Locky là loại mã độc tống tiền cực kỳ nguy hiểm, đe dọa xóa dữ liệu vĩnh viễn

Ma

671

03-09-2020

Locky là loại mã độc tống tiền từng làm rúng động cộng động mạng toàn thế giới. Từ khi xuất hiện lần đầu tiên cho đến nay, locky đã có biến thể nguy hiểm hơn và là mối đe dọa nghiêm trọng cho cả các chuyên gia an ninh hàng đầu.

Vậy locky là loại mã độc gì? Hãy cùng Bizfly Cloud tìm hiểu trong bài viết dưới đây.

Locky là loại mã độc gì?

Locky là loại mã độc được hacker sử dụng phổ biến để mã hóa các tập tin dữ liệu của nạn nhân và sau đó sẽ yêu cầu một khoản tiền để giải mã, nếu không dữ liệu sẽ bị khóa vĩnh viễn. Loại mã độc locky dùng thuật toán mã hóa AES để mã hóa.

Cách thức phát tán của mã độc locky

Mã độc locky có cách thức phát tán tương tự như các loại malware Dridex. Tin tặc nhúng mã locky vào các file được đính kèm trong email hoặc giả dạng tập tin hóa đơn cần chạy macro để gửi đến mục tiêu. Nạn nhân sau khi click vào tệp file gửi đến, mã độc locky nhanh chóng được kích hoạt và xâm nhập vào máy tính.

Locky là loại mã độc có dung lượng nhỏ, chỉ khoảng 100kb. Sau khi khởi động, locky sẽ tự di chuyển đến thư mục temp\svchost.exe và bắt đầu thực thi nhiệm vụ xóa dữ liệu trên ổ cứng. Tuy nhiên, locky sẽ bỏ qua các tập tin/thư mục hệ thống như tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, System Volume Information và Boot. Sau khi khởi động, hệ điều hành không hề nhận biết được và đưa ra cảnh báo rằng hệ thống đang bị virus tấn công.

Ngoài ra, locky còn giúp tin tặc thu thập các dữ liệu cá nhân và thông tin nhạy cảm khác về tài khoản mạng xã hội, thư điện tử hay tài khoản ngân hàng… để bán hoặc tống tiền nạn nhân.

Xuất hiện biến thể của mã độc locky

Các chuyên gia bảo mật từ Malwarebytes Labs đã phát hiện biến thể nguy hiểm của mã độc tống tiền locky có tên là Lukitus.

Tin tặc vẫn dùng các phương pháp thông thường thông qua các tập tin Microsoft Office hoặc ZIP đính kèm qua mail để gài bẫy mục tiêu. Một khi tập tin được tải xuống, sẽ kích hoạt mã độc ngay và bắt đùa mã hóa các tập tin dữ liệu trong máy tính nạn nhân.

Trong chiến dịch mới này, các chuyên gia phát hiện locky sử dụng một phần mở rộng tập tin mới gọi là ".lukitus". Và khi virus xâm nhập vào hệ thống, nó sẽ nối thêm phần mở rộng rộng này vào tất cả các tập tin bị lây nhiễm. Tập tin tải xuống sẽ biến mất và được thay thế bằng tập tin có chứa yêu cầu tống tiền.

Cách ngăn chặn mã độc locky

Không chỉ riêng với mỗi mã độc locky, mà cách ngăn chặn virus tấn công tốt nhất là sự cảnh giác của người dùng bạn. Bạn nên cẩn trọng khi nhận và mở các thư điện tử từ những địa chỉ lạ và đính kèm tập tin nghi ngờ.

Đặc biệt, bạn không tải phần mềm từ các nguồn không chính thức và cần sử dụng phần mềm chống virus/chống phần mềm gián điệp bản quyền được cập nhật ứng dụng thường xuyên.

Theo Bizfly Cloud chia sẻ