Virus tống tiền CTBLocker giả mạo bản cập nhật Chrome lừa người dùng

Tuy không tăng nhiều về số trường hợp bị nhiễm tống tiền . Tuy nhiên, theo Công ty gần đây mới xuất hiện hình thức lừa người dùng cập nhật trình duyệt Google Chrome giả mạo từ đường link được nhúng trong thư có chứa virus CTBLocker.

tin-tuc-5-2Virus chuyên tống tiền CTBLocker hiển thị đồng hồ đếm ngược, yêu cầu nạn nhân trả tiền chuộc trước khi dữ liệu của họ bị mất. (Ảnh minh họa)

Theo thông tin Bkav, những ngày gần đây, đã xuất hiện một chiến dịch thư rác mới liên quan đến mã độc mã hóa file CTB-Locker (còn gọi laf Critroni) nhằm lừa người dùng cập nhật trình duyệt Chrome từ đường link được nhúng trong thư.

CTBLocker là một một biến thể mới của dòng mã độc tống tiền , từng tấn công khoảng 200.000 – 250.000 máy tính trên thế giới vào giữa tháng 12/2013. Loại mã độc tống tiền này có khả năng mã hóa dữ liệu trên hệ thống, sau đó hiển thị một đoạn thông điệp yêu cầu nạn nhân trả tiền chuộc để giải mã dữ liệu của mình.

Cũng theo Bkav, nhà nghiên cứu Jerome Segura của hãng Malwarebytes cho hay, mã độc được tải từ các website có khả năng đã bị tội phạm mạng chiếm quyền kiểm soát làm nơi chứa mã độc CTBLocker. Nguy cơ tấn công nằm ở cơ chế chuyển hướng linh động, được xác định là nằm tại địa chỉ assetdigitalmarketing[.]com/redirect[.]php. Thứ mà nạn nhân nhận được là file giả mạo chương trình cài đặt của Google Chrome. Sau khi người dùng tải về, quá trình mã hóa sẽ bắt đầu và thông điệp tống tiền sẽ xuất hiện sau khi hoàn thành bước mã hóa.

Các chuyên gia cho biết, người dùng chỉ có thể khôi phục dữ liệu mà không cần trả tiền chuộc cho hacker nếu đây là loại biến thể cũ của mã độc bởi biến thể cũ không xóa bản sao của các file được tạo dựng bởi dịch vụ sao lưu ổ đĩa (Windows Volume Shadow Service). Nếu may mắn, dữ liệu có thể phục hồi bằng cách sử dụng các chương trình như Shadow Explorer; tuy nhiên không phải tất cả các biến thể đều có lỗi này.

Chuyên gia Bkav khuyến cáo: “Người dùng tuyệt đối không mở file đính kèm từ các email không rõ nguồn gốc. Trong trường hợp bắt buộc phải mở để xem nội dung, người sử dụng có thể mở file trong môi trường cách ly an toàn Safe Run”.

Để hỗ trợ người dùng, ngày 23/1/2015, Công ty Bkav đã phát hành công cụ diệt virus chuyên tống tiền CTBLocker. Với công cụ này, người dùng không cần cài đặt mà có thể chạy luôn để quét virus. Người sử dụng có thể tải công cụ diệt virus tống tiền CTBLocker từ địa chỉ: www.bkav.com.vn/download/BkavRS.exe.

Trước đó, vào ngày 22/1, Bkav đã có cảnh báo người dùng về sự xuất hiện, phát tán mạnh mẽ tại Việt Nam của virus để tống tiền CTBLocker. Theo dõi từ hệ thống giám sát virus của Bkav, hàng loạt người dùng Việt Nam đã nhận được các email spam có đính kèm file “.zip” mà khi mở file này, máy tính của người dùng sẽ bị kiểm soát và các file dữ liệu (Word, Excel) sẽ bị mã hóa, không thể mở ra được. Dữ liệu đã bị mã hóa sẽ không thể được khôi phục vì hacker sử dụng thuật mã hóa công khai và khóa bí mật dùng để giải mã chỉ được lưu giữ trên server của hacker.

Tuy nhiên, trao đổi với ICTnews chiều nay (4/2/2015), đại diện Bkav cho biết, hiện số nạn nhân bị nhiễm virus tống tiền  CTBLocker tăng không nhiều. Thống kê từ hệ thống giám sát virus của công ty Bkav, đến nay tổng số trường hợp bị nhiễm virus tống tiền CTBLocker tại Việt Nam là khoảng 1.400 trường hợp.

Trong loạt sản phẩm an ninh mạng Bkav 2015 được chính thức ra mắt hôm nay, công nghệ chống mã độc mã hóa dữ liệu tống tiền, Anti Ransomware, đã được công ty an ninh mạng này tích hợp vào các sản phẩm. Công nghệ Anti Ransomware giám sát toàn bộ thay đổi trên file dữ liệu của người dùng và kịp thời ngăn chặn những hành vi bất thường như đổi tên, mã hóa dữ liệu.

Theo Ictnews

Bài viết liên quan