Ransomware có thể mã hóa dữ liệu đám mây

Ransomware bé nhỏ như một hạt cát, chúng có ở khắp mọi nơi. Và chúng có thể mã hóa nhiều hơn bạn nghĩ. Việc các tệp tin cá nhân của bạn bị phá hủy là một mất mát lớn thì khi Ransomware tấn công các bản sao của bạn, nỗi đau này còn tăng lên gấp bội.

Có một số biến thể của ransomware không chỉ tấn công ổ cứng mà còn tấn công các ổ đĩa hệ thống khác nữa, và các ổ đĩa đám mây cũng không vượt khỏi tầm ngắm của chúng. Vì vậy, đây là thời điểm để bạn xem xét chính xác các sao lưu tập tin cũng như nơi các bản sao được lưu giữ.

Ransomware tấn công khắp mọi nơi

Chúng ta biết một cuộc tấn công ransomware có thể là một sự tàn phá. Ransomware là chướng ngại vật đặc biệt vì các tập tin mục tiêu của nó là hình ảnh, âm nhạc, phim và các loại tài liệu. Ổ cứng của bạn chưa các tập tin cá nhân, công việc và kinh doanh là mục tiêu chính cho mã hóa. Sau khi được mã hóa, bạn sẽ thấy một thông báo tiền chuộc yêu cầu thanh toán - thường là trong Bitcoin khó để lần theo dấu vết - để phát tán an toàn các tập tin của bạn.

Và thậm chí, không có đảm bảo nào bạn sẽ nhận được mật khẩu mã hóa hoặc công cụ giải mã.

CryptoLocker

CryptoLocker là một biến thể của ransomware mã hóa có thể mã hóa nhiều ổ cứng của bạn. Nó xuất hiện lần đầu tiên vào năm 2013, lan truyền qua các tệp đính kèm email đã bị nhiễm độc. Khi CryptoLocker được cài đặt vào máy tính, nó có thể quét ổ cứng cho một danh sách cụ thể của phần mở rộng tập tin. Hơn nữa, nó quét tất cả các ổ đĩa được kết nối vào máy, có thể là USB hoặc mạng.

Một ổ đĩa mạng với quyền truy cập đọc/ghi sẽ được mã hóa giống như một ổ cứng. Nó là một thách thức đối với các doanh nghiệp nơi nhân viên truy cập các thư mục mạng chia sẻ.

May mắn thay, các nhà nghiên cứu bảo mật đã phát hành một bản sao cơ sở dữ liệu nạn nhân của CryptoLocker và phù hợp với từng mã hóa. Họ tạo cổng Decrypt CryptoLocker để giúp nạn nhân giải mã các tập tin của họ.

Evolution: CryptoFortress

CryptoLocker xuất hiện và tuyên bố có 500.000 nạn nhân. Theo Keith Jarvis của Dell SecureWorks, CryptoLocker có thể đã nhận được 30 triệu USD trong 100 ngày đầu tiên từ hoạt động tống tiền (nó sẽ lên 150 triệu USD nếu mỗi nạn nhân trả 300USD tiền chuộc). Tuy nhiên, việc gỡ CryptoLocker không phải là sự khởi đầu của ngăn chặn ransomware ánh xạ network driver.

CryptoFortress được phát hiện vào năm 2015 bởi nhà nghiên cứu bảo mật Kafein. Nó có sự xuất hiện và cách tiếp cận của TorrentLocker nhưng một trong những tiến bộ quan trọng; nó có thể mã hóa network driver không ánh xạ.

Thông thường, ransomware lấy ra một danh sách các ổ đĩa mạng được ánh xạ ví dụ như C:, D:, E:,... Sau đó, nó quét các ổ đĩa, so sánh phần mở rộng tập tin sau đó mã hóa những tập tin tương ứng. Ngoài ra, CryptoFortress liệt kê tất cả các chia sẻ mạng mở Server Message Block (SMB) và mã hóa bất kỳ những gì chúng tìm thấy.

Locky

Locky là một biến thể khác của ransomware, nổi tiếng thay đổi từng tệp tin thành .locky, cũng như wallet.dat - ví tiền của Bitcoin. Mục tiêu của Locky cũng là các tập tin trên máy tính hoặc các tập tin trên chia sẻ unmapped network, thay đổi tập tin trong quá trình. Sự hỗn loạn này làm quá trình khôi phục trở nên khó khăn hơn.

Hơn nữa, Locky không có bộ giải mã.

Ransomware trên Cloud

Ransomware vượt qua bộ nhớ vật lý mạng và máy tính, đồng thời vượt qua cả dữ liệu đám mây. Điều này là một vấn đề quan trọng. Lưu trữ đám mây thường xuyên được chào hàng là một trong những lựa chọn sao lưu an toàn nhất, giữ dữ liệu của bạn được sao lưu, tránh xa các chia sẻ mạng nội bộ nên tạo ra sự cách lý với hiểm nguy xung quanh. Nhưng thật không may, các biến thể của ransomware đã vượt qua được bảo mật này.

Theo báo cáo State of the Cloud của RightScale cho biết 82% doanh nghiệp đang sử dụng chiến lược đa đám mây. Và một nghiên cứu sâu hơn nữa (Slideshare ebook) của Intuit cho thấy đến năm 2020, 78% doanh nghiệp nhỏ sẽ đều dùng tính năng đám mây. Sự thay đổi hoàn toàn này của các doanh nghiệp lớn và nhỏ làm cho dịch vụ đám mây trở thành một mục tiêu chính cho các nhà cung cấp ransomware.

Ransom_Cerber.cad

Các nhà cung cấp phần mềm độc hại sẽ tìm ra cách thức cho vấn đề này. Công nghệ xã hội và email lừa đảo là những công cụ chính và chúng có thể được sử dụng để tránh các kiểm soát an ninh vững chắc. Các nhà nghiên cứu bảo mật của Trend Micro đã tìm thấy một biến thể ransomware đặc biệt có tên là RANSOM_CERBER.CAD. Nó được sử dụng nhằm vào người dùng gia đình và doanh nghiệp của Microsoft 365, điện toán đám mây và nền tảng hiệu suất.

Biến thể Cerber có thể mã hóa 442 loại tập tin sử dụng kết hợp AES-265 và RSA, sửa đổi Settings Zone của Internet Explorer trên máy tính, xóa bản sao ẩn, vô hiệu hóa Windows Startup Repair và chấm dứt các chương trình Outlook, The bat!, Thunderbird, và Microsoft Word.

Hơn nữa, và đây là hành vi được trình bày bởi các biến thể ransomware khác, Cerber truy vấn vị trí địa lý của hệ thống bị ảnh hưởng. Nếu hệ thống máy chủ lưu trữ là một thành viên của Cộng đồng các quốc gia độc lập (các nước thuộc Liên bang Xô viết cũ như Nga, Moldova, và Belarus), ransomware sẽ tự chấm dứt.

Đám mây như một công cụ nhiễm độc

Ransomware Petya lần đầu tiên xuất hiện vào năm 2016. Một vài điều đáng chú ý tới biến thể này là thứ nhất, Petya có thể mã hóa toàn bộ Master Boot Record (MBR) của máy tính cá nhân, khiến hệ thống bị lỗi màn hình xanh. Điều này làm cho toàn bộ hệ thống không thể sử dụng được. Sau đó, khi khởi động lại, bản ghi tiền chuộc Petya được hiển thị thay vào đó, với hình hộp sọ và yêu cầu thanh toán bằng Bitcoin.

Virus Ransome trên đám mây

Thứ hai, Petya đã lây lan sang một số hệ thống thông qua tệp tin bị nhiễm mã độc được lưu trữ trên Dropbox, giả danh là bản tóm tắt. Liên kết được ngụy trang dưới dạng thông tin chi tiết của ứng dụng, trong khi nó thực sự liên kết đến một tập tin thực thi tự giải nén để cài đặt ransomware.

May mắn thay, một lập trình viên vô danh đã tìm ra cách bẻ khóa mã hóa của Petya. Cách này có khả năng phát hiện khoá mã hóa cần thiết để mở khóa MBR và giải phóng các tệp tin bị bắt giữ.

Sử dụng dịch vụ đám mây để truyền bá ransomware là điều dễ hiểu. Người dùng đã được khuyến khích sử dụng giải pháp lưu trữ đám mây để sao lưu dữ liệu bởi vì nó cung cấp thêm một lớp bảo mật. An toàn là điểm mấu chốt tạo nên thành công của dịch vụ dám mây. Vậy mà niềm tin của người dùng vào an ninh của đám mây có thể bị lợi dụng để sử dụng vào mục đích xấu.

Tóm lại

Lưu trữ đám mây, các network driver được ánh xạ hay không ánh xạ, và các tập tin hệ thống vẫn dễ bị xâm nhập bởi ransomware. Đây không không còn là điều mới. Tuy nhiên, những người phân phối phần mềm độc hại chủ động nhắm vào các tập tin sao lưu làm tăng mức độ lo lắng cho người dùng. Ngược lại, phải thực hiện các biện pháp phòng ngừa bổ sung.

Người dùng gia đình và doanh nghiệp nên sao lưu các tập tin quan trọng vào ổ cứng rời. Thực hiện ngay bây giờ là hành động giúp bạn khôi phục hộ thống sau khi bị nhiễm ransomware không mong muốn từ nguồn không đáng tin.

Thứ Hai, 03/04/2017 13:59
31 👨 666