Cảnh báo loại biến thể ransomware Locky mới nguy hiểm và tinh vi hơn nhiều

Locky là một trong những loại ransomware nguy hiểm nhất hiện nay. Cũng giống như WannaCry và Petya, các cuộc tấn công của ransomware Locky xảy ra ngày càng nhiều. Mới đây nhà nghiên cứu Cylance đã cảnh báo một loại biến thể ransomware Locky mới nguy hiểm và tinh vi hơn nhiều

Một số vụ tấn công nổi tiếng nhất liên quan đến Locky chủ yếu là cuộc tấn công vào các dịch vụ cốt lõi, bao gồm cả các bệnh viện ở Mỹ.

Vào hồi tháng 2/2016, Locky đã làm gián đoạn Trung tâm chăm sóc sức khỏe Presbyterian ở Hollywood (Mỹ), trung tâm đã phải tuyên bố "tình trạng khẩn cấp" vì các hệ thống, cơ sở dữ liệu và thông tin quan trọng của trung tâm và các nhân viên đều bị mã hóa và bị khóa.

canh bao ransomware locky moi nguy hiem va tinh vi hon

Cảnh báo loại biến thể ransomware Locky mới nguy hiểm và tinh vi hơn nhiều

Các bệnh viện dựa trên hồ sơ điện tử để chăm sóc bệnh nhân và sắp xếp mọi thứ từ các cuộc hẹn đến các hoạt động chăm sóc cũng phải đối mặt với sự gián đoạn thảm khốc trong quá trình sao lưu dữ liệu, và buộc phải thanh toán 17.000 USD trong Bitcoin để mở khóa dữ liệu.

Locky cũng liên quan đến một chiến dịch ransomware xảy ra vào hồi tháng 8 năm nay, trong đó có tới 23 triệu email lừa đảo được gửi chỉ trong vòng 24 giờ.

Theo một nghiên cứu mới của Cylance đã phát hiện một biến thể Locky tương đối mới có tên gọi là Diablo6, được tinh chỉnh để các ứng dụng diệt virus truyền thống cũng như người dùng cuối không thể phát hiện và loại bỏ.

Trong một bài đăng trên blog, nhóm nghiên cứu cho biết Diablo6 sẽ thực hiện một cuộc tấn công trong 2 giai đoạn. Giai đoạn đầu tiên là một vector tấn công điển hình cho ransomware - email lừa đảo trực tuyến chứa kho lưu trữ .zip biến thể Locky mới.

Các email này sẽ giả mạo là email hợp lệ và thực chất các file đính kèm là các file chứa file VBS, khi được mở và giải nén, nó sẽ cố gắng kết nối với máy chủ Command- and-Control (C&C) của Locky để được hướng dẫn.

canh bao ransomware locky moi nguy hiem va tinh vi hon 2

Biến thể ransomware Locky mới nguy hiểm và tinh vi hơn

Nếu kết nối thành công, script VBS sẽ tải về ransomware. Tuy nhiên nếu giai đoạn này bị thất bại, máy chủ sao lưu C&C sẽ cố gắng tải payload lên.

Từ "enterprise" (doanh nghiệp) được sử dụng trong quá trình kết nối để người dùng nghĩ rằng nó là một loại tiện ích kinh doanh hợp pháp. Đồng thời, script VBS sử dụng một chuỗi để phân chia và tải các lệnh thực. Sau đó tải payload và lưu trữ trong thư mục tạm thời trước khi thực thi và mã hóa các file.

canh bao ransomware locky moi nguy hiem va tinh vi hon 3

Cảnh báo loại biến thể ransomware Locky mới nguy hiểm và tinh vi hơn nhiều

Ransomware Locky Diablo6 nhắm mục tiêu tất cả các loại file để mã hóa, bao gồm cả hình ảnh, video, các bản sao lưu và file nén zip. Sau khi quá trình mã hóa kết thúc, trên màn hình nạn nhân sẽ hiển thị thông báo thanh toán một khoản tiền chuộc và script mã hóa sẽ tự xóa.

Các tên miền (domain) kết nối với địa chỉ email mail.com đã được kết nối với Locky, và tổng cộng có 333 tên miền được đăng ký vào năm 2016 và gần đây là vào tháng 10 năm nay.

Các nhà nghiên cứu đang sử dụng các tên miền được đăng ký để theo dõi ransomware Locky, nó có thể liên quan đến cả các loại ransomware khác.

"Trong một số trường hợp, kẻ tấn công có thể thực hiện những thay đổi nhỏ trong mã của họ để lưu trữ mã độc hại của họ cho người dùng cuối vì đó cũng là lúc mà kẻ tấn công phát tán mã độc", Cylance nói.

"Rất có thể đây là vụ tấn công của ransomware Locky. Không cần làm gì nhiều, kẻ tấn công đứng sau Locky chỉ cần tinh chỉnh một phần duy nhất của quá trình mà người dùng cuối không bao giờ có thể sửa được".

Nói cách khác khi phần mềm độc hại đủ mạnh để tạo các thu nhập giả mạo, các vector tấn công mới, chẳng hạn như một loạt các chiến dịch email đã được tạo ra, là tất cả những gì cần thiết để giữ các hoạt động trái phép tồn tại.

Tháng này, nhà nghiên cứu Matthew Mesa của ProofPoint cũng phát hiện ra một loại ransomware mới, được mệnh danh là GIBON, một chủng mới sử dụng macro được nhúng trong các tài liệu độc hại để lây lan thông qua các chiến dịch lừa đảo để khóa máy tính người dùng lại. Tuy nhiên, vì đây là ransomware mới những được cho là biến thể của một trong những Top ransomware nguy hiểm nhất mọi thời đại Locky, nên chúng ta chưa thể biết được mục tiêu của nó, mục tiêu nhân khẩu học, hoặc nguồn gốc của ransomware này.

https://thuthuat.taimienphi.vn/canh-bao-ransomware-locky-moi-nguy-hiem-va-tinh-vi-hon-29112n.aspx
Để phòng các trường hợp xấu nhất xảy ra, các bạn nên tải và sử dụng một phần mềm diệt virus cho máy tính của mình, hiện có rất nhiều phần mềm diệt virus như KIS, BKAV để bạn lựa chọn.

Tác giả: Thuỳ Dương     (4.0★- 14 đánh giá)  ĐG của bạn?

  

Bài viết liên quan

Cách tắt, chặn quảng cáo trên Avira Free AntiVirus
Bật chế độ bảo vệ máy tính trong thời gian thực trên Avira Free Antivirus
Avira Free Antivirus 15.0.2003.1821 - Phần mềm diệt virus đáng tin cậy
Xử lý lỗi không cập nhật dữ liệu trên Avira Free AntiVirus
Tắt âm thanh diệt virus trên Avira, tắt tiếng Avira Free AntiVirus phát ra khi diệt Virus
Từ khoá liên quan:

biến thể ransomware Locky mới

, cảnh báo biến thể ransomware Locky mới , Diablo6,

SOFT LIÊN QUAN
  • Avira Free AntiVirus

    Phần mềm diệt virus và loại bỏ phần tử độc hại

    Avira Free AntiVirus là phần mềm diệt virus và ngăn chặn phần mềm độc hại hiệu quả trên nền tảng PC và Mac giúp bạn bảo vệ và giữ gìn sự riêng tư cho các dữ liệu hệ thống. Avira Free AntiVirus mang đến nhiều chế độ quét theo yêu cầu, lên lịch để quét tự động, chặn gián điệp và các phần mềm lừa đảo trực tuyến để người dùng yên tâm hơn khi duyệt web.

Tin Mới

  • Microsoft phát hành bản cập nhật tùy chọn để loại bỏ Adobe Flash ra khỏi Windows

    Vào tháng 9 vừa qua, Microsoft đã nhắc nhở người dùng về việc loại bỏ Flash ra khỏi trình duyệt Edge và Windows, đồng thời tuyên bố rằng công ty sẽ phát hành một bản cập nhật tùy chọn vào cuối thu này để "khai tử" Adobe Flash Player hoàn toàn trên hệ điều hành. Như đã hứa, gã khổng lồ Redmond đã cung cấp bản cập nhật tùy chọn đó để download thông qua Microsoft Update Catalog.

  • Skype Insider Preview hiện hỗ trợ cuộc gọi với 100 người tham gia

    Phiên bản Skype Insider Preview hiện hỗ trợ lên tới 100 người tham gia một cuộc gọi. Bản cập nhật tăng gấp đôi giới hạn trước đây là 50, giúp các nhóm người có nhiều thành viên thực hiện cuộc gọi dễ dàng hơn. Bản cập nhật đưa Skype lên phiên bản Insider 8.66 và cũng bao gồm một số bản sửa lỗi.

  • Microsoft cuối cùng cũng bắt đầu khai tử Internet Explorer

    Sau 25 năm, Microsoft cuối cùng cũng đã từ bỏ trình duyệt từng là hàng đầu của mình - Internet Explore. Thay vào đó, gã khổng lồ công nghệ đang tập trung vào trình duyệt Microsoft Edge dựa trên Chomium mới.

  • Nêu ý nghĩa nhan đề Thuế máu

    Thuế máu của chủ tịch Hồ Chí Minh là nhan đề ấn tượng, gợi nhiều liên tưởng sâu sắc, không chỉ gợi mở nội dung của văn bản mà còn thể hiện thái độ của tác giả trước sự bất nhân của thực dân đối với nhân dân thuộc địa. Cùng nêu ý nghĩa nhan đề Thuế máu để tìm hiểu về ý nghĩa nhan đề, qua đó giúp cho việc phân tích bài Thuế máu được hiệu quả hơn.


 Mùa hè tới rồi muốn so sánh giá tìm điều hòa giá rẻ nhất thị trường hãy dùng TopGia để so sanh gia có nhiều mẫu dieu hoa để so sanh sanh, xem dieu hoagiá rẻ để so sánh giá