Thông báo lỗi

Notice: Undefined offset: 1 trong counter_get_browser() (dòng 70 của /home/caobang3/public_html/sites/all/modules/counter/counter.lib.inc).

Phát hiện mã độc tống tiền cả khi người dùng ngoại tuyến

Ransomware RAA xuất hiện vào tháng 6-2016 và là ransomware đầu tiên viết bằng JScript được biết đến. Vào tháng 8, chuyên gia tại Kaspersky Lab phát hiện phiên bản mới của ransomware này.

Người dùng không online cũng bị tống tiền

Giống như phiên bản trước được phát tán thông qua email nhưng giờ đây mã độc lại ẩn mật mã được bảo vệ trong tập tin nén Zip được đính kèm. Tội phạm mạng dùng cách này chủ yếu để lừa các giải pháp chống virus vì khó có thể kiểm tra phần được bảo vệ.
Quy trình lây nhiễm của ransomware RAA cũng giống với phiên bản trước. Nạn nhân sẽ mở tập tin .js và quá trình lây nhiễm bắt đầu. Để đánh lạc hướng nạn nhân, Trojan cho hiển thị tập tin dạng văn bản chứa một loạt các nhân vật ngẫu nhiên.
Trong khi nạn nhân còn đang cố gắng hiểu chuyện gì đang xảy ra thì ở ngoài màn hình, RAA đang thực hiện mã hóa tập tin trên máy. Cuối cùng, ransomware tạo ra ghi chú ngẫu nhiên trên desktop và toàn bộ những tập tin bị mã hóa sẽ có phần mở rộng mới bị khóa lại.
So với phiên bản trước, điểm khác biệt chính là RAA không cần liên lạc với máy chủ từ xa để mã hóa tập tin trên máy tính nạn nhân như trước đây mà nó sẽ tự tạo, mã hóa và lưu trữ “chìa khóa chủ” (key master) trên máy.
Tội phạm mạng nắm giữ khóa bí mật dùng để giải mã key master đã bị mã hóa. Ngay khi đã được trả tiền chuộc, tội phạm mạng yêu cầu người dùng gửi cho chúng master key đã bị mã hóa, sau này sẽ được hoàn trả lại, cùng với phần mềm mã hóa. Cách này cho phép phần mềm độc hại mã hóa cả máy tính offline lẫn máy tính có kết nối Internet.

“Khuyến mãi” thêm Trojan

Ngoài ransomware RAA, nạn nhân còn phải nhận thêm Trojan Pony. Pony có khả năng đánh cắp mật khẩu từ tất cả email của khách hàng bao gồm doanh nghiệp và gửi đến kẻ tấn công từ xa.
Có được mật khẩu nghĩa là kẻ lừa đảo có thể phát tán phần mềm độc hại thay cho người dùng bị lây nhiễm, khiến việc thuyết phục nạn nhân rằng email này hợp pháp càng dễ dàng hơn. Từ email nạn nhân, phần mềm độc hại có thể lan ra toàn bộ danh sách liên lạc. Từ đó, kẻ lừa đảo có thể chọn ra liên hệ mà chúng có hứng thú và thực hiện tấn công.
Để giảm thiểu nguy cơ bị lây nhiễm, người dùng nên sử dụng công nghệ an ninh và giải pháp chống virus mạnh mẽ, chắn chắn mọi chức năng phát hiện đều được kích hoạt. Người dùng cần chú ý đến phần mở rộng của tập tin trước khi mở chúng ra. Những tập tin ẩn chứa nguy hiểm bao gồm: .exe, .hta, .wsf, .js…

Biện pháp để ngăn chặn tự động thực hiện những tệp tin JavaScript độc hại đính kèm trong tệp tin ZIP, RAR…:

Trong Windows, mã javascript (định dạng tệp js) chạy thông qua WSH (Windows Script Host), là công nghệ tự động hóa trong hệ điều hành Windows, tương tự như những tệp tin .BAT, nhưng có thể làm việc với mã javascript và jscript (phiên bản javascript của Microsoft)

Tin tặc có thể thêm mã javascript vào một số tệp tin định dạng như ZIP , RAR … để khi giải nén tệp tin này, tệp tin javascript sẽ tự động chạy và thực hiện các lệnh đã được lập trình sẵn. Dựa trên phương thức đó, tin tặc sẽ đính kèm những tệp tin ZIP, RAR…độc hại trong thư rác (ransomware RAA , Trojan, … đã được phát tán theo cách như vậy). Khi người dùng nhận được những bức thư này, họ tải và giải nén, họ sẽ không nhận thấy những hành động độc hại đã lặng lẽ được kích hoạt trong tệp tin javascript khi giải nén và lúc đó mã độc đã bắt đầu phát tác. Đa số người dùng chỉ nghĩ rằng nếu là mã độc thì có thể chứa bên trong tệp tin ZIP,RAR.. ở tệp tin có dạng là .EXE

Cách khắc phục:

Cách 1: Chỉnh sửa trong Registry để vô hiệu hóa kết nối tự động giữa mã JavaScript/Jscript và WSH

Bước 1: Mở Registry Editor (chạy regedit trong Run hoặc tìm regedit)

Sau đó tìm theo đường dẫn:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings

Trong phần bên phải của cửa sổ Settings , bấm chuột phải \ New \ DWORD (32 bit) Value , tạo từ khóa mới có tên là Enable và bảo đảm giá trị của nó bằng 0.

Hình 1

Hình 2

Để kiểm tra xem Windows Script Host có mở những tệp tin JavaScript hay không, đầu tiên bạn sẽ cần có một vài tệp tin JavaScript.

Cách nhanh nhất là tải tệp tin này ở đây (http://code.jquery.com/jquery-2.2.3.js). Bấm CTRL-S để lưu nó từ trình duyệt máy tính, bấm đúp vào tệp tin này . Nếu như bạn đã làm đúng trong Registry thì sẽ xuất hiện cửa sổ thông báo cho biết WSH đã bị vô hiệu hóa.

Cách 2: Thiết lập mặc định không mở tệp định dạng js bằng WSH (Windows Script Host)

- Bước 1: Tạo 1 tệp tin js với tên tệp: "demo.js" với nội dung bên trong đơn giản như sau: "a+b = 3;"

Nếu mặc định chạy tệp js bằng WSH thì khi nhấn đúp vào demo.js ta sẽ thấy kết quả như sau:

- Bước 2: Thiết lập mặc định chạy tệp js bằng notepad

Với Windows 10, nhấn phải chuột vào tệp demo.js, then click on "Open with." > "Choose another app" > chọn Notepad và check vào "Always use this app to open .js files.". Cuối cùng nhấn OK

(Tổng hợp)

 

THỐNG KÊ TRUY CẬP

  • Visitors:
    • Hôm nay:57
    • Trong tuần:2,777
    • Trong tháng:8,287
    • Trong năm:8,287