Home / Security / Mã độc Locky, những gì bạn cần biết

Mã độc Locky, những gì bạn cần biết

locky-ransom.jpg

Locky”, một cái tên nghe có vẻ khá hay.

Nhưng nó cũng là biệt danh của một loại mới trong các loại mã độc ransomware – virut mã hoá dữ liệu quan trong của người dùng để đòi tiền chuộc, gọi như thế vì nó sẽ đổi định dạng tất cả các file quan trọng thành đuôi *.locky

Và tất nhiên, bạn không thể đổi tên theo cách bình thường để có thể sử dụng được file đó, nó đã bị mã hoá và kẻ giữ chìa khoá không chính là kẻ gian đang đòi tiền chuộc.

Bạn có thể mua khoá để giải mã từ những kẻ lừa đảo thông qua 1 trang gọi là “dark web”

Cái giá của nó rơi vào tầm khoảng từ 0.5 – 1 Bitcoin(BTC), giá trị của 1 BTC = 400 USD

locky-ransom1.jpg

Cách phổ biến nhất để “locky” xâm nhập:

  • · Bạn sẽ nhận được email, đính kèm 1 file tài liệu (Troj/DocDl-BCF)
  • · Tài liệu đó trông thật vô lý, chứa những ký tự không thể hiểu được
  • · Tài liệu sẽ đề nghị bạn cho phép macros nếu “không thể đọc được”
  • · Nếu bạn đồng ý macros, nó sẽ không thực sự sửa văn bản, thay vào đó nó sẽ chạy các đoạn mã độc bên trong tài liệu để cài đặt 1 file trên ổ đĩa hiện hành
  • · File mới được tạo ở trên (Troj/Ransom-CGX) sẽ tạo liên kết để tải virut về máy
  • · File mới được tải lần này chính thức là “Locky”.

Locky sẽ tấn công tất cả các file nằm trong danh sách của nó : videos, hình ảnh, mã nguồn, tập tin văn bản …

Locky cũng sẽ tấn công BTC của người dùng, nếu nó có trong máy

**Các Bitcoin thường được lưu trữ tại ổ cứng dưới dạng wallet.dat

Locky cũng sẽ loại bỏ mọi dịch vụ Volume Snapshot Service (VSS) hay còn được biết đến “shadow copy”, vì thế bạn không thể khôi phục lại dữ liệu được.

Khi Locky đã hoàn thành công việc của mình, nó sẽ đòi tiền chuộc của bạn, và để đảm bảo điều đó, nó sẽ thay đổi hình nền ngoài màn hình chính của bạn

Sau khi vào các trang “dark web” – các trang web kẻ lừa đảo tạo ra, nó sẽ hướng dẫn cho bạn cách thanh toán như hình ở trên.

image

Thật không may, chúng ta không thể làm được gì nếu không có 1 kế hoạch sao lưu đầy đủ.

Nên nhớ rằng, Locky không chỉ tấn công ổ đĩa hệ thống (thường là C:), nó sẽ tấn công tới tất cả các tập tin, thư mục, phân vùng, kể cả USB, hệ thống mạng mà nó có khả năng đi qua, có thể là cả máy chủ và các máy tính khác ( Windows, Mac OSX, Linux).

Nếu bạn sử dụng máy chủ DC và đăng nhập như quyền admin, Locky sẽ có quyền đi tới tất cả các client trong domain. Khi đó thiệt hại sẽ không thể tưởng tượng nổi.

Đừng đăng nhập dưới quyền của admin nếu bạn cảm thấy thực sự cần thiết.

CHÚNG TA NÊN LÀM GÌ?

  • · Sao lưu thường xuyên và giữ 1 bản ở xa hệ thống. Có hàng chục cách mà dữ liệu của bạn bị mất, hỏng ổ cứng, tai nạt, locky… tất cả chúng gọi là thảm hoạ dữ liệu, vì thế luôn thực hiện sao lưu thường xuyên. Nếu bạn lo ngại về độ bảo mật thì hãy mã hoá các bản sao lưu đó.
  • · Không bật « macro » khi nhận 1 tài liệu lạ. Tại sao Microsoft lại tắt « macro » mặc định, đó là để bảo vệ bạn.Vì vậy, hãy cẩn trọng với những tài liệu lạ.
  • · Cẩn trọng với những file đính kèm không được yêu cầu. Nó có thể là bất cứ gì
  • · Dùng quyền admin đúng cách. Đây là điều quan trọng nhất, đừng bao giờ xài quyền admin khi không cần thiết.
  • · Xem xét cài đặt Microsoft Viewer. Ứng dụng của Microsoft cho phép bạn xem file văn bản mà không cần phải dùng Word, Excel để mở ra. Vì thế, bạn không thể mắc sai lầm mà bật “macros”.
  • · Thường xuyên cập nhật ứng dụng để vá các lỗ hổng bảo mật.
  • Sử dụng phần mềm antivirus và cập nhật thường xuyên, có thể sử dụng anti-virus Sophos miễn phí

Leave a Reply

Thư điện tử của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *