Cảnh báo loại biến thể ransomware Locky mới nguy hiểm và tinh vi hơn nhiều

Locky là một trong những loại ransomware nguy hiểm nhất hiện nay. Cũng giống như WannaCry và Petya, các cuộc tấn công của ransomware Locky xảy ra ngày càng nhiều. Mới đây nhà nghiên cứu Cylance đã cảnh báo một loại biến thể ransomware Locky mới nguy hiểm và tinh vi hơn nhiều

Một số vụ tấn công nổi tiếng nhất liên quan đến Locky chủ yếu là cuộc tấn công vào các dịch vụ cốt lõi, bao gồm cả các bệnh viện ở Mỹ.

Vào hồi tháng 2/2016, Locky đã làm gián đoạn Trung tâm chăm sóc sức khỏe Presbyterian ở Hollywood (Mỹ), trung tâm đã phải tuyên bố "tình trạng khẩn cấp" vì các hệ thống, cơ sở dữ liệu và thông tin quan trọng của trung tâm và các nhân viên đều bị mã hóa và bị khóa.

canh bao ransomware locky moi nguy hiem va tinh vi hon

Cảnh báo loại biến thể ransomware Locky mới nguy hiểm và tinh vi hơn nhiều

Các bệnh viện dựa trên hồ sơ điện tử để chăm sóc bệnh nhân và sắp xếp mọi thứ từ các cuộc hẹn đến các hoạt động chăm sóc cũng phải đối mặt với sự gián đoạn thảm khốc trong quá trình sao lưu dữ liệu, và buộc phải thanh toán 17.000 USD trong Bitcoin để mở khóa dữ liệu.

Locky cũng liên quan đến một chiến dịch ransomware xảy ra vào hồi tháng 8 năm nay, trong đó có tới 23 triệu email lừa đảo được gửi chỉ trong vòng 24 giờ.

Theo một nghiên cứu mới của Cylance đã phát hiện một biến thể Locky tương đối mới có tên gọi là Diablo6, được tinh chỉnh để các ứng dụng diệt virus truyền thống cũng như người dùng cuối không thể phát hiện và loại bỏ.

Trong một bài đăng trên blog, nhóm nghiên cứu cho biết Diablo6 sẽ thực hiện một cuộc tấn công trong 2 giai đoạn. Giai đoạn đầu tiên là một vector tấn công điển hình cho ransomware - email lừa đảo trực tuyến chứa kho lưu trữ .zip biến thể Locky mới.

Các email này sẽ giả mạo là email hợp lệ và thực chất các file đính kèm là các file chứa file VBS, khi được mở và giải nén, nó sẽ cố gắng kết nối với máy chủ Command- and-Control (C&C) của Locky để được hướng dẫn.

canh bao ransomware locky moi nguy hiem va tinh vi hon 2

Biến thể ransomware Locky mới nguy hiểm và tinh vi hơn

Nếu kết nối thành công, script VBS sẽ tải về ransomware. Tuy nhiên nếu giai đoạn này bị thất bại, máy chủ sao lưu C&C sẽ cố gắng tải payload lên.

Từ "enterprise" (doanh nghiệp) được sử dụng trong quá trình kết nối để người dùng nghĩ rằng nó là một loại tiện ích kinh doanh hợp pháp. Đồng thời, script VBS sử dụng một chuỗi để phân chia và tải các lệnh thực. Sau đó tải payload và lưu trữ trong thư mục tạm thời trước khi thực thi và mã hóa các file.

canh bao ransomware locky moi nguy hiem va tinh vi hon 3

Cảnh báo loại biến thể ransomware Locky mới nguy hiểm và tinh vi hơn nhiều

Ransomware Locky Diablo6 nhắm mục tiêu tất cả các loại file để mã hóa, bao gồm cả hình ảnh, video, các bản sao lưu và file nén zip. Sau khi quá trình mã hóa kết thúc, trên màn hình nạn nhân sẽ hiển thị thông báo thanh toán một khoản tiền chuộc và script mã hóa sẽ tự xóa.

Các tên miền (domain) kết nối với địa chỉ email mail.com đã được kết nối với Locky, và tổng cộng có 333 tên miền được đăng ký vào năm 2016 và gần đây là vào tháng 10 năm nay.

Các nhà nghiên cứu đang sử dụng các tên miền được đăng ký để theo dõi ransomware Locky, nó có thể liên quan đến cả các loại ransomware khác.

"Trong một số trường hợp, kẻ tấn công có thể thực hiện những thay đổi nhỏ trong mã của họ để lưu trữ mã độc hại của họ cho người dùng cuối vì đó cũng là lúc mà kẻ tấn công phát tán mã độc", Cylance nói.

"Rất có thể đây là vụ tấn công của ransomware Locky. Không cần làm gì nhiều, kẻ tấn công đứng sau Locky chỉ cần tinh chỉnh một phần duy nhất của quá trình mà người dùng cuối không bao giờ có thể sửa được".

Nói cách khác khi phần mềm độc hại đủ mạnh để tạo các thu nhập giả mạo, các vector tấn công mới, chẳng hạn như một loạt các chiến dịch email đã được tạo ra, là tất cả những gì cần thiết để giữ các hoạt động trái phép tồn tại.

Tháng này, nhà nghiên cứu Matthew Mesa của ProofPoint cũng phát hiện ra một loại ransomware mới, được mệnh danh là GIBON, một chủng mới sử dụng macro được nhúng trong các tài liệu độc hại để lây lan thông qua các chiến dịch lừa đảo để khóa máy tính người dùng lại. Tuy nhiên, vì đây là ransomware mới những được cho là biến thể của một trong những Top ransomware nguy hiểm nhất mọi thời đại Locky, nên chúng ta chưa thể biết được mục tiêu của nó, mục tiêu nhân khẩu học, hoặc nguồn gốc của ransomware này.

https://thuthuat.taimienphi.vn/canh-bao-ransomware-locky-moi-nguy-hiem-va-tinh-vi-hon-29112n.aspx
Để phòng các trường hợp xấu nhất xảy ra, các bạn nên tải và sử dụng một phần mềm diệt virus cho máy tính của mình, hiện có rất nhiều phần mềm diệt virus như KIS, BKAV để bạn lựa chọn.

Tác giả: Thuỳ Dương     (4.0★- 14 đánh giá)  ĐG của bạn?

  

Bài viết liên quan

Cách tắt, chặn quảng cáo trên Avira Free AntiVirus
Xử lý lỗi không cập nhật dữ liệu trên Avira Free AntiVirus
Tắt âm thanh diệt virus trên Avira, tắt tiếng Avira Free AntiVirus phát ra khi diệt Virus
Bật chế độ bảo vệ máy tính trong thời gian thực trên Avira Free Antivirus
Avira Free Antivirus 15.0.2003.1821 - Phần mềm diệt virus đáng tin cậy
Từ khoá liên quan:

biến thể ransomware Locky mới

, cảnh báo biến thể ransomware Locky mới , Diablo6,

SOFT LIÊN QUAN
  • Avira Free AntiVirus

    Phần mềm diệt virus và loại bỏ phần tử độc hại

    Avira Free Antivirus là giải pháp tuyệt vời để bảo vệ máy tính của bạn trước các mối đe dọa mạng, virus, và các loại tấn công trực tuyến khác. Phần mềm diệt virus này sử dụng công nghệ quét mạnh mẽ để phát hiện và loại bỏ các loại virus, các phần mềm độc hại hoặc những website lừa đảo. Đặc biệt tính năng quét tự động được lập trình sẵn trên phần mềm giúp đảm bảo rằng hệ thống của bạn luôn được bảo vệ.

Tin Mới

  • Bing Translator - Dịch nhanh văn bản trên Word

    Bạn có thể dịch văn bản trực tiếp trong Word bằng công cụ Bing Translator, giúp tiết kiệm thời gian mở các phần mềm dịch khác. Cách dịch nhanh văn bản trên Word bằng Bing Translator sẽ được Taimienphi.vn hướng dẫn cụ

  • Adobe sắp phát hành Photoshop phiên bản web miễn phí cho tất cả người dùng

    Adobe hiện đang thử nghiệm phiên bản Photoshop Online miễn phí cho tất cả người dùng. Bản dùng thử hiện giới hạn cho người dùng ở Canada nhưng sẽ sớm mở rộng cho người dùng ở các khu vực khác. Hiện tại người dùng ở Canada có thể truy cập Photoshop trên web thông qua tài khoản Adobe miễn phí.

  • Facebook Messenger có phiên bản trên Web rất tiện dụng

    Ngay từ lúc ra mắt, Facebook Messenger phiên bản web đã được nhiều người lựa chọn bởi tính năng tiện dụng, đáp ứng được người dùng. Thay vì truy cập vào Facebook, bạn hoàn toàn có thể sử dụng trò chuyện dễ dàng. Chúng ta cùng trải nghiệm phiên bản Facebook Messenger trên Web này nhé.

  • Cách quay nhanh spins Coin Master, quay nhiều một lúc

    Bet là một tính năng mới trong Coin Master giúp người chơi quay nhanh được nhiều spin Coin Master hơn, số phần thưởng cũng được nhân lên sau khi hoàn thanhd. Càng nhiều Spins trong kho, bạn càng có thể đặt cược cao hơn.