Locky là một loại phần mềm độc hại có thể mã hóa các tệp quan trọng trên máy tính của bạn và giữ chúng làm con tin trong khi yêu cầu thanh toán tiền chuộc. Tìm hiểu Locky là loại mà độc gì, cách thức hoạt động của mã độc Locky, cách bạn có thể ngăn Locky lây nhiễm vào máy tính của mình,… Tất cả sẽ được trình bày trong bài viết của GhienCongNghe.

Locky là loại mã độc gì?

Locky được gửi qua email (được cho là hóa đơn yêu cầu thanh toán) cùng với tài liệu Microsoft Word đính kèm có chứa các macro độc hại. … phần mở rộng tệp Locky đã được sử dụng cho các tệp được mã hóa này.

Locky tấn công nạn nhân bằng cách mã hóa các tệp của họ khiến chúng vừa không thể truy cập vừa không sử dụng được và sau đó yêu cầu thanh toán để đổi lấy việc khôi phục mọi thứ trở lại bình thường. Tội phạm mạng hứa hẹn cung cấp cho người dùng khóa giải mã ransomware Locky mà chỉ chúng sở hữu, do đó buộc nạn nhân phải trả tiền chuộc.

Mã độc Locky đến từ đâu?

Locky dựa vào các kỹ thuật kỹ thuật xã hội để truy cập vào máy tính của nạn nhân, với email làm véc tơ truyền được lựa chọn. Phần mềm tống tiền khó chịu này xuất hiện lần đầu tiên vào năm 2016 và nhanh chóng lây lan khắp nhiều khu vực trên thế giới, bao gồm Bắc Mỹ, Châu Âu và Châu Á.

Một trong những cuộc tấn công lớn đầu tiên nhắm vào một bệnh viện ở Los Angeles, buộc họ phải giao khoản tiền chuộc 17.000 USD. Một chiến dịch bền vững chống lại các cơ sở chăm sóc sức khỏe khác đã tiếp tục trong suốt cả năm. Kể từ đó, không có bất kỳ cuộc tấn công Locky quan trọng nào khác.

Bằng cách phân tích một số thành phần của Locky, Nhóm tình báo về mối đe dọa của Avast đã có thể phát hiện ra bằng chứng liên kết phần mềm ransomware mới với một tập thể hacker khét tiếng được gọi là Dridex.

Locky hoạt động như thế nào

Sau khi mở email, bạn sẽ được chuyển hướng tải xuống tệp đính kèm, thường là tài liệu Microsoft Word. Nội dung của tài liệu là vô nghĩa có chủ đích và đây là lúc kỹ thuật xã hội phát huy tác dụng:

Sau khi bạn mở tài liệu đính kèm, nó sẽ nhắc bạn bật macro Word của mình để nội dung của nó có thể được hiển thị đúng cách. Macro giống như một phím tắt thực hiện một số loại chức năng tự động. Cùng với lời nhắc và bật macro của bạn cũng kích hoạt một tập lệnh độc hại cài đặt phiên bản Locky mới nhất trên máy tính của bạn.

Ngay sau khi điều này xảy ra, các tệp của bạn sẽ bị khóa chặt. Một lý do khiến Locky trở nên nguy hiểm là do có nhiều loại tệp mà nó có thể mã hóa. Ngoài các tệp và video Microsoft Office, Locky thậm chí có thể xáo trộn mã nguồn máy tính của bạn, điều này khiến máy tính của bạn không thể sử dụng được.

Các tệp của bạn sẽ được đổi tên và các phần mở rộng của chúng được thay đổi thành các phần mở rộng mới, có thể bao gồm .aesir, .odin, .osiris, .thor và .locky.

Tại thời điểm này, Locky sẽ hiển thị cho bạn ghi chú tiền chuộc của nó, được bản địa hóa cho khu vực của bạn. Bạn sẽ được yêu cầu cài đặt trình duyệt Tor và chuyển một khoản phí bằng Bitcoin (BTC) để đổi lấy khóa giải mã.

Yêu cầu tiền chuộc điển hình nằm trong khoảng từ 0,5 đến 1,0 Bitcoin (BTC), khoảng 4.000 đến 8.000 đô la vào tháng 11 năm 2019. Nếu bạn có ví BTC trên máy tính của mình, Locky thậm chí có thể mã hóa số tiền đó.

Làm thế nào để biết máy tính nhiễm mã độc Locky

Các mục tiêu nhận được một email lừa đảo có chứa tệp đính kèm độc hại đưa Locky vào máy tính của họ. Những email này thường được ngụy trang dưới dạng hóa đơn thanh toán, với các chủ đề như “Thanh toán sắp tới – Thông báo 1 tháng”. Không ai thích nợ tiền, và cảm giác này là động lực thúc đẩy nạn nhân mở email.

Nếu bạn đang chạy một công cụ chống ransomware đang hoạt động, nó sẽ xử lý việc phát hiện cho bạn. Sự bảo vệ mạnh mẽ từ một nhà cung cấp có uy tín là cách bảo vệ tốt nhất của bạn chống lại Locky và các phần mềm tống tiền khác.

Cách loại bỏ mã độc Locky

Nếu bạn đang phải đối mặt với sự lây nhiễm Locky, một chương trình chống phần mềm độc hại sẽ có thể xóa nó cùng với bất kỳ phần mềm độc hại nào có liên quan khỏi máy tính của bạn. Đơn giản chỉ cần kích hoạt phần mềm chống virus của bạn và để nó thực hiện công việc của mình.

Lưu ý rằng việc loại bỏ ransomware sẽ không giải mã và khôi phục các tệp của bạn. Hiện không có cách chữa trị nào được biết đến đối với các phương pháp mã hóa của Locky và vì vậy một khi nó có được các tệp của bạn, chúng sẽ biến mất.

Một số loại ransomware có thể được chống lại bằng cách sử dụng các tệp Shadow Copy được tạo bởi Windows Volume Snapshot Service hoặc bằng các khóa giải mã miễn phí của riêng Avast, nhưng thật không may, Locky quản lý để loại bỏ tất cả các bản sửa lỗi.

Bây giờ, bạn chỉ có thể đi đến kết luận rằng bạn có thể lấy lại các tệp của mình nếu bạn trả tiền chuộc. Đây không phải là cách làm đáng tin cậy. Không có gì đảm bảo rằng tội phạm mạng đằng sau các cuộc tấn công Locky sẽ tuân theo lời hứa của chúng.

Bằng cách đưa ra yêu cầu đòi tiền chuộc của chúng, bạn sẽ khiến tội phạm nghĩ rằng các phương pháp chuộc tiền phi pháp kia là hiệu quả và khuyến khích tội phạm sử dụng chúng để chống lại các nạn nhân khác. Cuối cùng, tiền chuộc của bạn có thể sẽ được sử dụng cho các hoạt động tội phạm trong tương lai.

Cách đáng tin cậy duy nhất để khôi phục tệp của bạn khỏi bị nhiễm Locky là khôi phục chúng từ bản sao lưu không bị nhiễm, đó là lý do tại sao điều quan trọng là phải đi trước tin tặc một bước và thực hiện sao lưu thường xuyên máy tính của bạn.

Cách ngăn chặn mã độc Locky

Ransomware là một trong những loại phần mềm độc hại khó xử lý nhất khi bạn đã bị lây nhiễm, vì vậy, phòng ngừa luôn là chiến lược phòng thủ tốt nhất của bạn. Thực hành các mẹo sau để giữ thiết bị của bạn an toàn trước Locky và các phần mềm tống tiền khác:

Thường xuyên sao lưu tệp của bạn

Cho dù bạn đang sử dụng dịch vụ đám mây hay ổ đĩa ngoài, hãy thường xuyên sao lưu tệp của bạn. Nếu bạn đã chọn thiết bị lưu trữ bên ngoài, hãy ngắt kết nối thiết bị đó ngay sau khi quá trình sao lưu của bạn hoàn tất.

Locky có thể lây lan sang bất kỳ thiết bị được kết nối nào cũng như bất kỳ mạng nào mà nó có thể truy cập, vì vậy hãy nhớ cất ổ đĩa dự phòng của bạn đi.

Không tải xuống các tệp đính kèm chưa được xác minh

Tội phạm mạng ưa sử dụng email đang trông chờ vào bạn để tải xuống tệp đính kèm của chúng. Đừng rơi vào những mánh khóe của tội phạm. Bỏ qua các tệp đính kèm chưa được xác minh và không nhấp vào bất kỳ liên kết nào trong email từ những người gửi không xác định.

Sử dụng công cụ chống phần mềm độc hại

Một giải pháp an ninh mạng đáng tin cậy sẽ bảo vệ bạn chống lại không chỉ phần mềm tống tiền mà còn tất cả các loại phần mềm độc hại và hack.

Luôn cập nhật phần mềm của bạn

Nhiều cuộc tấn công bằng phần mềm độc hại dựa vào các lỗ hổng bảo mật trong phần mềm lỗi thời. Đảm bảo cài đặt các bản vá và bản cập nhật phần mềm ngay khi chúng có sẵn.

Tắt macro trong các chương trình Microsoft Office của bạn

Kỹ thuật cài đặt của Locky sẽ có hiệu lực khi bạn bật macro trong tài liệu Word đính kèm. Tắt macro theo mặc định, sau đó không bao giờ chọn bật chúng trừ khi bạn hoàn toàn chắc chắn rằng tài liệu an toàn.

Khi Word đang mở, đi tới File > Options > Trust Center > Trust Center Settings > Macro Settings, sau đó chọn cài đặt macro bạn muốn.

Các bước này sẽ ngăn chặn không chỉ Locky mà còn ngăn chặn các loại ransomware khác như Petya, Cerber và WannaCry.

Xem thêm:

• Ransomware là gì và cách giải quyết khi gặp phải
• Worm là gì? Sự khác biệt giữa Worm và Virus máy tính
• Virus Trojan là gì? Giống Virus hay Malware máy tính không?

Nếu cảm thấy bài viết Locky là loại mã độc gì này có ích, hãy Like & Share để GhienCongNghe tiếp tục ra mắt những bài viết chất lượng hơn nhé.

Tham khảo Avast