Microsoft Word mở ra con đường tấn công dữ liệu bằng mã độc của hacker

Bước qua năm 2016 hacker đang trỗi dậy mạnh mẽ bằng việc phát tán rất nhiều loại mã độc tống tiền ( ransomware ). Nguy hiểm hơn khi thủ đoạn Crypto-ransomware ( Mã hóa dữ liệu người dùng để đòi tiền chuộc ) chiếm đa số ca lây nhiễm trong thời gian qua.

Một loại mã độc tống tiền mới có tên gọi Locky đã sử dụng thuật toán mã hóa AES để mã hóa dữ liệu người dùng trên máy tính cũng như các tập tin được chia sẻ qua mạng. Con đường mở ra các cuộc tấn công dữ liệu bằng mã độc thậm chí rất đơn giản thông qua Microsoft Word.

Locky tạo ra file Word đính kèm macro độc hại sau đó phát tán thông qua email giả mạo hóa đơn thanh toán, hợp đồng mua bán hay chứa nội dung tò mò. Khi người nhận email kích hoạt macro để xem nội dung trong file Word này, nó sẽ âm thầm tải Locky từ máy chủ của hacker và ngay lập tức thực hiện quá trình mã hóa toàn bộ tệp tin trên máy tính bị xâm nhập.

Ransomeware này sẽ quét toàn bộ ổ cứng và thậm chí là mạng chia sẻ ( Network sharing ) để xác định những tập tin bị mã hóa. Nhưng nó sẽ bỏ qua các tập tin thư mục hệ thống như tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot và Windows để đảm bảo rằng người dùng vẫn khởi động được Windows bình thường.

Các tập tin sau khi bị mã hóa sẽ bị đổi tên thành [unique_id][identifier].locky. Đồng thời Locky sẽ xóa toàn bộ thông tin của System Restore để người dùng không có cách nào khác để khôi phục lại dữ liệu của họ.

Hình nền Desktop sẽ thay bằng một hình ảnh để cảnh báo nạn nhân về những gì đã xảy ra với dữ liệu của họ, kèm theo các đường dẫn đến trang giải mã và yêu cầu khoản tiền chuộc khoảng 0.5 bitcoin (hơn 200 USD) để khôi phục các tập tin của mình. Nạn nhân chỉ có 2 lựa chọn: Cài lại toàn bộ hệ thống đồng nghĩa mất mát dữ liệu hoặc Trả tiền cho hacker.

Locky giống như các loại mã độc ransomeware khác được phát hiện trước đó, tuy nhiên, nó nguy hiểm hơn với khả năng mã hóa dữ liệu ngay cả trên mạng chia sẻ Network Sharing - mối đe dọa với những hệ thống máy tính lớn.

Nạn nhân đã rơi vào tình trạng này, họ không thể làm gì khác ngoài việc trả tiền chuộc cho tin tặc - như những gì bệnh viện Hollywood Presbyterian đã làm ngày 21/02/2016 : trả 17.000 USD bitcoin để đổi lấy sự bình yên.

Hiện tại, ransomware này vẫn đang được phát tán với tỉ lệ 4.000 lây nhiễm mới mỗi giờ, xấp xỉ con số 100,000 mỗi ngày tại các quốc gia Đức, Hà Lan, Mỹ, Croatia, Mexio, Phần Lan…. chỉ bởi 1 file Word !!!

Genk.vn 

------------------------------------------

Đọc thêm một loại ransomware mới xuất hiện trên Android.

A new Android trojan steals your banking info and holds your files ransom

 

------------------