Bảo vệ máy tính ngay trước sự trở lại của 2 ransomware cực nguy hiểm

Ransomare mới hoạt động được một vài năm nhưng nó đã lan rộng ra khắp mọi nơi, từ các doanh nghiệp lớn và các tổ chức tài chính cho tới các bệnh viện và người dùng cá nhân trên toàn thế giới - với các tội phạm mạng kiếm hàng triệu đô.

Trong vài tháng vừa qua, chúng ta đã chứng kiến hàng loạt các cuộc tấn công ransomware đáng sợ bao gồm WannaCry, Petya và LeakerLocker gây hỗn loạn thế giới mạng, khiến nhiều bệnh viện, công ty viễn thông, ngân hàng phải tạm thời đóng cửa.

Trước WannaCry và Petya, các ransomware mã hóa mang tên Mamba và Locky đã gây ra sự hỗn loạn toàn cầu vào năm ngoái. Tin cực xấu là, hiện nay, chúng đã trở lại với những biến thể mới gây thiệt hại lớn hơn bao giờ hết.

• Cách sử dụng Kaspersky Anti-Ransomware Tool for Business
• Tổng hợp những phần mềm Anti-Ransomware hiệu quả
• Viễn cảnh đáng sợ về sự lây lan của mã độc GhostCtrl trên thiết bị Android

Diablo6: Biến thể mới của Locky

Xuất hiện lần đầu tiên vào năm 2016, Locky là một trong những ransomware có mức lây lan lớn nhất, lây nhiễm các tổ chức trên toàn cầu.

Bằng cách lừa nạn nhân nhấp vào tệp đính kèm chứa mã độc, Locky sẽ mã hóa hầu hết các định dạng tệp tin trên máy tính và mạng của nạn nhân, đồng thời mở khóa chúng cho tới khi tiền chuộc dạng Bitcoin được trả cho những kẻ tấn công.

Ransomware này đã trở lại với nhiều biến thể và được phân phối thông qua mạng botnet Necurs và Dridex.

Các nhà nghiên cứu bảo mật đã phát hiện ra chiến dịch malware mới, phân phối biến thể mới của Locfaky có tên Diablo6 và nhắm mục tiêu vào các máy tính trên toàn thế giới. Một nhà nghiên cứu bảo mật độc lập sử dụng bí danh là Racco42 đã phát hiện ra biến thể mới của Locky đầu tiên có thể mã hóa các file trên máy tính bị nhiễm vào gắn vào tập tin mở rộng có đuôi .diablo6.

Biến thể của ransomware này xuất hiện trên email có chứa file Microsoft Word dưới dạng file đính kèm. Khi mở ra, một tập lệnh VBS Downloader sẽ được thực hiện và cố gắng tải xuống Locky Diablo6 từ một file server từ xa.

Sau đó, các ransomware này sẽ mã hóa các tập tin bằng cách sử dụng key RSA-2048 (thuật toán mã hóa AES CBC 256-bit) trên máy tính bị nhiễm trước khi hiển thị thông báo hướng dẫn nạn nhân tải về, cài đặt trình duyệt Tor và truy cập trang web của kẻ tấn công để được hướng dẫn và thanh toán. Biến thể Locky Diablo6 đòi hỏi khoản tiền từ 0,49 Bitcoin (tức là hơn 2,079 USD) từ nạn nhân để lấy lại dữ liệu.

Rất tiếc là tại thời điểm hiện tại, chúng ta không thể khôi phục các file được mã hóa bằng phần mở rộng .Diablo6 nên người dùng cần thận trọng khi mở các tệp đính kèm email.

Sự trở lại của ransomware Mamba

Mamba là một loại ransomware khác cũng mạnh và nguy hiểm không kém. Nó có khả năng mã hóa toàn bộ ổ cứng trên máy tính bị nhiễm thay vì chỉ là các file khiến hệ thống không thể sử dụng được trừ khi được trả tiền chuộc.

Cuối năm ngoái, Mamba đã tấn công hệ thống mạng của Cơ quan vận tải thành phố San Francisco (MUNI) vào ngày cuối tuần của Lễ tạ ơn, gây ra sự trì hoãn lớn cho các chuyến tàu và buộc các cơ quan chức năng phải tạm tắt máy bán vé và cửa thu vé tại một số trạm.

Hiện nay, các nhà nghiên cứu bảo mật của Kaspersky Lab đã phát hiện ra chiến dịch mới phân phối sự lây nhiễm của Mamba, nhắm mục tiêu vào hệ thống mạng ở một số nước như Brazil và Saudi Arabia.

Mamba sử dụng tiện tích mã hóa Windows nguồn mở hợp pháp có tên là DiskCryptor để khóa hoàn toàn các ổ cứng máy tính của các tổ chức bị nhắm mục tiêu. Do đó, không có cách nào để giải mã dữ liệu bởi các thuật toán mã hóa được sử dụng bởi DiskCryptor cực kì mạnh.

Thông báo hiển thị trên màn hình bị nhiễm cho biết ổ cứng của nạn nhân đã bị mã hóa đồng thời cung cấp 2 địa chỉ email và số ID duy nhất để mở khóa.

Cách bảo vệ máy tính khỏi các cuộc tấn công từ ransomware

Ransomware đã trở thành một trong những mối đe dọa lớn nhất không chỉ đối với cá nhân mà cả doanh nghiệp.

Hiện tại, không có trình giải mã nào có sẵn để mở khóa dữ liệu từ Mamba và Locky, do đó người dùng nên thực hiện theo các biện pháp phòng ngừa dưới đây để bảo vệ chính bản thân mình.

• Làm thế nào để loại bỏ tận gốc virus *.OSIRIS - Ransomware Locky?

Cẩn thận với những email lừa đảo: Luôn tỉnh táo trước những email "không mời mà đến" và không bao giờ nhấp vào liên kết bên trong các email đó trừ khi xác minh được nguồn gửi.

Sao lưu dữ liệu thường xuyên: Để nắm bắt chặt chẽ các tệp cũng như tài liệu quan trọng, hãy sao lưu dữ liệu thường xuyên đồng thời lưu trữ trên thiết bị bên ngoài máy tính.

Luôn cập nhật phần mềm diệt virus và hệ thống: Đây cũng là một trong những cách hữu ích nhất trong việc bảo vệ máy tính của bạn khỏi nhiễm ransomware.