Mã độc Locky ransomware đã xuất hiện vào năm 2016. Tính ra mã độc này đã có tuổi đời bảy năm. Giống như hầu hết các chủng raansomware khác ra đời cùng thời điểm đó. Mã độc Locky, xuất hiện dưới dạng tệp đính kèm email. Mã độc này được gắn dưới dạng dạng hóa đơn, yêu cầu thanh toán.
Bài viết này sẽ giải thích tường tận cách hoạt động của Locky. Đưa ra một số cách phòng tránh khi gặp phải loại mã độc này.
Tuy đã được phát hiện và có phương án phòng tránh, tuy nhiên vẫn rất nhiều trường hợp bị dính phải loại mã độc này. Anh em nên chủ động đọc để hiểu tường tận và có cách phòng tránh hiệu quả nha.
1. Locky là gì?
Bắt đầu với khái niệm mã độc locky, luôn là khái niệm khi bắt đầu.
Locky Ransomware is malware that encrypts important files on your computer, rendering them inaccessible and unusable. The attackers demand a ransom payment and promise to give users a Locky ransomware decryption key that only they possess, in return for the payment. This forces victims to pay the ransom.
Mã độc locky là mã độc mã hoá những file quan trọng trên máy tính, khiến chúng không thể truy cập và không thể sử dụng được. Kẻ tấn công yêu cầu thanh toán tiền chuộc và hứa hẹn cung cấp cho người dùng khoá giải mã để lấy lại dữ liệu. Bắt buộc nạn nhân phải trả tiền chuộc
Mã độc locky không khác gì hành vi tống tiền bằng cách mã hoá dữ liệu của nạn nhân. Bản thân người bị hại sẽ hoảng hốt do bị mất quyền truy cập những dữ liệu quan trọng, đôi khi là dữ liệu nhạy cảm. Sau khi đã hiểu locky là gì, giờ là lúc ta tìm hiểu xem locky hoạt động như thế nào?
2. Locky hoạt động như thế nào?
Mã độc nào muốn hoạt động hoặc tấn công người dùng đều phải có phương án để lây nhiễm. Đối với locky thì vật trung gian lây truyền là email.
Email ở đây có thể là email cá nhân, email công ty hoặc bất cứ email nào khác. Mã độc Locky thường lây lan qua các tệp đính kèm trong email, được ngụy trang dưới dạng các tài liệu vô hại, chẳng hạn như hóa đơn hoặc sơ yếu lý lịch.
Khi anh em mở lên và nhấp vào tệp đính kèm, ransomware sẽ được cài đặt trên máy tính và bắt đầu mã hóa các tệp. Việc mã hoá này được thực hiện âm thầm và không để cho nạn nhân có cơ hội phát hiện ra.
Ngoài ra, Locky còn có thể được ngụỵ trang và dấu vào macro của excel, khi người dùng mở lên chỉ thấy 1 file excel thông thường. Bấm vào enable cho phép macro chạy phát là dính chưởng ngay lập tức. Sau khi đã mã hoá file, các định dạng file thường dùng như exe, word, pdf tự động biến thành .locky, .zepto, .odin, .aesir, .thor, .zzzzz, .osiris. Lúc này locky đã mã hoá xong tất cả dữ liệu của anh em trong máy.
Một số loại locky cải tiến không những mã hoá tệp mà còn để lại backdoor (sau khi đã phân tích lỗ hổng của máy tính nạn nhân). Phục vụ cho các lần tấn công tiếp theo. Chính vì vậy, không nên chuyển tiền chuộc lại dữ liệu khi máy tính của anh em bị tấn công bởi locky.
Thế giới ghi nhận nhiều cuộc tấn công bằng mã độc Locky. Tuy nhiên để có báo cáo cụ thể cho anh em biết số lượng và mức độ thiệt hại thì đó là các cuộc tấn công vào dịch vụ chăm sóc sức khoẻ tại mỹ.
Thông thường những kẻ sử dụng locky để tấn công thường chọn các dịch vụ mà người dùng có xác suất mở tệp cao hơn. Dẫn tới số lượng nạn nhân nhiều hơn. Đã ghi nhận một bệnh viện ở Los Angeles phải trả một khoản tiền chuộc lên tới 17.000 đô do bị tấn công bởi mã độ Locky.
Ngoài ra ở các nước phát triển khác như Nhật Bản, Hàn Quốc và Thái Lan cũng đã ghi nhận các cuộc tấn công bằng mã độc Locky vào ngành viễn thông, vận tải và sản xuất. Mặc dù ít thông tin về mức độ thiệt hại. Nhưng con số cho thấy rất nhiều trường hợp đã lựa chọn trả tiền chuộc cho bên tấn công.
Chính vì lấy được tiền và dữ liệu rất nhạy cảm, nên các cuộc tấn công bằng Locky không có xu hướng giảm mà càng ngày càng tăng lên nhiều.
Sau khi đã hiểu rõ mã độc locky cũng như cách thức hoạt động của nó. Giờ là lúc đọc thật kĩ các cách thức phòng tránh loại mã độc này.
Tuy có một số đặc điểm riêng nhưng các phương pháp được sử dụng để bảo vệ chống lại Locky ransomware cũng giống như đối với bất kỳ loại ransomware nào khác. Cũng có phương án chung và phương án riêng.
4.1 Nhận thức về bảo mật
Đầu tiên là nhận thức về bảo mật. Đào tạo nâng cao nhận thức bảo mật là một bước quan trọng trong việc bảo vệ chống lại phần mềm tống tiền Locky và các loại tấn công mạng khác. Locky ransomware thường được gửi qua email lừa đảo hoặc tệp đính kèm độc hại, có thể lừa anh em tải xuống và cài đặt phần mềm độc hại.
Tuy nhiên, nếu anh em tỉnh táo và được đào tạo để có kiến thức mở tệp an toàn khi gửi qua email. Sẽ không có cơ hội cho Locky lây nhiễm.
Cụ thể, bằng cách cung cấp đào tạo nâng cao nhận thức bảo mật cho nhân viên, doanh nghiệp có thể hướng dẫn họ cách nhận biết và tránh các kiểu tấn công này. Đào tạo có thể bao gồm các chủ đề như cách xác định email lừa đảo, cách xác minh tính xác thực của người gửi email và tệp đính kèm cũng như cách báo cáo hoạt động đáng ngờ cho nhân viên bảo mật CNTT.
4.2 Đảm bảo không có lỗ hổng phần mềm
Nghe thì tưởng như là chả có liên quan gì. Tuy nhiên đây lại là một bước quan trọng nha anh em . Trong việc bảo vệ chống lại mã độc tống tiền Locky và các loại tấn công mạng khác. Locky ransomware thường khai thác các lỗ hổng trong phần mềm để có quyền truy cập vào hệ thống và lây nhiễm phần mềm độc hại vào.
Mà phần mềm xài ở công ty hay máy cá nhân của anh em thì đều có bản cập nhật. Họ phát hành các bản cập nhật và bản vá để khắc phục các lỗ hổng này và cải thiện tính bảo mật cho sản phẩm/ Anh em nên cập nhật tường xuyên cài đặt các bản cập nhật và bản vá này, vừa bảo vệ cá nhân, vừa bảo vệ doanh nghiệp có thể đảm bảo rằng phần mềm của họ được bảo vệ trước các mối đe dọa mới nhất.
4.3 Giám sát lưu lượng mạng
Lại một giải pháp nghe chừng chả có liên quan gì nhưng nếu tập lệnh Locky đang gửi thông tin giữa thiết bị của nạn nhân và máy chủ C&C.
Lúc đó anh em có thể sử dụng giải pháp ngăn chặn xâm nhập để giúp bạn phát hiện, chặn và báo cáo về lưu lượng truy cập mạng vào và ra đáng ngờ. Đây cũng là một cách chặn và hạn chế tác động của Locky tới toàn hệ thống mạng. Nhất là hệ thống mạng doanh nghiệp
4.4 Kiểm soát quyền của người dùng
Ở trong mạng doanh nghiệp, việc phân quyền nên được thực hiện tốt. Ví dụ: tập lệnh có thể cố tạo tài khoản đặc quyền mới hoặc truy cập tài khoản. Nhưng các quyền này đã bị hạn chế bởi admin của hệ thống.
Việc kiểm soát và theo dõi trong phạm vi người dùng có thể giúp ích rất nhiều trong việc hạn chế cuộc tấn công. Ví dụ để xác định các cuộc tấn công Locky, anh em có thể có thể tạo tập lệnh sẽ kích hoạt cảnh báo khi x số lượng tệp và phần mở rộng tệp được đổi tên trong một khung thời gian nhất định.
Nếu quá nhiều thì anh em phản hồi bằng cách vô hiệu hóa tài khoản người dùng, thu hồi quyền, thay đổi cài đặt tường lửa, tắt xuống các máy chủ bị ảnh hưởng và/hoặc bất kỳ thứ gì khác có thể giúp ngăn chặn cuộc tấn công lan rộng. Cái này hạn chế thiệt hại nếu có.
