Trend Micro và trường đại học Deakin tại Úc phân tích về mối đe dọa của CTB Locker

Đôi khi, cách chữa trị tốt nhất là phòng ngừa (và dùng nhiều bản sao lưu) khi mà tác ảnh hưởng nguy hiểm của phần mềm độc hại này là mã hóa các tập tin trong máy tính của bạn và yêu cầu một khoản tiền chuộc khổng lồ.

Đó là cách mà phiên bản phần mềm độc hại CryptoLocker gốc và phiên bản mới (được gọi là TorrentLocker hay CryptoLocker) hoạt động, mặc dù bản CryptoLocker mới này khác với bản gốc.

Hãng bảo mật Trend Micro và những nhà nghiên cứu các mối đe dọa của hãng này tại Úc đã quyết định hợp tác với trường đại học Deakin nhằm chống lại các biến thể đặc trưng của CryptoLocker nhằm vào Úc (Australian-specific variant) đang được lan rộng trên khắp đất nước này với tốc độ chóng mặt kể từ tháng 9 năm 2014.

Trong khi chưa có giải pháp giải mã miễn phí nào cho những biến thể này, các phiên bản mới này của CryptoLocker đang nhắm vào những người Úc khi 'mã hóa những tập tin của các nạn nhân và đòi 598$ để chuộc lại quyền truy cập trở lại những tập tin này' - và thập chí còn tàn bạo hơn nữa khi 'tiền chuộc sẽ tăng gấp đôi sau 96 giờ'.

Trend Micro và trường đại học Deakin vừa phát hành một báo cáo mới dài 16 trang nói về CryptoLocker, có thể tải về miễn phí tại đây (link PDF trực tiếp), nơi cả hai nhóm nghiên cứu 'đã theo dõi và phân tích những xu hướng liên quan đến những vụ bùng phát CryptoLocker xảy ra ở Úc từ ngày 01 tháng 11 đến ngày 30 tháng 11 năm 2014'.

Trong suốt tháng 11, ‘nghiên cứu này đã tìm thấy hơn 10.000 lượt truy cập vào các địa chỉ URL chuyển hướng (redirection URL), tất cả đều là những sự cố về CryptoLocker.’

Không đáng ngạc nhiên khi những chủng CryptoLocker ở Úc này hoạt động theo cách tương tự như những chủng được tìm thấy ở Bắc Mỹ và Châu Âu:

- Đầu tiên, các nạn nhân nhận được một email rác với các siêu liên kết (hyperlink), được nói rằng sẽ dẫn đến những thông tin gửi bưu kiện (parcel tracking information) hoặc một thông báo án phạt (penalty notice) đang chờ họ ở một 'trang web chính thức'.

- Sau khi nhấp vào liên kết, các nạn nhân được chuyển hướng đến một trang web giả trông rất thực, mô phỏng theo trang web chính thức của các tổ chức như Bưu chính Úc (Australia Post) và Văn phòng thuế bang New South Wales (Office of State Revenue New South Wales), bao gồm cả mô phỏng tên miền.

- Trang web này sau đó chuyển phần mềm độc hại này vào các máy tính của nạn nhân thông qua việc lợi dụng những trang lưu trữ tập tin trực tuyến hợp pháp (legitimate file-hosting site).

- Phần mềm độc hại này tiến hành mã hóa các tài liệu PDF và Microsoft Word, và các tập tin thông dụng khác.

- Một khi các tập tin của nạn nhân bị mã hóa, phần mềm độc hại yêu cầu nạn nhân trả ít nhất 598$ dưới dạng Bitcoin mới có thể phục hồi các tập tin của họ.

Có một số tin tốt bên cạnh việc theo dõi và phân tích - Trend và Deakin cho biết họ đang ‘nỗ lực để ngăn chặn các cuộc tấn công'.

Trend giải thích rằng, ’trong những ngày khi các vụ bùng phát xảy ra, Trend Micro đã bổ sung vào các quy trình nội bộ của mình (internal process) các báo động thời gian thực (real-time alert) được gửi đến các nhà nghiên cứu tại trường Đại học Deakin để tiến hành phân tích sâu hơn về những vụ bùng phát này trong khi các trang web độc hại vẫn còn hoạt động’.

Tiến sĩ Jon Oliver, một nhà nghiên cứu cấp cao về mối đe dọa của Trend Micro cho biết: "CryptoLocker là một mối đe dọa đang ngày càng ảnh hưởng đến những cá nhân và các doanh nghiệp ở Úc. Chúng tôi đã hợp tác với trường Đại học Deakin vì tính cấp thiết của vấn đề.

"Chủng CryptoLocker này đã được thiết kế chuyên biệt để nhằm vào các nạn nhân Úc bắt đầu từ nửa cuối năm 2014, và tiếp tục duy trì đến đêm Giáng sinh. Các vụ bùng phát đã dừng lại trong kỳ nghỉ đầu Năm Mới, nhưng gần như chắc chắn sẽ tiếp tục trở lại trong năm nay".

Giáo sư Yang Xiang, lãnh đạo nhóm nghiên cứu của trường đại học Deakin cho biết: “Những cuộc tấn công có kỹ thuật phức tạp và đặc biệt nhằm vào những người Úc đan gia tăng đáng kể từ tháng 7 gây ra một tác động rất lớn đến các doanh nghiệp và những cá nhân”.

Đương nhiên, chủng CryptoLocker ở Úc này rất thông minh, các nhà nghiên cứu lưu ý rằng phần mềm độc hại này "áp dụng một loạt các kỹ thuật để tránh bị phát hiện”.

Tiến sĩ Oliver cho biết: "Các cuộc tấn công của CryptoLocker đang thích ứng với các giải pháp bảo mật, trốn tránh được các biện pháp an ninh tại đợt bùng phát tiếp theo. Việc chỉ dựa trên một biện pháp phát hiện có thể chưa đủ đế phát hiện ra chúng trong các vụ bùng phát kế tiếp.

"Lọc đa lớp (multi-layer filtering), hay còn được gọi là Bảo vệ theo chiều sâu (Defence-in-Depth), là một biện pháp mạnh mẽ hơn", Mark Sinclair, giám đốc kinh doanh thương mại của Trend Micro tại Úc và New Zealand cho biết: "Nhiều doanh nghiệp Úc đang là mục tiêu và bị ảnh hưởng bởi CryptoLocker, từ các tổ chức rất lớn đến rất nhỏ; không một ai là ngoại lệ.

"Cả ngành công nghiệp đang phải chịu đựng vấn nạn này, do đó công việc của chúng tôi với Đại học Deakin là rất quan trọng để tấn công và ngăn chặn hoạt động của chủng CryptoLocker tại Úc này".

Mặc dù những chi tiết đầy đủ nằm trong bài báo cáo, chúng tôi muốn nhắc lại rằng, 'sau khi nhận được một email rác và nhấn vào URL kèm theo, những nạn nhân được chuyển hướng đến một trang web lừa đảo nơi họ nhập vào chuỗi CAPTCHA và được tải về một tập tin ZIP.'

'Việc chạy hoặc mở tập tin .ZIP này sẽ dẫn đến việc tất cả các hình ảnh, tài liệu và dữ liệu cá nhân trên máy tính và ổ đĩa chia sẻ bị mã hóa. Các phần mềm độc hại sau đó yêu cầu các nạn nhân trả tiền để mở lại được các tập tin của họ’. Vì vậy, sự bảo vệ tốt nhất là hãy vô cùng thận trọng về các email bạn nhận được, ngay cả khi chúng trông có vẻ chính thức, bên cạnh đó hãy chạy phần mềm bảo mật được cập nhật lên Internet có khả năng nhận ra mối đe dọa này, một ý tưởng khôn ngoan khác là nên có nhiều hơn một bản sao lưu đầy đủ của tất cả các tập tin của bạn trong cả các ổ đĩa tại chỗ và ngoại vi.

Sau cùng, mối đe dọa này, một khi đã kích hoạt, sẽ mã hóa các tập tin của bạn, và hiện chưa có giải pháp giải mã dễ dàng và miễn phí nào.

Hãy giữ an toàn - và cẩn thận



Tin liên quan