Mã độc tống tiền Mamba tái xuất

11/08/2017 11:28 GMT+7

Mã độc tống tiền (ransomware) có tên Mamba đã được phát hiện bởi hãng bảo mật Morphus Labs vào tháng 9 năm ngoái, đang bắt đầu quay trở lại với phạm vi tấn công rộng lớn hơn.

Theo Neowin, trong khi các ransomware tiêu biểu mã hóa tập hợp các tập tin được xác định trước thì Mamba hoạt động ở mức nguy hiểm hơn, đó là khóa toàn bộ ổ cứng. Nó cũng tác động vào quá trình khởi động của hệ thống khiến người dùng không thể sử dụng được máy tính.
Sau một thời gian im ắng, có vẻ như những kẻ phát tán Mamba đã bắt đầu quay trở lại với mục tiêu hướng vào nhiều công ty hơn. Theo một bài đăng trên blog của Anton Ivanov và Orkhan Mamedov đến từ hãng bảo mật Kaspersky, cuộc tấn công mới nhất của Mamba đang được thực hiện nhắm vào các mục tiêu ở Brazil và Ả Rập Xê Út. Mamba vẫn sử dụng chương trình mã nguồn mở hợp pháp gọi là DiskCryptor với nhiệm vụ mã khóa toàn bộ ổ đĩa cứng.
Một khi Mamba được cài đặt, hệ thống buộc phải khởi động lại. Mã độc này sẽ bắt đầu quá trình sửa đổi Master Boot Record (MBR) trước khi tiến hành mã hóa các phân vùng bằng mật khẩu. Ngay sau khi quá trình hoàn tất, hệ thống sẽ tiến hành khởi động lại. Thay vì khởi động vào hệ điều hành như thông thường, nạn nhân sẽ thấy một yêu cầu khoản tiền chuộc hiện ra với thông điệp: “Your Data Encrypted, Contact For Key( Mcrypt2017@yandex.com OR citrix2234@protonmail.com ) Your ID: 721 . Enter Key:”.
Thông điệp hiện ra yêu cầu người dùng nhập mã khóa để giải mã Ảnh: Kaspersky
Tuy nhiên, ở thời điểm hiện tại chưa có phương pháp nào được biết đến để có thể giải mã các tập tin hoặc ổ đĩa bị khóa bởi Mamba. Kaspersky nói rằng mã độc này sử dụng các thuật toán mã hóa mạnh mẽ khiến việc giải mã là khá khó khăn.
Theo khuyến cáo từ các chuyên gia an ninh mạng, để tránh gặp phải những ransomware xuất hiện ngày càng nhiều như hiện nay người tiêu dùng cần tránh truy cập vào các trang web độc hại.
Top

Bạn không thể gửi bình luận liên tục. Xin hãy đợi
60 giây nữa.