MrQuậy
Well-Known Member
-
24/09/2013
-
178
-
2.221 bài viết
Cảnh báo mã độc tống tiền phát tán qua tệp tin định dạng *.docm
Ngày 19/8/2016, hệ thống của Bkav phát hiện hàng loạt email phát tán có đính kèm mã độc mã hóa dữ liệu thông qua tệp tin đính kèm có định dạng “*.docm”.
Chuyên gia của Bkav cho biết, đối với các tệp tin mã độc đính kèm có định dạng “*.docm”, khi quan sát bình thường sẽ thấy tệp tin đính kèm có định dạng gần giống với các tệp tin “Word Document” có phần tên mở rộng là “*.doc” hay “*.docx” thông thường, nhưng thực tế đây là loại tệp tin “Word Macro - Enable Document”.
Các tệp tin có loại định dạng này chứa các đoạn mã thực thi macro. Các macro sẽ được thực thi khi tệp tin đính kèm được kích hoạt. Trong trường hợp này các macro độc hại thực thi sẽ tiến hành tải và cài đặt mã độc mã hóa dữ liệu Locky vào máy của người dùng để thực hiện hành vi mã hóa dữ liệu tống tiền đòi tiền chuộc.
Cảnh báo tống tiền sau khi mã độc được thực thi
Bkav khuyến cáo, người dùng tuyệt đối không mở tệp tin đính kèm từ các email không rõ nguồn gốc. Trong trường hợp bắt buộc phải mở để xem nội dung, người sử dụng có thể mở tệp tin trong môi trường cách ly an toàn Safe Run.
HL (theo Bkav)
Email phát tán có đính kèm mã độc
Chuyên gia của Bkav cho biết, đối với các tệp tin mã độc đính kèm có định dạng “*.docm”, khi quan sát bình thường sẽ thấy tệp tin đính kèm có định dạng gần giống với các tệp tin “Word Document” có phần tên mở rộng là “*.doc” hay “*.docx” thông thường, nhưng thực tế đây là loại tệp tin “Word Macro - Enable Document”.
Các tệp tin có loại định dạng này chứa các đoạn mã thực thi macro. Các macro sẽ được thực thi khi tệp tin đính kèm được kích hoạt. Trong trường hợp này các macro độc hại thực thi sẽ tiến hành tải và cài đặt mã độc mã hóa dữ liệu Locky vào máy của người dùng để thực hiện hành vi mã hóa dữ liệu tống tiền đòi tiền chuộc.
Bkav khuyến cáo, người dùng tuyệt đối không mở tệp tin đính kèm từ các email không rõ nguồn gốc. Trong trường hợp bắt buộc phải mở để xem nội dung, người sử dụng có thể mở tệp tin trong môi trường cách ly an toàn Safe Run.
HL (theo Bkav)