Được tìm thấy lần đầu vào năm 2016 và giống hầu hết các “chủng” ransomware khác, Locky xuất hiện trong tệp đính kèm Email. Điểm đặc biệt là Locky “ngụy trang” dưới dạng hóa đơn hoặc các yêu cầu thanh toán. Vậy chính xác Locky là loại mã độc gì? Locky Ransomware hoạt động như thế nào? Làm thế nào chống lại các cuộc tấn công của Locky Ransome? Mời bạn cùng Tino Group tìm hiểu chi tiết về loại mã độc này qua bài viết dưới đây nhé!
Tìm hiểu tổng quan về Locky Ransomware
Locky là loại mã độc gì?
Locky Ransomware là loại phần mềm độc hại, có khả năng mã hoá các tệp quan trọng trên máy tính của người dùng. Khi bị tấn công Locky, người dùng không thể truy cập và sử dụng tệp tin của mình. Lúc này, những kẻ tấn công sẽ yêu cầu người dùng đưa một khoản tiền chuộc để nhận “thuốc giải” mã Locky. Vì vậy, Locky còn có tên gọi khác là “mã độc tống tiền”.
Các phần mềm tống tiền Locky thường mã hoá những tệp tin trên hệ điều hành Windows. Những chuyên gia an ninh mạng đã phát hiện ra Locky vào tháng 2 năm 2016. Tại thời điểm đó, Locky Ransomware chính là đại diện cho các phần mềm độc hại đáng sợ nhất. Đã có hơn 50.000 cuộc tấn công Locky được thực hiện. Tuy nhiên, hiện tại, phần mềm tống tiền Locky đã không còn là một mối đe dọa lớn.
Locky Ransomware “lây lan” như thế nào?
Locky Ransome thường được phát tán qua Email, sử dụng các kỹ thuật phát tán tương tự như các loại malware Dridex. Những tên tội phạm sẽ nhúng mã Locky vào các file được đính kèm trong Email hoặc ẩn danh dưới dạng tập tin hoá đơn cần chạy macro và gửi đến đối tượng mục tiêu. Nếu nạn nhân click vào tệp file, mã độc Locky sẽ bị kích hoạt và xâm nhập vào máy tính.
Về bản chất, Locky là một loại mã độc có dung lượng rất nhỏ, khoảng 100kb. Vì vậy, sau khi người dùng khởi động, mã độc này sẽ tự “lây lan” đến những thư mục temp\schost.exe. Lúc này, chúng sẽ bắt đầu xoá dữ liệu trên ổ cứng. Tuy nhiên, Locky sẽ bỏ qua những tập tin hoặc thư mục hệ thống như winnt, Application Data, temp, thumbs.db, system volume information, boot, program file (x86),… Điểm đáng sợ nhất của Locky là sau khi khởi động, hệ điều hành của người dùng hoàn toàn không nhận biết được mình đang bị virus tấn công.
Bên cạnh đó, mã độc Locky còn giúp tin tặc thu thập những dữ liệu cá nhân và thông tin nhạy cảm khác, như tài khoản ngân hàng, thư điện tử, tài khoản mạng xã hội,…
Danh sách những tệp tin bị mã hoá
Thông thường, các mã độc Locky sẽ tìm các tệp tin có phần mở rộng sau:
Đối với mỗi tệp tin phù hợp, Locky Ransomware sẽ tạo ra một khóa 128-bit. Sau đó, chúng sẽ mã hoá nội dung tệp tin với thuật toán AES-128 trong chế độ CTR. Những tệp tin bị mã hoá sẽ có tên <16 ký tự HEX cho phần ID><16 ký tự HEX ngẫu nhiên>.locky. Cấu trúc này sẽ được thêm vào phần cuối của tệp tin, cụ thể như sau:
Trong cú pháp của ngôn ngữ C, đoạn mã trên sẽ được giải thích như sau:
struct file_data
{
uint32_t start_marker; //Structure start marker = 0x8956FE93
char id[16]; //Infection ID
uint8_t aes_key[256]; //AES key encrypted with RSA-2048
uint32_t name_marker; //Name start marker encrypted with AES (= 0xD41BA12A after decryption)
uint8_t orig_name[520]; //Original file name encrypted with AES
WIN32_FILE_ATTRIBUTE_DATA attr; //Original file attributes encrypted with AES
};
Một số nguyên nhân bị nhiễm Locky Ransomware
Email độc hại
Một trong những nguyên nhân phổ biến khiến bạn bị nhiễm Locky Ransomware là truy cập vào các Email độc hại hoặc Email lừa đảo. Những tên miền hoặc tệp đính kèm giả mạo trong Email có thể chứa mã độc hại. Khi người dùng click vào hoặc mở tệp đính kèm, máy tính của họ ngay lập tức sẽ bị nhiễm độc.
Phishing và các trang web giả mạo
Các trang web lừa đảo chứa những liên kết hoặc tệp tin nhiễm virus Locky Ransomware. Nếu người dùng truy cập vào các trang web này và tương tác với nội dung độc hại, họ sẽ bị nhiễm virus.
Sử dụng phần mềm không được cập nhật
Việc sử dụng những phần mềm không được cập nhật cũng có thể khiến máy tính bạn bị nhiễm Locky Ransomware. Bên cạnh đó, những lỗ hổng bảo mật trong hệ điều hành hoặc các ứng dụng trên máy tính cũng tạo điều kiện thuận lợi cho Locky Ransomware xâm nhập, lây lan.
Kết nối không an toàn
Khi kết nối đến mạng Internet không an toàn hoặc sử dụng Wifi công cộng không bảo mật, người dùng cũng có nguy cơ bị các phần mềm Locky tấn công.
Tải xuống tài liệu không an toàn
Khi tải xuống các tệp tin hoặc phần mềm từ những nguồn không đáng tin cậy, bạn có thể bị nhiễm Locky Ransomware. Vì những tệp tin hoặc phần mềm này rất có nguy cơ chứa các mã độc, gây nguy hiểm cho máy tính của bạn.
Ví dụ về những cuộc tấn công Locky Ransomware
Hiện tại, không có quá nhiều ví dụ công khai về những cuộc tấn công Locky. Tuy nhiên, các báo cáo cho thấy một lượng lớn cuộc tấn công Locky Ransomware đã nhằm vào những nhà cung cấp dịch vụ chăm sóc sức khỏe tại Mỹ.
Trong một kịch bản, một bệnh viện ở Los Angeles đã buộc phải trả khoản tiền chuộc lên đến 17.000 USD sau khi trở thành nạn nhân của cuộc tấn công Locky. Tải trọng Locky Ransomware này xuất phát từ dạng tệp MS Office Open XML với phần mở rộng .DOCM.
Một số nhà cung cấp dịch vụ chăm sóc sức khoẻ ở Nhật Bản, Hàn Quốc và Thái Lan cũng bị tấn công. Nhiều báo cáo về các cuộc tấn công của Locky Ransomware vào lĩnh vực viễn thông, vận tải và sản xuất. Dù vậy, có rất ít tài liệu về cách thức Locky Ransomware tấn công người dùng hay những thiệt hại mà các nạn nhân phải gánh chịu.
Cách chống lại các cuộc tấn công của Locky Ransomware
Những phương pháp được sử dụng để chống lại Locky Ransomware cũng tương tự các loại Ransomware khác. Dưới đây là một số mẹo giúp bạn ngăn chặn, phát hiện và ứng phó với các cuộc tấn công của mã độc Locky.
Nâng cao nhận thức về an ninh
Tích luỹ kiến thức, nâng cao kỹ năng về bảo mật là bước quan trọng để người dùng chống lại phần mềm tống tiền Locky và các loại tấn công khác. Như đã đề cập, Locky Ransomware thường được gửi qua Email lừa đảo hoặc các tệp tin đính kèm. Chúng có thể đánh lừa người dùng tải xuống và cài đặt phần mềm độc hại.
Việc đào tạo, nâng cao kiến thức bảo mật cho nhân viên, doanh nghiệp có thể giúp họ tránh khỏi những kiểu tấn công này. Quá trình đào tạo nên xoay quanh những chủ đề như:
- Cách xác minh tính xác thực của người gửi Email và tệp đính kèm.
- Cách nhận biết Email lừa đảo.
- Cách báo cáo những hoạt động đáng ngờ cho nhân viên bảo mật Công nghệ Thông tin (CNTT).
Khi nhận thức được tính quan trọng của bảo mật, nhân viên sẽ hiểu rõ tầm quan trọng của việc sử dụng mật khẩu mạnh, tránh thực hiện các hoạt động thiếu an toàn trên môi trường mạng, chẳng hạn như sử dụng mạng Wifi kém an toàn hoặc tải các phần mềm trái phép.
Bên cạnh đó, đào tạo nhân viên về kiểu tấn công này cũng giúp doanh nghiệp giảm thiểu nguy cơ lây nhiễm Locky Ransomware. Vì nhân viên đã trở thành “tuyến phòng thủ đầu tiên” để chống lại các cuộc tấn công mạng. Mỗi hoạt động của nhân viên đều có thể tác động đáng kể đến an ninh tổng thể của tổ chức.
Đảm bảo tất cả phần mềm đều được vá
Một trong những cách quan trọng để tránh cuộc tấn công Locky là đảm bảo các phần mềm được vá và cập nhật thường xuyên. Locky Ransomware thường khai thác lỗ hổng trong phần mềm để truy cập vào hệ thống để lây nhiễm. Chính vì thế, các nhà cung cấp phần mềm nên thường xuyên phát hành những bản cập nhật và bản vá để khắc phục lỗ hổng, cải thiện tính bảo mật cho sản phẩm của mình. Đây chính là giải pháp giúp doanh nghiệp đảm bảo phần mềm luôn được bảo vệ trước các mối đe dọa mới.
Thực hiện sao lưu đường truyền
Điều này nghe có vẻ hiển nhiên nhưng lại cực kỳ quan trọng nếu bạn không muốn bị mã độc Locky tấn công. Bạn nên thường xuyên sao lưu dữ liệu và lưu trữ chúng ở một vị trí an toàn. Tốt nhất, bạn hãy lưu dữ liệu ngoại tuyến hoặc ngoại mạng.
Giám sát lưu lượng mạng
Nếu tập lệnh Locky đang gửi thông tin giữa thiết bị của nạn nhân và máy chủ C&C, bạn nên sử dụng giải pháp ngăn chặn xâm nhập tinh vi để phát hiện, chặn và báo cáo về lưu lượng truy cập mạng đáng ngờ đang vào/ra. Ngoài ra, bạn cũng nên xem xét về việc cài đặt những phần mềm trái phép.
Nên làm gì khi bị nhiễm Locky Ransomware?
- Isolate và ngắt kết nối máy tính khỏi mạng: Để ngăn chặn Locky Ransomware lây lan sang các máy tính khác trong mạng, hãy ngắt kết nối máy tính nhiễm từ Internet và mạng nội bộ.
- Báo cáo sự cố: Thông báo cho bộ phận quản lý IT hoặc chuyên gia bảo mật mạng của bạn về sự cố. Họ có thể hỗ trợ và đưa ra các giải pháp khắc phục tình trạng bị tấn công.
- Không trả tiền chuộc: Dù những dữ liệu rất quan trọng, nhưng điều này không đồng nghĩa là bạn phải trả tiền chuộc cho hackers để được giải mã. Trên thực tế, hành động này của bạn đã vô tình khuyến khích tội phạm mạng “được nước lấn tới”. Thậm chí, trong nhiều trường hợp, dù đã đưa tiền chuộc, nhưng nhiều nạn nhân vẫn không thể lấy được dữ liệu của mình.
- Phục hồi từ sao lưu: Nếu đã tạo sao lưu cho các dữ liệu quan trọng, bạn hãy sử dụng sao lưu để khôi phục lại dữ liệu sau khi đã loại bỏ Locky Ransomware khỏi hệ thống.
- Tìm kiếm sự hỗ trợ từ chuyên gia: Nếu gặp khó khăn trong việc xử lý Locky Ransomware hoặc khôi phục dữ liệu, bạn nên tìm đến các chuyên gia bảo mật hoặc công ty chuyên cung cấp dịch vụ khắc phục sự cố Ransomware.
Nhìn chung, Locky Ransomware là một mối nguy hại lớn đối với người dùng mạng. Để tránh nhiễm phần mềm độc hại này và các loại Ransomware khác, bạn nên duy trì các biện pháp bảo mật cơ bản, cẩn thận khi tương tác với những nguồn tài nguyên trực tuyến và tệp tin không rõ nguồn gốc.
Hãy tiếp tục đồng hành cùng Tino Group để đón đọc những thông tin hữu ích khác bạn nhé!
Những câu hỏi thường gặp
Kẻ tấn công Locky Ransomware yêu cầu mức tiền chuộc bao nhiêu?
Số tiền chuộc có thể khác nhau tùy vào phiên bản phần mềm và các yêu cầu của nhóm tội phạm. Thông thường, chúng sẽ yêu cầu một khoản tiền chuộc từ vài trăm đến vài nghìn USD Mỹ. Số tiền này thường phải trả bằng tiền mã hoá như Bitcoin.
Phần mềm nào hỗ trợ ngăn chặn Locky Ransomware?
Một số phần mềm giúp bạn ngăn chặn tấn công Locky là:
- Phần mềm chống virus và phần mềm bảo mật toàn diện: Norton, McAfee, Bitdefender, Kaspersky,…
- Phần mềm chống Ransomware chuyên biệt: Malwarebytes, CryptoGuard, Anti-Ransomware, HitmanPro.Alert,…
Hạn chế quyền truy cập có giảm tấn công Locky không?
Câu trả lời là: “Có!”. Bạn có thể hạn chế quyền truy cập với những tệp tin quan trọng. Việc này giúp giảm nguy cơ bị Locky Ransomware xâm nhập và mã hoá dữ liệu.
Có nên cài đặt Firewall mạnh không?
Tất nhiên là có! Khi cài đặt và cấu hình một Firewall mạnh, bạn có thể kiểm soát được các kết nối mạng, ngăn chặn những phần mềm độc hại như Locky Ransomware.