Cảnh báo virus mã hóa Locky Ransomware phát tán qua tin nhắn hình ảnh Facebook

Sugi_b3o

Moderator
Thành viên BQT
30/08/2016
319
448 bài viết
Cảnh báo virus mã hóa Locky Ransomware phát tán qua tin nhắn hình ảnh Facebook
Nếu bạn đã xem qua bất kỳ tin nhắn hình ảnh Facebook (chính xác là file .svg) được gửi từ bạn bè trên Facebook thì việc đầu tiên bạn nên làm là đừng click vào nó.

1700029266578.png

Nếu như bạn nhấn vào nó, các tập tin này sẽ lây nhiễm vào máy tính của bạn cùng với Locky Ransomware, nó sẽ biến máy của bạn thành công cụ để phát tán thông qua các tin nhắn facebook trong danh sách bạn bè của bạn. Một loạt các tin nhắn Facebook liên tục được phát tán bằng các phần mềm độc hại cho những người dùng Facebook trong danh sách bạn bè của bằng cách gửi các tập tin hình ảnh SVG dường như vô hại để lây nhiễm mã độc vào các máy tính.

Được phát hiện bởi nhà nghiên cứu phần mềm độc hại Bart Blaze, hình thức tấn công sử dụng Facebook Messenger để lây lan mã độc khi người dùng download tập tin hình ảnh .svg được gọi là Nemucod.

Hacker sử dụng file SVG (hoặc Scalable Vector Graphics) phát tán ra ngoài, bởi vì SVG có khả năng chứa nội dung nhúng như JavaScript và thể có mở được trong trình duyệt web.

1700029216154.png

Crooks đã thêm mã JavaScript độc hại của họ vào bên trong tập tin hình ảnh mà thực sự là liên kết đến một tập tin bên ngoài.
Nếu khi nhấn vào, các tập tin độc hại sẽ chuyển hướng bạn đến một trang web giống như YouTube. Nhưng với URL hoàn toàn khác nhau.
Giống như một cách điển hình để cung cấp nhiễm phần mềm độc hại, các trang web sẽ đẩy một popup, yêu cầu bạn phải tải về và cài đặt một phần mềm mở rộng mã hóa nhất định trong Google Chrome để xem các video. Các tiện ích mở rộng như UBO và ONE.


1700029231543.png

Sau khi cài đặt, phần mở rộng cho phép kẻ tấn công để thay đổi dữ liệu của bạn về trang web mà bạn ghé thăm, cũng như có thể truy cập vào tài khoản Facebook của bạn để bí mật tin nhắn tất cả bạn bè trên Facebook của bạn với các tập tin hình ảnh SVG.

Điều thậm chí còn tồi tệ hơn? Peter Kruse, một nhà nghiên cứu phần mềm độc hại và các đồng nghiệp của Blaze, lưu ý rằng các tập tin hình ảnh SVG chứa các downloader Nemucod, trong một số trường hợp, sau đó cuối cùng tải về một bản sao của Locky ransomware trên máy tính của nạn nhân.

Locky ransomware là một trong những ransomware phổ biến nhất mà khóa tất cả các tập tin trên máy tính của nạn nhân với các thuật toán mã hóa RSA-2048 và AES-1024 và chỉ mở khóa cho máy nạn nhân cho đến khi nhận được tiền chuộc.

Làm thế nào để loại bỏ mã độc?

Trong khi Google đã loại bỏ các tiện ích độc hại từ Cửa hàng Chrome, Facebook hy vọng sẽ sớm ngăn chặn hoàn toàn.
Nếu bạn là một trong những người đã bị lừa cài đặt một trong hai phần mở rộng độc hại, bạn có thể loại bỏ nó ngay lập tức bằng cách gỡ bỏ phần tiện ích, chỉ cần vào Menu → More Tools → Extensions và kiểm tra các tiện ích đó và loại bỏ nó.
Bên cạnh đó, để tránh bị lây nhiễm người dùng cần cài đặt một phần mềm diệt virus có uy tín vào máy, không nên nhấn vào các liên kết lạ trên Facebook, không nên tự cài đặt những ứng dụng, tiện ích lạ vào máy.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Mọi người có thể cài extension của Juno_okyo để ngăn chặn loại malware này.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bài này Sugi_b3o dịch chủ đề khá hot, cảm ơn em vì bài dịch, anh có vài góp ý nhỏ, các anh em khác cũng xem luôn:

1. Em fix lại ảnh bị lỗi. (cái này nhiều anh em cũng hay bị)
2. Tiêu đề để kêu hơn chút cho hấp dẫn, ví dụ Cảnh báo virus mã hóa phát tán qua tin nhắn hình ảnh Facebook
3. Nhiều chỗ dịch hơi cứng và đấy là văn phong của nước ngoài.
Ví dụ:
"Nếu bạn đã xem qua bất kỳ tin nhắn Facebook với một tập tin ảnh (chính xác là file .svg) được gửi từ bất kỳ của bạn bè trên Facebook của từng cá nhân thì việc đầu tiên bạn nên đừng click vào nó."

==> Nếu bạn nhận được bất kỳ tin nhắn hình ảnh nào từ bạn bè trên Facebook (chính xác là file .svg) thì đừng nên click vào nó.

Rất hoan nghênh anh em dịch bài, tuy nhiên nên đọc hiểu và viết lại theo ý của mình sẽ mang tính cá nhân và hay hơn là word-by-word.

Em update lại để anh đưa ra trang chủ và post lên Facebook Whitehat.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
maldet;n60852 đã viết:
Mọi người có thể cài extension của Juno_okyo để ngăn chặn loại malware này.

Cái extension này là thế nào nhỉ, nó ngăn không cho cài extension # lên Chrome hả bạn?

Ngoài ra mình thấy các AV thưởng không phát hiện ra các loại malware cài từ tiện ích mở rộng này, không biết mọi người hay dùng Tool gì quét để phát hiện và gỡ bỏ nhỉ?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Math95;n60931 đã viết:
Cái extension này là thế nào nhỉ, nó ngăn không cho cài extension # lên Chrome hả bạn?

Ngoài ra mình thấy các AV thưởng không phát hiện ra các loại malware cài từ tiện ích mở rộng này, không biết mọi người hay dùng Tool gì quét để phát hiện và gỡ bỏ nhỉ?

Đây bạn ơi: https://chrome.google.com/webstore/detail/j2team-security/hmlcjjclebjnfohgmgikjfnbmfkigocc
Hôm trước tớ đọc trên blog của anh này có nói về vụ tin nhắn có ảnh .svg này rồi thì phải, nó báo đây là link độc hại không cho click vào. Bạn thử xem!
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Wow! Tôi không biết những gì LOCKY lây lan qua Facebook. Tuy nhiên, như ông yêu cầu tiền chuộc?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Có thể dùng tiện ích của Juno_okyo tại đây để vảo vệ bạn khỏi lừa đảo và các trang web phần mềm độc hại với công nghệ bảo vệ thời gian thực.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Kính gửi các cao thủ, Máy mình bị như vậy, có bác nào có cách giải mã ko?
cảm ơn rất nhiều
1489939952IMG_0675.JPG
IMG_0675.JPG
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
trungquanbds29;n61193 đã viết:
Kính gửi các cao thủ, Máy mình bị như vậy, có bác nào có cách giải mã ko?
cảm ơn rất nhiều
1489939952IMG_0675.JPG

Bạn có thể cung cấp thêm thông tin được không ?
Ví dụ như malware đã mã hóa những file(doc, photo,....) gì ? Phần đuôi mở rộng của tệp tin bị thay đổi thành gì?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
trungquanbds29;n61193 đã viết:
Kính gửi các cao thủ, Máy mình bị như vậy, có bác nào có cách giải mã ko?
cảm ơn rất nhiều

Xử lý được bạn ơi. Thế dữ liệu quan trọng chứ bạn. Bạn bao nhiêu ngày rồi. Hiện đang cài antivirus nào chưa, miễn phí hay bản quyền.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Máy mình là Laptop bị được khoảng 10 ngày rồi. Dữ liệu quan trọng nhưng không nhiều lắm.
Rất tiếc là do không có máy làm việc nên mình đã ghost lại win xài rồi, còn các tập tin vẫn giữ nguyên như thế. Mình cũng biết là nếu giữ nguyên hiện trạng lên đây có thể sẽ được giúp đỡ tốt hơn. Anyway thì đã lỡ ghost mất win cũ rồi, nên có win mới thì cài antivirus vào quét và phát hiện có 79 mối đe dọa. :(
File bị mã hóa là file MS Office và pictures, tất cả đều chuyển sang đuôi *.aesir
(mình có đình kèm một số file (đã zip lại).
https://drive.google.com/file/d/0B5Y0pB1atj0seDMwZWN3VXh6dFk/view?usp=sharing

Cảm ơn Mod Sugi_b3otav4 rất nhiều.
Mình sẽ nghiên cứu Clip của mod gửi (vì không phải là IT và rất ít thời gian rảnh nên chậm trễ đến giờ.)
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
locky ransomware
Bên trên