang biến thể mới, nhưng hầu hết các chức năng vẫn còn nguyên vẹn như cũ. Chỉ duy nhất một chức năng thay đổi, đó là chức năng thay đổi hình nền máy tính, chỉ hoạt động trên các hệ thống Windows 10 và Windows 8.1.
Fortinet giải thích: "Vì một số lý do nào đó trên Windows 7, chức năng khởi động máy tính không kết thúc, thay vào đó quá trình khởi động bị mắc kẹt tại một điểm trước khi Windows Shell được tải hoàn toàn. Điều đó có nghĩa là một người dùng bị nhiễm sẽ không có giao diện Windows để tương tác, và máy tính không thể sử dụng được".
Các nhà bảo mật lưu ý, cảnh báo Ransomware GandCrab có thể phá vỡ hệ thống Windows 7 tương tự như ransomware khóa màn hình cũ. Trên màn hình người dùng sẽ chỉ nhìn thấy thông báo đòi tiền chuộc và trang web tải xuống trình duyệt TOR.
Tuy nhiên thông báo đòi tiền chuộc hướng dẫn các nạn nhân đọc bảo sao của một trong những khoản tiền chuộc "CRAB-DECRYPT.txt" lưu ý phần mềm độc hại đã được phân phối trong các thư mục khác nhau để hướng dẫn cách khôi phục các file được mã hóa. Vì không có giao diện Windows, nên người dùng trung bình không thể thực hiện được điều này.
Người dùng được khuyến cáo mở Task Manager bằng cách sử dụng tổ hợp phím CTRL + SHIFT + DEL để kill process của phần mềm độc hại và khởi động lại hệ thống. Tuy nhiên đây chỉ là giải pháp tạm thời và có thể không giải quyết được vấn đề vì phần mềm độc hại có cơ chế riêng để đảm bảo nó được thực thi khi khởi động lại.
Để ngăn màn hình khóa hiển thị trong lần khởi động tiếp theo, người dùng nên xóa file thực thi phần mềm độc hại khỏi APPDATA%\Microsoft\
Fortinet lưu ý: "Nếu nhìn thấy khoản tiền chuộc và nhận thấy các file của bạn đã biến mất, hoặc thậm chí là bạn có thể mất quyền truy cập máy tính. Các lỗ hổng phần mềm độc hại gây ra các hậu quả không mong muốn ngày càng phổ biến, đó cũng là lý do mà bạn nên thận trọng với các email không được đánh dấu là quan trọng".
Ngoài ra người dùng cũng được khuyến cáo nên quét và xác minh các file đính kèm email trước khi mở. Ngoài ra nên tạo các bản sao lưu riêng biệt cho các file quan trọng để đảm bảo có thể khôi phục các file này trong trường hợp nếu máy tính bị nhiễm phần mềm độc hại, nếu bạn dùng gmail, bạn tham khảo cách sao lưu gmail tại đây
Mặc dù tính năng mới trong GandCrab không hoạt động tốt trên tất cả các hệ thống được nhắm mục tiêu. Tuy nhiên ransomware này đang được triển khai tích cực, làm cho chiến dịch phần mềm độc hại còn nguy hiểm hơn.
WhatsApp là một phần mềm nhắn tin, trò chuyện vô cùng phổ biến trên toàn thế giới. Nếu bạn đang sử dụng phần mềm này, bạn sẽ cần phải chú ý có một loại tin nhắn văn bản này khiến WhatsApp trên thiết bị Android bị treo trong một thời gian ngắn.