Marketing tổng thể

Locky là loại mã độc gì – Sự nguy hiểm của mã độc tống tiền Locky

Locky là loại mã độc gì? Phân tích mã độc này là loại mã độc gì ? Là câu hỏi có rất nhiều người thắc mắc. Sau đây bài viết này SEMTEK sẽ giúp bạn tháo gỡ những thắc mắc của mọi người về loại mã độc Locky này.

Locky là loại mã độc gì?

Đã nhiều lần bạn nghe nói đến máy tính bị nhiễm virut. Một trong số đó là do Locky. Locky là loại mã độc gì? làm sao nó lại nguy hiểm và có thể đe dọa đến thiết bị của bạn. Hãy cùng SEMTEK tìm hiểu nhé.

Báo chí có đăng rất nhiều những thông tin về loại mã độc khi phát tán ra không gian mạng. Người xấu số nào không may click vào file chứa mã độc thì sẽ bị loại mã độc này chiếm quyền quản trị thiết bị của bạn như máy tính.

Locky là loại mã độc tống tiền được hacker sử dụng để mã hóa các tập tin dữ liệu của nạn nhân. Điều đặc biệt là từ khi được phát hiện đến nay mã độc locky đã có biến thể nguy hiểm hơn có thể vượt qua được tường lửa windown, phần mềm diệt virut.

Theo báo cáo mới nhất của các công ty phát triển phần mềm diệt virus. Mã độc tống tiền locky đã lây lan tới hơn 114 quốc gia, vùng lãnh thổ trên toàn thế giới. Vào năm 2016 Việt nam ghi nhận 107 thiết bị bị nhiễm mã độc locky.

locky là loại mã độc gì

Nguyên nhân bị nhiễm mã độc Locky

Có rất nhiều nguyên nhân dẫn đến việc bạn bị mất quyền quản trị máy tính của mình do mã độc tống tiền locky. Nhưng thông thường do hạn chế về việc tiếp cận với công nghệ, nhẹ dạ cả tin. Hacker thường dùng những lỗ hổng này để tống tiền nạn nhân đòi tiền chuộc dữ liệu. Bạn hãy xem những nguyên nhân sau để thoát khỏi cái bẫy mã độc tống tiền này nhé.

  • Mở những tập tin lạ dạng .zip hoặc .doc của Microsoft Office được gửi kèm trong email
  • Tải phần mềm ở những nơi không an toàn, đặc biệt là những phần mềm crack.
  • Không kiểm tra cẩn thận các file xem đó có phải là file mình mong muốn được nhận hay không

Cách thức phát tán của mã độc locky

Mã độc locky có cách thức phát tán tương tự như các loại malware Dridex. Tin tặc nhúng mã locky vào các file được đính kèm trong email hoặc giả dạng tập tin hóa đơn cần chạy macro để gửi đến mục tiêu. Nạn nhân sau khi click vào tệp file gửi đến, mã độc locky nhanh chóng được kích hoạt và xâm nhập vào máy tính.

Locky là loại mã độc có dung lượng nhỏ, chỉ khoảng 100kb. Sau khi khởi động, locky sẽ tự di chuyển đến thư mục temp\svchost.exe và bắt đầu thực thi nhiệm vụ xóa dữ liệu trên ổ cứng. Tuy nhiên, locky sẽ bỏ qua các tập tin/thư mục hệ thống như tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, System Volume Information và Boot. Sau khi khởi động, hệ điều hành không hề nhận biết được và đưa ra cảnh báo rằng hệ thống đang bị virus tấn công.

Ngoài ra, locky còn giúp tin tặc thu thập các dữ liệu cá nhân và thông tin nhạy cảm khác về tài khoản mạng xã hội, thư điện tử hay tài khoản ngân hàng… để bán hoặc tống tiền nạn nhân.

Locky là loại mã độc gì và những biến thể nào mới xuất hiện

Các chuyên gia bảo mật từ Malwarebytes Labs đã phát hiện biến thể nguy hiểm của mã độc tống tiền locky có tên là Lukitus.

Tin tặc vẫn dùng các phương pháp thông thường thông qua các tập tin Microsoft Office hoặc ZIP đính kèm qua mail để gài bẫy mục tiêu. Một khi tập tin được tải xuống, sẽ kích hoạt mã độc ngay và bắt đùa mã hóa các tập tin dữ liệu trong máy tính nạn nhân.

Trong chiến dịch mới này, các chuyên gia phát hiện locky sử dụng một phần mở rộng tập tin mới gọi là “.lukitus”. Và khi virus xâm nhập vào hệ thống, nó sẽ nối thêm phần mở rộng rộng này vào tất cả các tập tin bị lây nhiễm. Tập tin tải xuống sẽ biến mất và được thay thế bằng tập tin có chứa yêu cầu tống tiền.

Danh sách các tệp tin bị mã hóa

Mã độc Locky sẽ tìm kiếm các tệp tin có phần mở rộng sau đây:

locky là loại mã độc gì

Với mỗi tệp tin phù hợp, mã độc Locky sẽ tạo ra một khóa 128-bit và mã hóa nội dung tệp tin với thuật toán AES-128 trong chế độ CTR. Tệp tin bị mã hóa sẽ có tên <16 kí tự HEX cho phần ID><16 kí tự HEX ngẫu nhiên>.locky . Cấu trúc sau sẽ được thêm vào phần cuối của tệp tin:

Trong cú pháp ngôn ngữ C, đoạn mã trên được giải thích như sau:

struct file_data

{

uint32_t start_marker;          //Structure start marker = 0x8956FE93

char id[16];                    //Infection ID

uint8_t aes_key[256];           //AES key encrypted with RSA-2048

uint32_t name_marker;           //Name start marker encrypted with AES (= 0xD41BA12A after decryption)

uint8_t orig_name[520];         //Original file name encrypted with AES

WIN32_FILE_ATTRIBUTE_DATA attr; //Original file attributes encrypted with AES

};

Locky là loại mã độc gì và Thông điệp đòi tiền chuộc từ Locky

Sau khi mã hóa tệp tin của người dùng, Trojan Locky sẽ hiển thị thông điệp dưới đây:

Thông điệp đòi tiền chuộc bằng tiếng Anh

Thông điệp đòi tiền chuộc bằng tiếng Đức

Trong mã nguồn ta có thể thấy danh sách đầy đủ các ngôn ngữ được hỗ trợ. Tin tặc đang làm hết mình để có thể giao tiếp với nạn nhân tại các quốc gia lớn bị tấn công. Tuy nhiên, ngôn ngữ Nga và ngôn ngữ các quốc gia thuộc liên bang Nga cũ lại không hề có trong danh sách.

Kết nối với máy chủ điều khiển (C&C)

Trong đoạn mã của Locky chứa từ 1 đến 3 địa chỉ IP của máy chủ C&C. Đoạn mã dùng thuật toán tạo ra địa chỉ C&C mới (DGA, thuật toán tạo tên miền) dựa trên ngày tháng năm hiện tại. Với thuật toán này, 6 địa chỉ C&C được tạo ra mỗi ngày. Đoạn mã giả cho thấy thuật toán DGA được đánh dấu trong hình dưới đây:

 

Kết nối đến một C&C được thực hiện thông qua giao thức HTTP. Mã độc Locky gửi một yêu cầu POST request đến địa chỉ với định dạng http://<cnc_url>/main.php; dữ liệu truyền tải sẽ được mã hóa với một thuật toán đối xứng đơn giản.

Các dạng thông số được gửi đi bao gồm:

  1. Thông báo về lây nhiễm thành công và yêu cầu khóa id=<infection id> &act=getkey&affid=<partner id contained in the Trojan’s body> &lang=<language of the operating system> &corp=<whether the OS is a corporate OS> &serv=<whether the OS is a server OS> &os=<OS version> &sp=<version of OS service pack> &x64=<whether the OS is 32- or 64-bit>
  2. Gửi danh sách các đường dẫn bị mã hóa id=<infection id> &act=report&data=<list of paths> Với mỗi ổ đĩa đã được xử lý, Locky sẽ gửi dến máy chủ điều khiển một danh sách tất cả đường dẫn của tất cả các tệp tin.
  3. Gửi thống kê mỗi ổ đĩa cứng được xử lý id=<infection id> &act=stats&path=<path> &encrypted=<number of files encrypted> &failed=<number of errors> &length=<total size of encrypted files>

Tin tặc thu thập số liệu thống kê rất chi tiết về mỗi thiết bị lẫy nhiễm. Các họ mã độc tống tiền khác thường không làm việc này.

Locky là loại mà độc gì và cách khắc phục như thế nào?

Locky là lọai mã độc phổ biến thời gian gần đây. Hiện tại vẫn chưa có cách nào để ngăn chặn triệt để Trojan locky này. Theo khuyến cáo của những chuyên gia bảo mật đầu ngành, bạn nên thực hiện các biện pháp sau để bảo vệ bản thân khỏi mã độc tống tiền locky.

  • Không mở các tệp tin đính kèm trong email được gửi từ nguồn không rõ ràng.
  • Sao lưu dữ liệu định kì và lưu trữ bản sao sao lưu trên một thiết bị lưu trữ tách khác rời hoặc lưu trữ trên cloud.
  • Thường xuyên cập nhật phần mềm diệt virus, hệ điều hành và các phần mềm cài đặt trên máy tính.
  • Tạo một thư mục mạng riêng biệt với mỗi người dùng khi quản lý truy cập đến thư mục mạng được chia sẻ..

Lời kết

Trên đây SEMTEK đã cho bạn biết Locky là loại mã độc gì? nguyên nhân máy tính của bạn bị nhiễm mã độc locky và cách khắc phục nó ra sao. Để yên tâm hơn thì bạn không nên tò mò mở những file mà bạn chưa biết chắc chắn là nó an toàn nhé. Chúc bạn thành công

 

Tìm kiếm liên quan

  • wannacry là tên một loại mã độc nào dưới đây?
  • mã độc nào được thiết kế để lây lan qua các thiết bị iot
  • mã độc coinhive là

Nội dung liên quan

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Back to top button