Xuất hiện từ tháng 8/2015 Virus mã hoá – tống tiền bắt đầu xuất hiện và lây lan một cách rất nhanh chóng. Với biểu hiện chung là đột nhiên không mở được file , hoặc mở ra báo lỗi font chữ loằng ngoằng và đặc biệt là hầu hết các file đều bị đổi đuôi thêm .ccc ở cuối ( vd. xlsx.ccc, docx.ccc,vvv…..).
Trong bài viết này Vietbay sẽ cùng các bạn tìm hiểu rõ hơn về loại virus cực kỳ nguy hiểm này, và cách phòng chống, khắc phục hậu quả khi bị nhiễm loại virus này.
Mục đích và nguồn gốc
Virut mã hóa Cryptolocker do hacker người Nga Evgeniy Mikhailovich Bogachev phát triển hiện đang bị FBI truy nã.
Mục đích chính của nó là lây nhiễm vào máy tính sau đó sử dụng thuật toán mã hóa RSA để mã hóa toàn bộ dữ liệu sau đó yêu cầu người dùng chuyển tiền để nhận được key giải mã. Nếu không có key thì việc giải mã gân như không thể. Giống như việc nhà bạn bị kẻ gian đột nhập và khóa lại bằng một chiếc khóa không thể phá và chỉ có thể mở bằng 1 chìa duy nhất. Và kẻ đó đòi bạn trả tiền để giao chìa khóa .
Hình thức lây nhiễm
Virus chủ yếu được lây nhiễm từ những email lạ có đính kèm file như thông báo thuế, tài chính, chuyển phát nhanh hoặc các đường link lạ. khi đó nó sẽ khởi chạy và chuyển hướng người dùng tới một Angler Exploit Kit . Và tự động tải về máy các tiến trình mã hóa .
Điểm khác biệt khiến nó trở thành đại hoạ và lây lan 1 cách nhanh chóng đó là khi 1 máy tính bị lây nhiễm, Virus sẽ chiếm quyền điều khiển của các ứng dụng chat, đặc biệt là Skype. Nó sẽ mạo danh chủ thể gửi 1 email tới tất cả bạn bè có trong danh sách với lỡi lẽ rất thân thiện, và bạn bè của nạn nhân rất dễ clink vào những email đó.
Virus có thể lây nhiễm qua mạng Lan khi các máy tính chuyển file cho nhau.
Đối tượng dễ bị lây nhiễm
- Các công ty, vận tải, kế toán, sản xuất
- Sử dụng hệ thống email có đuôi @têncongty. (không sử dụng Office 365, Exchange, gmail hoặc yahoomail, hay hotmail vì các hệ thống mial này có sẵn chức năng bảo mật phát hiện virut tự động)
- Máy tính không cài đặt phần mềm diệt Virus
- Hệ điều hành XP, Windows 7
Cách thức hoạt động
- Xóa tất cả các bản sao hệ thống Volume Shadow bằng cách thực hiện “vssadmin.exe xóa toàn bộ các bản sao lưu / all / quiet” lệnh
- Mở “key.dat” tập tin và khôi phục lại các khóa mã hóa. Nếu “key.dat” không tồn tại nó sẽ khởi tạo và lưu trữ “key.dat” file.
- Gửi các khóa mã hóa key cho các máy chủ C