XUẤT HIỆN RANSOMWARE VIROBOT VÀ BOTNET MỚI

(Bảo trì máy tính) Một nhóm các nhà nghiên cứu bảo mật thuộc TrendLabs vừa thông báo về một loại mã độc mới, một đoạn phần mềm độc hại mới kết hợp ransomware và các khả năng botnet trong một gói đơn lẻ được họ đặt tên là Virobot, đang lây lan nhanh qua email và rất nguy hiểm.

  • Mối đe dọa này không chỉ mã hóa các tệp tin trên các máy bị ảnh hưởng mà nó còn khiến cho hệ thống trở thành một botnet spam và làm lây lan sang các máy hệ thống khác.
  • Virobot này tống tiền người dùng bằng cách mã hoá máy tính (ransomware), đặc biệt là nó đang lây lan rất nhanh qua emailcó thể theo dõi hành vi gõ phím người dùng.
  • Virobot kiểm tra các máy bị ảnh hưởng để lấy các khóa đăng ký cụ thể để quyết định xem có nên mã hóa hệ thống hay không.
  • Virobot này sử dụng một bộ tạo số mã hóa ngẫu nhiên để tạo khóa mã hóa và giải mã, sau đó được gửi cùng với dữ liệu mà máy thu thập được tới máy chủ điều khiển bằng lệnh (C&C) thông qua POST (Phương thức được sử dụng chủ yếu trong lập trình web).

Khi tồn tại trên máy tính của nạn nhân, Virobot sẽ tạo một mã khoá ngẫu nhiên để mã hoá tất cả các tài liệu quan trọng trên máy.

Các file mà Virobot nhắm đến thường có đuôi là TXT, DOC, DOCX, XLS, XLSX, PPT, PPTX, ODT, JPG, PNG, CSV, SQL, MDB, SLN PHP, ASP, ASPX, HTML, XML, PSD, PDF và SWP… cho thấy khả năng bao phủ của Virobot rất rộng. Sau khi quá trình mã hoá các file kết thúc, Virobot sẽ hiện một dòng thông báo đòi tiền chuộc trên màn hình của người dùng. (Thông báo tiền chuộc bằng tiếng Pháp)

  • Ngoài mã hoá máy tính, mã độc Virobot còn có tính năng như một botnet và spam. Trường hợp người dùng nhiễm ransomware này thông qua ứng dụng email Microsoft Outlook, Virobot sẽ tự động lấy danh sách liên lạc email trong máy của người đó để phát tán cho những người dùng khác một email chứa phần mềm ransomware này. Chính điều này đã làm cho ransomware này lây lan cực nhanh và nguy hiểm vô cùng.
  • Mã độc này còn bao gồm một hệ thống keylogger đơn giản, có thể ghi lại tất cả các thao tác gõ bàn phím của người dùng, sau đó gửi tất cả thông tin này đến một máy chủ. Bàn phím bị theo dõi được lưu lại từ máy tính bị ảnh hưởng sau đó được chuyển đến C&C (Command and Control servers)
  • Nguy hiểm hơn khi đã kết nối tới máy chủVirobot cũng cho phép người tạo ra ransomware này tải xuống phần mềm độc hại khác từ máy chủ của ransomware,  malware nhị phân và thực thi nó nhờ sử dụng PowerShell.

Virobot cũng không phải là ransomware đầu tiên đi kèm với keylogger hoặc các thành phần khác. Trước đó, nhiều phần mềm độc hại đã được phát tán gần đây như LokiBot, Rakhni XBash,… cũng thường đi kèm với nhiều tính năng khác, như đào tiền ảo, botnet, keylogger,… với mục tiêu nhắm đến là nhiều đối tượng khác nhau, từ người dùng cá nhân cho đến đến các tổ chức, ngân hàng.

  • Những khả năng của botnet Virobot được đóng gói với việc sử dụng một Microsoft Outlook của một máy đã bị lây nhiễm để gửi những email spam tới một danh sách liên hệ của người dùng.
  • Virobot gửi bản sao của chính nó hoặc đoạn payload độc hại đã được tải vể từ máy chủ C&C.

Trend Micro cho biết: “Các cá nhân và doanh nghiệp nên sử dụng phương pháp tiếp cận đa lớp để giảm thiểu rủi ro gây ra bởi các mối đe dọa như ransomware”.

Nguồn sưu tầm.

Xem thêm bài viết:

 HACKER NGA TẠO RA MALWARE “BẤT TỬ”, CÀI LẠI HỆ ĐIỀU HÀNH VÀ THAY Ổ CỨNG VẪN KHÔNG THOÁT

 NHỮNG VIỆC KHÔNG NÊN LÀM KHI SỬ DỤNG MÁY TÍNH

 CPU QUÁ NHIỆT LIỆU CÓ THỰC SỰ GÂY HẠI CHO THIẾT BỊ CỦA BẠN?

Mọi ý kiến thắc mắc, cần tư vấn vềdịch vụ IT văn phòng, xây dựng, bảo mật hệ thống máy chủ quý khách hàng có thể liên hệ với Hoàng Vi theo thông tin sau:

CÔNG TY CỔ PHẦN CÔNG NGHỆ HOÀNG VI

Địa chỉ: 325 Cộng Hòa, , P. 13, Q. Tân Bình, Tp. HCM

Điện thoại: 028. 7106 1199

Hotline: 0937 09 19 59

Email: phongkd@hoangvi.com 

Gọi Bảo Trì Máy Tính