Cảnh báo loại biến thể ransomware Locky mới nguy hiểm và tinh vi hơn nhiều

Locky là một trong những loại ransomware nguy hiểm nhất hiện nay. Cũng giống như WannaCry và Petya, các cuộc tấn công của ransomware Locky xảy ra ngày càng nhiều. Mới đây nhà nghiên cứu Cylance đã cảnh báo một loại biến thể ransomware Locky mới nguy hiểm và tinh vi hơn nhiều

Một số vụ tấn công nổi tiếng nhất liên quan đến Locky chủ yếu là cuộc tấn công vào các dịch vụ cốt lõi, bao gồm cả các bệnh viện ở Mỹ.

Vào hồi tháng 2/2016, Locky đã làm gián đoạn Trung tâm chăm sóc sức khỏe Presbyterian ở Hollywood (Mỹ), trung tâm đã phải tuyên bố "tình trạng khẩn cấp" vì các hệ thống, cơ sở dữ liệu và thông tin quan trọng của trung tâm và các nhân viên đều bị mã hóa và bị khóa.

canh bao ransomware locky moi nguy hiem va tinh vi hon

Cảnh báo loại biến thể ransomware Locky mới nguy hiểm và tinh vi hơn nhiều

Các bệnh viện dựa trên hồ sơ điện tử để chăm sóc bệnh nhân và sắp xếp mọi thứ từ các cuộc hẹn đến các hoạt động chăm sóc cũng phải đối mặt với sự gián đoạn thảm khốc trong quá trình sao lưu dữ liệu, và buộc phải thanh toán 17.000 USD trong Bitcoin để mở khóa dữ liệu.

Locky cũng liên quan đến một chiến dịch ransomware xảy ra vào hồi tháng 8 năm nay, trong đó có tới 23 triệu email lừa đảo được gửi chỉ trong vòng 24 giờ.

Theo một nghiên cứu mới của Cylance đã phát hiện một biến thể Locky tương đối mới có tên gọi là Diablo6, được tinh chỉnh để các ứng dụng diệt virus truyền thống cũng như người dùng cuối không thể phát hiện và loại bỏ.

Trong một bài đăng trên blog, nhóm nghiên cứu cho biết Diablo6 sẽ thực hiện một cuộc tấn công trong 2 giai đoạn. Giai đoạn đầu tiên là một vector tấn công điển hình cho ransomware - email lừa đảo trực tuyến chứa kho lưu trữ .zip biến thể Locky mới.

Các email này sẽ giả mạo là email hợp lệ và thực chất các file đính kèm là các file chứa file VBS, khi được mở và giải nén, nó sẽ cố gắng kết nối với máy chủ Command- and-Control (C&C) của Locky để được hướng dẫn.

canh bao ransomware locky moi nguy hiem va tinh vi hon 2

Biến thể ransomware Locky mới nguy hiểm và tinh vi hơn

Nếu kết nối thành công, script VBS sẽ tải về ransomware. Tuy nhiên nếu giai đoạn này bị thất bại, máy chủ sao lưu C&C sẽ cố gắng tải payload lên.

Từ "enterprise" (doanh nghiệp) được sử dụng trong quá trình kết nối để người dùng nghĩ rằng nó là một loại tiện ích kinh doanh hợp pháp. Đồng thời, script VBS sử dụng một chuỗi để phân chia và tải các lệnh thực. Sau đó tải payload và lưu trữ trong thư mục tạm thời trước khi thực thi và mã hóa các file.

canh bao ransomware locky moi nguy hiem va tinh vi hon 3

Cảnh báo loại biến thể ransomware Locky mới nguy hiểm và tinh vi hơn nhiều

Ransomware Locky Diablo6 nhắm mục tiêu tất cả các loại file để mã hóa, bao gồm cả hình ảnh, video, các bản sao lưu và file nén zip. Sau khi quá trình mã hóa kết thúc, trên màn hình nạn nhân sẽ hiển thị thông báo thanh toán một khoản tiền chuộc và script mã hóa sẽ tự xóa.

Các tên miền (domain) kết nối với địa chỉ email mail.com đã được kết nối với Locky, và tổng cộng có 333 tên miền được đăng ký vào năm 2016 và gần đây là vào tháng 10 năm nay.

Các nhà nghiên cứu đang sử dụng các tên miền được đăng ký để theo dõi ransomware Locky, nó có thể liên quan đến cả các loại ransomware khác.

"Trong một số trường hợp, kẻ tấn công có thể thực hiện những thay đổi nhỏ trong mã của họ để lưu trữ mã độc hại của họ cho người dùng cuối vì đó cũng là lúc mà kẻ tấn công phát tán mã độc", Cylance nói.

"Rất có thể đây là vụ tấn công của ransomware Locky. Không cần làm gì nhiều, kẻ tấn công đứng sau Locky chỉ cần tinh chỉnh một phần duy nhất của quá trình mà người dùng cuối không bao giờ có thể sửa được".

Nói cách khác khi phần mềm độc hại đủ mạnh để tạo các thu nhập giả mạo, các vector tấn công mới, chẳng hạn như một loạt các chiến dịch email đã được tạo ra, là tất cả những gì cần thiết để giữ các hoạt động trái phép tồn tại.

Tháng này, nhà nghiên cứu Matthew Mesa của ProofPoint cũng phát hiện ra một loại ransomware mới, được mệnh danh là GIBON, một chủng mới sử dụng macro được nhúng trong các tài liệu độc hại để lây lan thông qua các chiến dịch lừa đảo để khóa máy tính người dùng lại. Tuy nhiên, vì đây là ransomware mới những được cho là biến thể của một trong những Top ransomware nguy hiểm nhất mọi thời đại Locky, nên chúng ta chưa thể biết được mục tiêu của nó, mục tiêu nhân khẩu học, hoặc nguồn gốc của ransomware này.

https://thuthuat.taimienphi.vn/canh-bao-ransomware-locky-moi-nguy-hiem-va-tinh-vi-hon-29112n.aspx
Để phòng các trường hợp xấu nhất xảy ra, các bạn nên tải và sử dụng một phần mềm diệt virus cho máy tính của mình, hiện có rất nhiều phần mềm diệt virus như KIS, BKAV để bạn lựa chọn.

Tác giả: Thuỳ Dương     (4.0★- 14 đánh giá)  ĐG của bạn?

  

Bài viết liên quan

Cách tắt, chặn quảng cáo trên Avira Free AntiVirus
Bật chế độ bảo vệ máy tính trong thời gian thực trên Avira Free Antivirus
Avira Free Antivirus 15.0.2003.1821 - Phần mềm diệt virus đáng tin cậy
Xử lý lỗi không cập nhật dữ liệu trên Avira Free AntiVirus
Tắt âm thanh diệt virus trên Avira, tắt tiếng Avira Free AntiVirus phát ra khi diệt Virus
Từ khoá liên quan:

biến thể ransomware Locky mới

, cảnh báo biến thể ransomware Locky mới , Diablo6,

SOFT LIÊN QUAN
  • Avira Free AntiVirus

    Phần mềm diệt virus và loại bỏ phần tử độc hại

    Avira Free AntiVirus là phần mềm diệt virus tích hợp những công nghệ tiên tiến cùng với lịch trình quét tự động giúp cho hệ thống của bạn được bảo vệ mọi lúc, là giải pháp bảo mật và diệt virus đơn giản mà hiệu quả cho hệ thống. Avira Free AntiVirus đảm bảo an toàn cho máy tính cá nhân trước những hiểm họa tiềm ẩn khi duyệt web hay các loại virus lây lan qua USB và những thiết bị lưu trữ khác.

Tin Mới

  • TikTok "lấn sân" sang lĩnh vực game và đang thử nghiệm tại Việt Nam

    Reuters đưa tin TikTok đang thử nghiệm các tựa game mobile trên ứng dụng cho người dùng ở Việt Nam. TikTok hy vọng động thái này của hãng sẽ giúp tăng doanh thu quảng cáo và khuyến khích người dùng tích cực hàng tháng dành nhiều thời gian cho ứng dụng.

  • Microsoft mang Teams lên cửa hàng Microsoft Store

    Như đã hứa, hôm nay Microsoft đã mang Teams lên cửa hàng Microsoft Store. Như vậy sau hơn 2 năm kể từ khi được ra mắt, Microsoft Teams cuối cùng cũng đã có sẵn trên kho ứng dụng đáng lẽ ra phải được đưa lên ngay từ đầu.

  • Netflix sắp có tính năng Livestream?

    Theo Deadline, Netflix đang lên kế hoạch triển khai tính năng livestream cho các chương trình hài kịch đặc biệt của hãng. Trả lời với khách hàng của mình, Netflix cho biết tính năng livestream đang trong giai đoạn đầu phát triển.

  • Tổng hợp Code Archero mới nhất

    Ngay trong bài viết này, Taimienphi đã liệt kê tất cả các mã GifCode miễn phí có sẵn cho trò chơi Archero bên dưới. Người chơi có thể nhập những mã Code Archero để lấy Đá Quý miễn phí, tiền xu, chìa khóa vàng, năng lượng, vật nuôi, phiếu giảm giá, vé, mảnh anh hùng và các phần thưởng khác của game.


 Mùa hè tới rồi muốn so sánh giá tìm điều hòa giá rẻ nhất thị trường hãy dùng TopGia để so sanh gia có nhiều mẫu dieu hoa để so sanh sanh, xem dieu hoagiá rẻ để so sánh giá