Người dùng không online cũng bị tống tiền
Giống như phiên bản trước, mã độc được phát tán thông qua email nhưng giờ đây nó đã được bảo vệ trong tập tin nén Zip. Tội phạm mạng dùng cách này để qua mặt các giải pháp chống virus.
Quy trình lây nhiễm của ransomware RAA cũng giống với phiên bản trước. Nạn nhân sẽ mở tập tin .js và quá trình lây nhiễm bắt đầu. Để đánh lạc hướng nạn nhân, Trojan cho hiển thị tập tin dạng văn bản chứa ngẫu nhiên nội dung bất kỳ để cho người dùng lầm tưởng họ đang xem quảng cáo hoặc tin tức.
Trong khi nạn nhân còn đang cố gắng hiểu chuyện gì đang xảy ra thì ở ngoài màn hình, RAA đang thực hiện mã hóa tập tin (khóa tập tin). Cuối cùng, ransomware tạo ra các thông báo trên màn hình nhằm gửi đến người dùng thông điệp 'Muốn lấy lại tập tin thì liên lạc xxx hoặc chuyển tiền vào tài khoản xxx'. Nếu đó là một tập tin bình thường thì không sao, tuy nhiên, nếu nó là kế hoạch hay văn bản quan trọng thì người dùng chắc chắn sẽ mất tiền để chuộc lại.
So với phiên bản trước, điểm khác biệt chính là RAA có thể khóa bất kỳ tập tin nào mà không cần cung cấp key (điều khiển) từ bên ngoài.
“Khuyến mãi” thêm Trojan
Chưa hết, ngoài ransomware RAA, nạn nhân còn phải nhận thêm Trojan Pony. Đó là mã độc có khả năng đánh cắp mật khẩu từ tất cả email của nạn nhân. Có được mật khẩu chúng có thể phát tán mã độc đến toàn bộ danh sách bạn bè của người dùng.
Fedor Sinitsyn, nhà phân tích phần mềm độc hại tại Kaspersky Lab, cho biết: “Sự phối hợp giữa ransomware và phần mềm đánh cắp mật khẩu mang lại cho tội phạm mạng công cụ nguy hiểm, giúp tăng cơ hội kiếm tiền cho chúng.
Trước tiên là từ khoản tiền chuộc mà bạn phải trả để lấy lại dữ liệu, sau đó là từ những nạn nhân ngay trong danh sách bạn bè của bạn. Ngoài cách mã hóa offline, phiên bản mới của RAA đã tăng độ nguy hiểm của chúng lên”.
Để giảm thiểu nguy cơ bị lây nhiễm, Kaspersky khuyến cáo người dùng nên sử dụng công nghệ bảo mật endpoint và giải pháp chống virus mạnh mẽ, chắn chắn mọi chức năng phát hiện đều được kích hoạt.
Các công ty, tổ chức cần phải có biện pháp tăng nhận thức về mạng cho nhân viên, liên tục cập nhật phần mềm trên máy tính, thường xuyên kiểm toán an ninh.
Người dùng phải chú ý đến phần mở rộng của tập tin trước khi mở chúng ra. Những tập tin cảnh báo chứa nguy hiểm bao gồm: .exe, .hta, .wsf, .js… Hãy là người dùng thông minh và cảnh giác với mọi email từ người gửi không rõ danh tính nhé!
Nguồn: Thế giới di động
