Mã độc tống tiền (ransomware) có tên Yanluowang nhắm mục tiêu vào các doanh nghiệp trên toàn thế giới, mã hóa các tệp trên máy tính và ngăn chặn quyền truy cập vào hệ thống, khiến nạn nhân không thể truy cập vào dữ liệu của họ.
Trước đây, giải pháp duy nhất của nạn nhân là trả tiền chuộc cho tội phạm mạng. Tuy nhiên, sau khi phân tích mã độc này, các nhà nghiên cứu của Kaspersky đã phát triển một công cụ miễn phí cho phép nạn nhân khôi phục các tệp bị ảnh hưởng mà không cần sử dụng khóa của kẻ tấn công. Công cụ này đã có sẵn trên trang web No Ransom.
Mã độc tống tiền đang hoành hành khắp thế giới. (Ảnh minh họa)
Yanlouwang được phát hiện lần đầu tiên vào tháng 10/2021. Tên của nó liên quan đến vị thần Trung Quốc, Yanluo Wang, một trong 10 vị vua của địa ngục. Theo kết quả đo từ xa của Kaspersky, Yanlouwang đã và đang tấn công các doanh nghiệp lớn ở Hoa Kỳ, Thổ Nhĩ Kỳ, Brazil và các quốc gia khác.
Một cuộc tấn công sử dụng Yanluowang bắt đầu bằng việc một người điều khiển khởi chạy việc mã hóa theo cách thủ công. Trong khi mã hóa tệp của nạn nhân, mã độc này thay đổi phần mở rộng tệp thành “.Yanlouwang”. Sau khi tấn công máy tính, một tập tin được để lại với ghi chú tiền chuộc.
Tội phạm mạng đe dọa nạn nhân rằng, nếu họ đến gặp cảnh sát, tất cả các tệp trên máy tính bị nhiễm sẽ bị xóa. Ngay cả sau khi xóa tất cả các tệp, chúng vẫn không dừng lại: Các tác giả của Yanluowang đe dọa sau đó sẽ tấn công toàn bộ công ty bằng các cuộc tấn công DDoS và lây nhiễm mã độc tống tiền trên máy tính của nhân viên công ty.
Một ví dụ về ghi chú tống tiền của một cuộc tấn công Yanluowang
Các chuyên gia của Kaspersky đã phân tích mã độc tống tiền này và tìm ra lỗ hổng cho phép nạn nhân giải mã các tập tin trên máy tính bị nhiễm virus. Người dùng cần có một hoặc nhiều tệp gốc và tải xuống một công cụ giải mã được thiết kế đặc biệt. Sau đó nạn nhân có thể giải mã các tệp bị ảnh hưởng một cách độc lập.
Yanis Zinchenko - nhà nghiên cứu bảo mật tại Kaspersky cho biết: “Mặc dù Yangluowang không phải là một mối đe dọa mã độc tống tiền phổ biến, nó vẫn gây tổn hại cho người dùng và trong cuộc chiến chống lại mã độc tống tiền, mọi chương trình độc hại bị đánh bại đều có giá trị. Mã độc tống tiền là một mối đe dọa quốc tế và đó là lý do vì sao cộng đồng mạng cần hợp tác trong cuộc chiến chống lại mã độc tống tiền”.
Để bảo vệ bản thân khỏi các cuộc tấn công mã độc tống tiền, Kaspersky khuyến nghị:
- Không để lộ ra các dịch vụ máy tính để bàn từ xa, (chẳng hạn như RDP), lên mạng công cộng trừ khi thực sự cần thiết và luôn sử dụng mật khẩu mạnh cho chúng.
- Nhanh chóng cài đặt các bản vá có sẵn cho các giải pháp VPN thương mại cung cấp quyền truy cập từ xa cho nhân viên và hoạt động như các cổng vào mạng của bạn.
- Luôn cập nhật phần mềm trên tất cả các thiết bị bạn sử dụng để ngăn chặn mã độc tống tiền khai thác các lỗ hổng.
- Tập trung chiến lược phòng thủ vào việc phát hiện các chuyển động ngang và dữ liệu xâm nhập vào Internet. Đặc biệt chú ý đến lưu lượng đi để phát hiện các kết nối của tội phạm mạng.
- Sao lưu dữ liệu thường xuyên và đảm bảo bạn có thể truy cập dữ liệu nhanh chóng trong trường hợp khẩn cấp.
- Sử dụng các giải pháp bảo mật giúp xác định và ngăn chặn một cuộc tấn công trong giai đoạn đầu trước khi những kẻ tấn công có thể đạt được mục tiêu cuối cùng của chúng.