>> Trojan "bắt cóc" Windows đòi tiền chuộc
>> Sự trở lại của phần mềm "bắt cóc" dữ liệu, đòi tiền chuộc
Thông điệp “tống tiền” của một trong hai chủng ransomware mới bị phát hiện - Ảnh: Zdnet |
Hãng TrenMicro cho biết đã phát hiện kịp thời một chủng ransomware chuyên lây nhiễm vào khu vực Master Boot Record (*), từ đó khiến máy tính của người dùng không thể khởi động. Thay vào đó, cỗ máy sẽ tự khởi động lại, rồi hiển thị thông điệp yêu cầu người dùng chuyển một khoản tiền vào tài khoản của tin tặc để được nhận mã “mở khóa”.
Cùng lúc đó, một chủng ransomware khác cũng vừa bị lật tẩy bởi hai công ty bảo mật F-Secure và Dr.Web. Theo đó, phần mềm tống tiền này sẽ mã hóa toàn bộ tập tin và chương trình ngay khi người dùng khởi động máy tính, bằng cách chèn đuôi mở rộng mang nội dung “<>.EnCiPhErEd>” sau mỗi tên file. Người dùng “được phép” nhập mã mở khóa năm lần, trước khi loại mã độc này tự xóa chính nó và giữ nguyên tình trạng mã hóa của những file bị lây nhiễm.
Loại ransomware thứ hai này yêu cầu người dùng chuyển khoản các đoạn mã (code) Ukrash hoặc Paysafecard (tên của những dịch vụ thanh toán trực tuyến) tương ứng với số tiền 50 euro đến địa chỉ koeserg@... để nhận được đoạn mã mở khóa. Kẻ xấu cũng đe dọa nếu nhập quá năm lần cho phép, những file bị mã hóa sẽ “không cách nào khôi phục được”.
Trước tình trạng các vụ tấn công sử dụng ransomware ngày càng tăng cao, các công ty bảo mật đều khuyên người dùng cần thận trọng trước những đường dẫn (link) trong các thư rác (spam), cũng như luôn cập nhật cơ sở dữ liệu cho phần mềm diệt virus trong máy tính.
<>(*) Master Boot Record (MBR):> tạm dịch là “Bản ghi khởi động”, là một đoạn mã nằm ở phân khu (sector) đầu tiên của ổ cứng, có dung lượng vào khoảng 512 byte. MBR lưu giữ mọi thông tin về các partition (phân vùng) hiện diện trong ổ cứng, cũng như quản lý việc partition nào sẽ khởi động. Hệ thống BIOS được nạp trước mỗi lần khởi động máy lấy dữ liệu chính từ MBR này.
Nói ngắn gọn, trong một ổ cứng có bao nhiêu partition thì cũng chỉ có duy nhất một MBR, nếu có bất cứ hư tổn nào (về vật lý hay do bị virus phá hoại) ở sector chứa MBR, ổ cứng của người dùng sẽ không thể khởi động được. Đây là lý do các phần mềm độc hại thường chọn MBR làm nơi lây nhiễm đầu tiên.
TRÍ VƯƠNG