Table of Contents

Locky là loại mã độc gì? Sự nguy hiểm cực kỳ ẩn chứa trong mẫu email lạ
Khám phá

Locky là loại mã độc gì? Sự nguy hiểm cực kỳ ẩn chứa trong mẫu email lạ

Locky là một loại mã độc cực kỳ nguy hiểm trên máy tính vào năm 2016. Khiến bao nhiêu doanh nghiệp phải đau đầu. Tìm hiểu ngay Locky là loại mã độc gì trong bài viết của GhienCongNghe sau đây.

Locky là một loại phần mềm độc hại có thể mã hóa các tệp quan trọng trên máy tính của bạn và giữ chúng làm con tin trong khi yêu cầu thanh toán tiền chuộc. Tìm hiểu Locky là loại mà độc gì, cách thức hoạt động của mã độc Locky, cách bạn có thể ngăn Locky lây nhiễm vào máy tính của mình,… Tất cả sẽ được trình bày trong bài viết của GhienCongNghe.

Locky là loại mã độc gì?

Locky được gửi qua email (được cho là hóa đơn yêu cầu thanh toán) cùng với tài liệu Microsoft Word đính kèm có chứa các macro độc hại. … phần mở rộng tệp Locky đã được sử dụng cho các tệp được mã hóa này.

Locky tấn công nạn nhân bằng cách mã hóa các tệp của họ khiến chúng vừa không thể truy cập vừa không sử dụng được và sau đó yêu cầu thanh toán để đổi lấy việc khôi phục mọi thứ trở lại bình thường. Tội phạm mạng hứa hẹn cung cấp cho người dùng khóa giải mã ransomware Locky mà chỉ chúng sở hữu, do đó buộc nạn nhân phải trả tiền chuộc.

Mã độc Locky đến từ đâu?

Locky dựa vào các kỹ thuật kỹ thuật xã hội để truy cập vào máy tính của nạn nhân, với email làm véc tơ truyền được lựa chọn. Phần mềm tống tiền khó chịu này xuất hiện lần đầu tiên vào năm 2016 và nhanh chóng lây lan khắp nhiều khu vực trên thế giới, bao gồm Bắc Mỹ, Châu Âu và Châu Á.

Một trong những cuộc tấn công lớn đầu tiên nhắm vào một bệnh viện ở Los Angeles, buộc họ phải giao khoản tiền chuộc 17.000 USD. Một chiến dịch bền vững chống lại các cơ sở chăm sóc sức khỏe khác đã tiếp tục trong suốt cả năm. Kể từ đó, không có bất kỳ cuộc tấn công Locky quan trọng nào khác.

Locky là loại mã độc gì

Bằng cách phân tích một số thành phần của Locky, Nhóm tình báo về mối đe dọa của Avast đã có thể phát hiện ra bằng chứng liên kết phần mềm ransomware mới với một tập thể hacker khét tiếng được gọi là Dridex.

Làm thế nào để biết máy tính nhiễm mã độc Locky

Các mục tiêu nhận được một email lừa đảo có chứa tệp đính kèm độc hại đưa Locky vào máy tính của họ. Những email này thường được ngụy trang dưới dạng hóa đơn thanh toán, với các chủ đề như “Thanh toán sắp tới – Thông báo 1 tháng”. Không ai thích nợ tiền, và cảm giác này là động lực thúc đẩy nạn nhân mở email.

Nếu bạn đang chạy một công cụ chống ransomware đang hoạt động, nó sẽ xử lý việc phát hiện cho bạn. Sự bảo vệ mạnh mẽ từ một nhà cung cấp có uy tín là cách bảo vệ tốt nhất của bạn chống lại Locky và các phần mềm tống tiền khác.

Locky hoạt động như thế nào

Sau khi mở email, bạn sẽ được chuyển hướng tải xuống tệp đính kèm, thường là tài liệu Microsoft Word. Nội dung của tài liệu là vô nghĩa có chủ đích và đây là lúc kỹ thuật xã hội phát huy tác dụng:

Sau khi bạn mở tài liệu đính kèm, nó sẽ nhắc bạn bật macro Word của mình để nội dung của nó có thể được hiển thị đúng cách. Macro giống như một phím tắt thực hiện một số loại chức năng tự động. Cùng với lời nhắc và bật macro của bạn cũng kích hoạt một tập lệnh độc hại cài đặt phiên bản Locky mới nhất trên máy tính của bạn.

Locky là loại mã độc gì

Ngay sau khi điều này xảy ra, các tệp của bạn sẽ bị khóa chặt. Một lý do khiến Locky trở nên nguy hiểm là do có nhiều loại tệp mà nó có thể mã hóa. Ngoài các tệp và video Microsoft Office, Locky thậm chí có thể xáo trộn mã nguồn máy tính của bạn, điều này khiến máy tính của bạn không thể sử dụng được.

Các tệp của bạn sẽ được đổi tên và các phần mở rộng của chúng được thay đổi thành các phần mở rộng mới, có thể bao gồm .aesir, .odin, .osiris, .thor và .locky.

Tại thời điểm này, Locky sẽ hiển thị cho bạn ghi chú tiền chuộc của nó, được bản địa hóa cho khu vực của bạn. Bạn sẽ được yêu cầu cài đặt trình duyệt Tor và chuyển một khoản phí bằng Bitcoin (BTC) để đổi lấy khóa giải mã.

Yêu cầu tiền chuộc điển hình nằm trong khoảng từ 0,5 đến 1,0 Bitcoin (BTC), khoảng 4.000 đến 8.000 đô la vào tháng 11 năm 2019. Nếu bạn có ví BTC trên máy tính của mình, Locky thậm chí có thể mã hóa số tiền đó.

Cách loại bỏ mã độc Locky

Nếu bạn đang phải đối mặt với sự lây nhiễm Locky, một chương trình chống phần mềm độc hại sẽ có thể xóa nó cùng với bất kỳ phần mềm độc hại nào có liên quan khỏi máy tính của bạn. Đơn giản chỉ cần kích hoạt phần mềm chống virus của bạn và để nó thực hiện công việc của mình.

Lưu ý rằng việc loại bỏ ransomware sẽ không giải mã và khôi phục các tệp của bạn. Hiện không có cách chữa trị nào được biết đến đối với các phương pháp mã hóa của Locky và vì vậy một khi nó có được các tệp của bạn, chúng sẽ biến mất.

Một số loại ransomware có thể được chống lại bằng cách sử dụng các tệp Shadow Copy được tạo bởi Windows Volume Snapshot Service hoặc bằng các khóa giải mã miễn phí của riêng Avast, nhưng thật không may, Locky quản lý để loại bỏ tất cả các bản sửa lỗi.

Bây giờ, bạn chỉ có thể đi đến kết luận rằng bạn có thể lấy lại các tệp của mình nếu bạn trả tiền chuộc. Đây không phải là cách làm đáng tin cậy. Không có gì đảm bảo rằng tội phạm mạng đằng sau các cuộc tấn công Locky sẽ tuân theo lời hứa của chúng.

Bằng cách đưa ra yêu cầu đòi tiền chuộc của chúng, bạn sẽ khiến tội phạm nghĩ rằng các phương pháp chuộc tiền phi pháp kia là hiệu quả và khuyến khích tội phạm sử dụng chúng để chống lại các nạn nhân khác. Cuối cùng, tiền chuộc của bạn có thể sẽ được sử dụng cho các hoạt động tội phạm trong tương lai.

Cách đáng tin cậy duy nhất để khôi phục tệp của bạn khỏi bị nhiễm Locky là khôi phục chúng từ bản sao lưu không bị nhiễm, đó là lý do tại sao điều quan trọng là phải đi trước tin tặc một bước và thực hiện sao lưu thường xuyên máy tính của bạn.

Cách ngăn chặn mã độc Locky

Ransomware là một trong những loại phần mềm độc hại khó xử lý nhất khi bạn đã bị lây nhiễm, vì vậy, phòng ngừa luôn là chiến lược phòng thủ tốt nhất của bạn. Thực hành các mẹo sau để giữ thiết bị của bạn an toàn trước Locky và các phần mềm tống tiền khác:

Thường xuyên sao lưu tệp của bạn

Cho dù bạn đang sử dụng dịch vụ đám mây hay ổ đĩa ngoài, hãy thường xuyên sao lưu tệp của bạn. Nếu bạn đã chọn thiết bị lưu trữ bên ngoài, hãy ngắt kết nối thiết bị đó ngay sau khi quá trình sao lưu của bạn hoàn tất.

Locky có thể lây lan sang bất kỳ thiết bị được kết nối nào cũng như bất kỳ mạng nào mà nó có thể truy cập, vì vậy hãy nhớ cất ổ đĩa dự phòng của bạn đi.

Không tải xuống các tệp đính kèm chưa được xác minh

Tội phạm mạng ưa sử dụng email đang trông chờ vào bạn để tải xuống tệp đính kèm của chúng. Đừng rơi vào những mánh khóe của tội phạm. Bỏ qua các tệp đính kèm chưa được xác minh và không nhấp vào bất kỳ liên kết nào trong email từ những người gửi không xác định.

Sử dụng công cụ chống phần mềm độc hại

Một giải pháp an ninh mạng đáng tin cậy sẽ bảo vệ bạn chống lại không chỉ phần mềm tống tiền mà còn tất cả các loại phần mềm độc hại và hack.

Luôn cập nhật phần mềm của bạn

Nhiều cuộc tấn công bằng phần mềm độc hại dựa vào các lỗ hổng bảo mật trong phần mềm lỗi thời. Đảm bảo cài đặt các bản vá và bản cập nhật phần mềm ngay khi chúng có sẵn.

Tắt macro trong các chương trình Microsoft Office của bạn

Kỹ thuật cài đặt của Locky sẽ có hiệu lực khi bạn bật macro trong tài liệu Word đính kèm. Tắt macro theo mặc định, sau đó không bao giờ chọn bật chúng trừ khi bạn hoàn toàn chắc chắn rằng tài liệu an toàn.

Khi Word đang mở, đi tới File > Options > Trust Center > Trust Center Settings > Macro Settings, sau đó chọn cài đặt macro bạn muốn.

Locky là loại mã độc gì

Các bước này sẽ ngăn chặn không chỉ Locky mà còn ngăn chặn các loại ransomware khác như Petya, Cerber và WannaCry.

Một số thắc mắc liên quan đến Locky là loại mã độc gì

Locky ransomware là một loại virus đòi tiền chuộc, một phần mềm độc hại mã hóa các tệp trên ổ cứng của bạn và yêu cầu bạn trả phí để giải mã các tệp. Locky thường đến dưới dạng email có tệp đính kèm trông giống như gobbledygook.

Malware là gì

Malware là một thuật ngữ chung để chỉ bất kỳ loại phần mềm độc hại nào được thiết kế để gây hại hoặc khai thác bất kỳ thiết bị, dịch vụ hoặc mạng có thể lập trình nào. Tội phạm mạng thường sử dụng nó để trích xuất dữ liệu mà chúng có thể tận dụng nạn nhân để thu lợi tài chính.

Dữ liệu đó có thể bao gồm từ dữ liệu tài chính, đến hồ sơ chăm sóc sức khỏe, đến email và mật khẩu cá nhân. Khả năng loại thông tin nào có thể bị xâm phạm đã trở nên vô tận.

Ransomware là gì

Ransomware là phần mềm độc hại sử dụng mã hóa để giữ thông tin của nạn nhân để đòi tiền chuộc. Dữ liệu quan trọng của người dùng hoặc tổ chức được mã hóa để họ không thể truy cập tệp, cơ sở dữ liệu hoặc ứng dụng. Sau đó, một khoản tiền chuộc được yêu cầu để cung cấp quyền truy cập.

Ransomware thường được thiết kế để lây lan trên mạng và nhắm mục tiêu đến cơ sở dữ liệu và máy chủ tệp, do đó có thể nhanh chóng làm tê liệt toàn bộ tổ chức. Đây là một mối đe dọa ngày càng tăng, tạo ra hàng tỷ đô la trong các khoản thanh toán cho tội phạm mạng và gây ra thiệt hại và chi phí đáng kể cho các doanh nghiệp và tổ chức chính phủ.

WannaCry là loại mã độc gì?

WannaCry là một ví dụ về ransomware tiền điện tử, một loại phần mềm độc hại (malware) được tội phạm mạng sử dụng để tống tiền. Ransomware thực hiện điều này bằng cách mã hóa các tệp có giá trị, vì vậy bạn không thể đọc chúng hoặc bằng cách khóa bạn khỏi máy tính của mình, vì vậy bạn không thể sử dụng nó.

Ransomware sử dụng mã hóa được gọi là ransomware tiền điện tử. Loại khóa bạn khỏi máy tính của mình được gọi là ransomware khóa. Giống như các loại phần mềm ransomware tiền điện tử khác, WannaCry lấy dữ liệu của bạn làm con tin, hứa hẹn sẽ trả lại nếu bạn trả tiền chuộc.

WannaCry nhắm mục tiêu vào các máy tính sử dụng Microsoft Windows làm hệ điều hành. Nó mã hóa dữ liệu và yêu cầu thanh toán tiền chuộc bằng tiền điện tử Bitcoin để được trả lại.

Adware là gì

Adware là phần mềm hiển thị các quảng cáo bật lên không mong muốn (và đôi khi gây khó chịu) có thể xuất hiện trên máy tính hoặc thiết bị di động của bạn. Phần mềm quảng cáo thường xuất hiện trên thiết bị của người dùng thông qua một trong hai cách:

  • Bạn có thể cài đặt một chương trình hoặc ứng dụng máy tính miễn phí mà không nhất thiết phải nhận ra rằng nó có chứa phần mềm bổ sung có chứa phần mềm quảng cáo. Điều này cho phép nhà phát triển ứng dụng kiếm tiền nhưng có nghĩa là bạn có thể tải phần mềm quảng cáo xuống hệ thống của mình mà không nhất thiết phải đồng ý.
  • Ngoài ra, có thể có một lỗ hổng trong phần mềm hoặc hệ điều hành của bạn mà tin tặc khai thác để chèn phần mềm độc hại, bao gồm một số loại phần mềm quảng cáo, vào hệ thống của bạn.

Spyware là gì?

Spyware được định nghĩa là phần mềm độc hại được thiết kế để xâm nhập vào thiết bị máy tính của bạn, thu thập dữ liệu về bạn và chuyển tiếp nó cho bên thứ ba mà không có sự đồng ý của bạn. Phần mềm gián điệp cũng có thể đề cập đến phần mềm hợp pháp giám sát dữ liệu của bạn cho các mục đích thương mại như quảng cáo. Tuy nhiên, phần mềm gián điệp độc hại rõ ràng được sử dụng để kiếm lợi từ dữ liệu bị đánh cắp.

Cho dù hợp pháp hay dựa trên gian lận, hoạt động giám sát của phần mềm gián điệp khiến bạn dễ bị vi phạm dữ liệu và sử dụng sai dữ liệu cá nhân của mình. Phần mềm gián điệp cũng ảnh hưởng đến hiệu suất mạng và thiết bị, làm chậm các hoạt động hàng ngày của người dùng.

Vậy là qua bài viết trên của GhienCongNghe, các bạn đã biết Locky là loại mã độc gì và những hệ lụy mà nó mang đến cho bạn nếu không may bạn bị nhiễm phải loại mã này, qua đó khuyến khích các bạn sử dụng máy tính một cách an toàn và bảo mật.

Xem thêm:

Nếu cảm thấy bài viết Locky là loại mã độc gì này có ích, hãy Like & Share để GhienCongNghe tiếp tục ra mắt những bài viết chất lượng hơn nhé.

Tham khảo Avast