Locky là một loại phần mềm độc hại có thể mã hóa các tệp quan trọng trên máy tính của bạn và giữ chúng làm con tin trong khi yêu cầu thanh toán tiền chuộc. Tìm hiểu cách hoạt động của các cuộc tấn công mã độc tống tiền Locky, cách bạn có thể ngăn Locky lây nhiễm vào máy tính của mình cũng như cách phát hiện và chặn các cuộc tấn công mã độc tống tiền.
Locky tấn công nạn nhân bằng cách mã hóa các tệp của họ - khiến chúng không thể truy cập và không sử dụng được – sau đó yêu cầu một khoản thanh toán để đổi lấy việc khôi phục mọi thứ trở lại bình thường. Tội phạm mạng hứa hẹn sẽ cung cấp cho người dùng khóa giải mã Locky ransomware mà chỉ chúng sở hữu, do đó buộc nạn nhân phải trả tiền chuộc.
Locky đến từ đâu?
Locky dựa vào các kỹ thuật kỹ thuật xã hội để xâm nhập vào máy tính của nạn nhân, với email là phương tiện truyền dẫn được lựa chọn. Loại ransomware khó chịu này lần đầu tiên xuất hiện vào năm 2016 và nhanh chóng lan rộng khắp nhiều khu vực trên thế giới, bao gồm Bắc Mỹ, Châu Âu và Châu Á. Một trong những cuộc tấn công lớn đầu tiên nhắm vào một bệnh viện ở Los Angeles, buộc họ phải trả khoản tiền chuộc 17.000 USD. Một chiến dịch bền vững chống lại các tổ chức chăm sóc sức khỏe khác tiếp tục trong suốt cả năm. Kể từ đó, không có bất kỳ cuộc tấn công Locky đáng kể nào khác.
Bằng cách phân tích một số thành phần của Locky, Nhóm tình báo về mối đe dọa của Avast đã có thể phát hiện ra bằng chứng liên kết phần mềm tống tiền mới với một nhóm tin tặc khét tiếng có tên là Dridex.
Làm cách nào tôi có thể phát hiện Locky ransomware?
Các mục tiêu nhận được một email lừa đảo có chứa tệp đính kèm độc hại đưa Locky vào máy tính của họ. Những email này thường được ngụy trang dưới dạng hóa đơn thanh toán, với các chủ đề như “Khoản thanh toán sắp tới – Thông báo 1 tháng”. Không ai thích nợ tiền, và cảm giác này là điều thúc đẩy nạn nhân mở email.
Nếu bạn đang chạy một công cụ chống ransomware đang hoạt động , công cụ này sẽ xử lý việc phát hiện cho bạn. Bảo vệ mạnh mẽ từ một nhà cung cấp có uy tín là cách bảo vệ tốt nhất của bạn chống lại Locky và các phần mềm tống tiền khác.
Locky hoạt động như thế nào?
Sau khi mở email, bạn sẽ được hướng dẫn tải xuống tệp đính kèm, thường là tài liệu Microsoft Word. Nội dung của tài liệu là vô nghĩa có chủ ý và đây là nơi kỹ thuật xã hội phát huy tác dụng:
Sau khi bạn mở tài liệu đính kèm, nó sẽ nhắc bạn bật macro Word để nội dung của nó có thể được hiển thị đúng cách. Một macro giống như một phím tắt thực hiện một số loại chức năng tự động. Đồng thời với lời nhắc và bật macro của bạn cũng sẽ kích hoạt một tập lệnh độc hại cài đặt phiên bản Locky mới nhất trên máy tính của bạn.
Ngay sau khi điều này xảy ra, các tệp của bạn sẽ bị khóa chặt. Một lý do khiến Locky trở nên nguy hiểm là vì nó có thể mã hóa rất nhiều loại tệp. Ngoài các tệp và video của Microsoft Office, Locky thậm chí có thể xáo trộn mã nguồn máy tính của bạn, khiến máy tính của bạn không sử dụng được. Các tệp của bạn sẽ được đổi tên và thay đổi phần mở rộng của chúng thành phần mở rộng mới, có thể bao gồm .aesir, .odin, .osiris, .thor và chính .locky.
Tại thời điểm này, Locky sẽ hiển thị cho bạn ghi chú đòi tiền chuộc, được bản địa hóa cho khu vực của bạn. Bạn sẽ được yêu cầu cài đặt trình duyệt Tor và chuyển một khoản phí bằng Bitcoin (BTC) để đổi lấy khóa giải mã. Yêu cầu tiền chuộc thông thường nằm trong khoảng từ 0,5 đến 1,0 Bitcoin (BTC), khoảng 4.000 đến 8.000 USD tính đến tháng 11 năm 2019. Nếu bạn có ví BTC trên máy tính của mình, Locky thậm chí có thể mã hóa số tiền đó!
Làm thế nào để loại bỏ phần mềm tống tiền Locky
Nếu bạn đang bị nhiễm Locky, một chương trình chống phần mềm độc hại sẽ có thể xóa nó cùng với mọi phần mềm độc hại có liên quan khỏi máy tính của bạn. Đơn giản chỉ cần kích hoạt phần mềm chống vi-rút của bạn và để nó thực hiện công việc của mình.
Lưu ý rằng việc xóa phần mềm tống tiền sẽ không giải mã và khôi phục các tệp của bạn. Hiện tại không có cách chữa trị nào cho các phương pháp mã hóa của Locky và vì vậy một khi nó nắm giữ các tệp của bạn, chúng sẽ biến mất. Có thể chống lại một số chủng ransomware bằng cách sử dụng các tệp Shadow Copy được tạo bởi Dịch vụ chụp nhanh số lượng lớn của Windows hoặc bằng các khóa giải mã miễn phí của chính Avast , nhưng thật không may, Locky đã xoay sở để tránh được tất cả các bản sửa lỗi có thể.
Đến bây giờ, bạn có thể đi đến kết luận rằng bạn có thể lấy lại các tệp của mình nếu bạn trả tiền chuộc. Đây không phải là sự thật. Không có gì đảm bảo rằng tội phạm mạng đứng sau các cuộc tấn công Locky sẽ thực hiện đúng lời hứa của chúng. Bằng cách chấp nhận yêu cầu tiền chuộc của họ, bạn đang xác nhận rằng các phương pháp của họ có hiệu quả và khuyến khích họ sử dụng chúng để chống lại các nạn nhân khác. Cuối cùng, tiền chuộc của bạn có thể sẽ được sử dụng cho các hoạt động tội phạm trong tương lai.
Cách đáng tin cậy duy nhất để khôi phục các tệp của bạn khỏi bị lây nhiễm Locky là khôi phục chúng từ một bản sao lưu không bị lây nhiễm — đó là lý do tại sao việc đi trước tin tặc một bước và thực hiện sao lưu máy tính của bạn thường xuyên là rất quan trọng.
Cách phòng chống mã độc tống tiền Locky
Ransomware là một trong những loại phần mềm độc hại khó xử lý nhất khi bạn đã bị nhiễm, vì vậy, phòng ngừa luôn là chiến lược phòng thủ tốt nhất của bạn. Thực hành các mẹo sau để giữ cho thiết bị của bạn an toàn khỏi Locky và các phần mềm tống tiền khác :
- Thường xuyên sao lưu các tệp của bạn: Cho dù bạn đang sử dụng dịch vụ đám mây hay ổ đĩa ngoài, thỉnh thoảng hãy sao lưu các tệp của bạn. Nếu bạn đã chọn thiết bị lưu trữ bên ngoài, hãy ngắt kết nối thiết bị đó ngay sau khi quá trình sao lưu của bạn hoàn tất. Locky có thể lây lan sang bất kỳ thiết bị được kết nối nào cũng như bất kỳ mạng nào mà nó có thể truy cập, vì vậy hãy đảm bảo cất ổ đĩa dự phòng của bạn đi.
- Không tải xuống các tệp đính kèm chưa được xác minh: Tội phạm mạng yêu thích email đang trông cậy vào việc bạn tải xuống các tệp đính kèm của chúng. Đừng rơi vào mánh khóe của họ. Bỏ qua các tệp đính kèm chưa được xác minh và không nhấp vào bất kỳ liên kết nào trong email từ những người gửi không xác định.
- Sử dụng công cụ chống phần mềm độc hại: Một giải pháp an ninh mạng đáng tin cậy sẽ bảo vệ bạn không chỉ chống lại phần mềm tống tiền mà còn tất cả các loại phần mềm độc hại và tấn công hack.
- Luôn cập nhật phần mềm của bạn: Nhiều cuộc tấn công bằng phần mềm độc hại dựa vào các lỗ hổng bảo mật trong phần mềm lỗi thời. Đảm bảo cài đặt các bản vá lỗi và cập nhật phần mềm ngay khi có sẵn.
- Tắt macro trong các chương trình Microsoft Office của bạn: Kỹ thuật cài đặt của Locky bắt đầu khi bạn bật macro trong tài liệu Word đính kèm. Tắt macro theo mặc định và sau đó không bao giờ chọn bật chúng trừ khi bạn hoàn toàn chắc chắn rằng tài liệu đó an toàn.
Cộng Đồng