Khi lây nhiễm được vào máy tính của nạn nhân, mã độc quét toàn bộ ổ đĩa của máy tính và tiến hành mã hoá các file bằng mã hoá khoá công khai (public key cryptography). Hầu hết các file quan trọng trên máy tính (định dạng .doc, pdf, xls, jpg, zip…) sẽ không thể mở được nữa. Việc này đi kèm với 1 thông báo trên Desktop đòi tiền chuộc nếu muốn giải mã những file của nạn nhân. Để giải mã được các file này bắt buộc phải có khoá bí mật (private key) mà chỉ có kẻ phát tán mới có. Điều này có nghĩa là chúng ta không thể khôi phục lại được các file đã bị mã hoá trừ khi chấp nhận trả tiền cho chúng.
![[IMG]](http://www.ducasec.com/wp-content/uploads/2015/01/f0.png)
Các file trên máy đã bị mã hoá
![[IMG]](http://www.ducasec.com/wp-content/uploads/2015/01/f1.png)
Xuất hiện thông báo đòi tiền chuộc trên Desktop
Hoạt động của mã độc
Câu chuyện bắt đầu khi nạn nhân nhận được 1 email có chứa file đính kèm và người dùng tưởng là 1 file văn bản.
![[IMG]](http://www.ducasec.com/wp-content/uploads/2015/01/f2.png)
Bản chất file đính kèm là một file độc hại. Tuy nhiên nó không phải là con mã độc tống tiền CTBLocker, mà là 1 con downloader, có định dạng .scr (Screen Saver), và tên trùng với tên file được đính kèm trong mail.
![[IMG]](http://www.ducasec.com/wp-content/uploads/2015/01/f3.png)
Con downloader sẽ kích hoạt WordPad để hiển thị một file văn bản, đúng với nội dung trong email. Điều này khiến người dùng nghĩ rằng file đính kèm này chứa văn bản thật.
![[IMG]](http://www.ducasec.com/wp-content/uploads/2015/01/f51.png)
Tuy nhiên, nhiệm vụ chính của downloader là tải các file độc hại khác xuống. Trong trường hợp này, nó kết nối tới máy chủ sẽ tải xuống 1 file .exe
![[IMG]](http://www.ducasec.com/wp-content/uploads/2015/01/f4.png)
Con 24967891.exe tiếp tục “đẻ” ra 2 file là dvnoijl.job và qechhwi.exe (Tên file có thể khác nhau trên các máy tính khác nhau)
![[IMG]](http://www.ducasec.com/wp-content/uploads/2015/01/f5.png)
Con qechhwi.exe mới là nhân vật chính của chúng ta, nhiệm vụ của nó là mã hoá tất cả các file .doc, pdf, xls, jpg, zip… trên máy tính của nạn nhân, sau đó hiển thị thông báo doạ nạt và tống tiền.
![[IMG]](http://www.ducasec.com/wp-content/uploads/2015/01/f6.png)
Mã độc mở các thư mục và mã hoá file
![[IMG]](http://www.ducasec.com/wp-content/uploads/2015/01/f7.png)
Kẻ tống tiền sử dụng hệ thống TOR (The Onion Router) để kết nối máy nạn nhân với máy chủ điều khiển
Chúng ta nên làm gì ?
Thực tế, khi bị mã hoá, chúng ta không có cách nào giải mã được các file nếu như không có khoá. Vì vậy, nhiều người đã bắt buộc phải trả tiền cho kẻ phát tán để lấy lại những file quan trọng của mình. Trong trường hợp này thì “phòng cháy hơn chữa cháy”.
Để không bị lây nhiễm những mã độc tống tiền chúng ta nên:
- Trang bị cho mình một phần mềm diệt virus cập nhật thường xuyên. Chúng ta có thể sử dụng phần mềm miễn phí đủ tốt của Microsoft là Windows Defender (Windows 8) và Microsoft Security Essentials (Windows 7 trở xuống). Hoặc chúng ta có thể mua các phần mềm diệt virus khác để có thể hỗ trợ kỹ thuật.
- Cảnh giác với các file đính kèm trong email. Tốt nhất là không mở file đối với email gửi từ người lạ.
- Chỉ tải các file cài đặt từ website chính gốc
- Không bấm vào các đường link nhận được qua chat hay email
- Thường xuyên backup các file tài liệu của mình
Nguồn: ducasec.com
Đăng nhận xét Blogger Facebook