Forum Giải Trí

Không thể phủ nhận cơn sốt toàn cầu của Pokémon GO hiện nay khiến cho rất nhiều người thích thú. Và với sự lan rộng của Pokémon GO thì những điều có hại luôn luôn tồn tại, đặc biệt đối với những tin tặc hay kẻ gian luôn luôn tìm cách để trục lợi phía sau thành công ấy. Điển hình mới đây một tin tặc đã lợi dụng thời điểm này để phát triển một ransomware cực kỳ nguy hiểm được đặt tên dựa theo tựa game Pokémon GO.

Một ransomware mới thuộc loại Hidden-Tear đã được phát hiện bởi Michael Gillespie - nhà nghiên cứu các phần mềm độc hại, nó ẩn mình phía sau ứng dụng Pokémon GO cho Windows và nhắm mục tiêu vào các người dùng ở Ả Rập. Một khi máy tính đã bị nhiễm mã độc, nó sẽ mã hóa toàn bộ các file thuộc định dạng sau: .txt, .rtf, .doc, .pdf, .mht, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .htm, .gif, .png.


Ransomware này sử dụng thuật toán mã hóa AES để khóa tất cả các file lại, sau đó thêm vào đuôi mở rộng ".locked" vào các tập tin bị lây nhiễm. Ngay khi quá trình mã hóa này được thực hiện xong, nó sẽ hiện thị một ghi chú dưới một file bằng tiếng Ả Rập هام جدا'.txt, nhằm mục đích yêu cầu người dùng gởi email cho địa chỉ "me.blackhat20152015@mt2015.com" để lấy hướng dẫn giải mã hóa các tập tin. Ghi chú này được dịch ra như sau:

(: Các tập tin của bạn đã bị mã hóa, giải mã Falaksa Mobilis qua địa chỉ me.blackhat20152015@mt2015.com và cảm ơn trước cho lòng hảo tâm của bạn

Giống như những ransomware khác sẽ mã hóa toàn bộ dữ liệu của bạn và yêu cầu bạn phải thanh toán để lấy lại được những dữ liệu đó không thì sẽ mất chúng mãi mãi. Nhưng Pokémon GO ransomware này cũng tạo ra một tài khoản quản trị Windows bằng cửa sau (backdoor) dưới cái tên "Hack3r", vì thế phần mềm độc hại này có thể truy cập vào máy tính của nạn nhân một cách dễ dàng. Thậm chí nó còn chỉnh sửa registry nhằm ẩn tài khoản này đi để các nạn nhân không hề hay biết.


Nguy hiểm hơn thế, ransomware Pokémon GO này sẽ cố gắng lây lan sang các máy tính khác bằng cách sao chép file thực thi ransomware vào tất cả các ổ đĩa di động. Một tập tin autorun.inf sẽ được tạo ra bởi phần mềm độc hại này, để đảm bảo các ransomware sẽ được kích hoạt mỗi khi một ổ đĩa di động được cắm vào một máy tính. Cuối cùng, nó sẽ tạo một bản sao của các ransomware tới các ổ đĩa cố định trên máy tính, và thiết lập một tập tin autorun để khởi động nó mỗi khi máy tính được bật.

Mặc dù vậy, ransomware này vẫn được cho là đang trong giai đoạn phát triển. Đối với ransomware Pokémon, nó sử dụng một khoá AES tĩnh là "123vivalalgerie", và máy chủ của nó sử dụng một địa chỉ IP để sử dụng riêng tư, điều này làm cho nó không thể thông qua Internet.

Mặc dù crypto-malware này có thể vẫn trong quá trình thử nghiệm, nhưng nó đang chứng tỏ sự nguy hiểm của mình, Techrum khuyên bạn phải cẩn thận những địa chỉ truy cập, cũng như những gì tải về để có thể tránh bị nhiễm phần mềm độc hại cực kỳ khó chịu này trong tương lai.

---

Tags: #ransomware #malware #pokemon-go #pokemon #virus #windows #news

Nam Trường Sơn, nhà phân phối Kaspersky Lab tại Việt Nam thời gian gần đây đã nhận được rất nhiều yêu cầu hỗ trợ về loại ransomware (mã độc mã hóa dữ liệu tống tiền) lây lan qua ứng dụng Skype.

Thông tin nêu trên vừa được hãng bảo mật Kaspersky cho biết trong thông báo cảnh báo về ransomware nguy hiểm lây lan qua ứng dụng Skype được phát đi chiều nay, ngày 4/5/2016.

Kaspersky cho biết, gần đây cư dân mạng Việt Nam đang hoang mang về một loại virus nguy hiểm lây lan qua ứng dụng Skype. Virus này tự động gửi các đường link độc hại để lừa người dùng truy cập sau đó mã hóa dữ liệu.

Cụ thể, virus này giả mạo người dùng rồi gửi các đoạn chat kèm đường link độc hại đến bạn bè trong danh bạ của người dùng. Khi nạn nhân bấm vào link để xem ảnh hoặc xem phim, virus sẽ tự động tải xuống máy tính nhiều phần mềm độc hại khác nhau. Sau đó, virus có thể đánh cắp dữ liệu của nạn nhân hoặc mã hóa chúng và đòi tiền chuộc.

Bà Võ Vương Tú Diễm, Đại diện Kaspersky Lab tại Việt Nam cho biết: “Cách thức lây nhiễm mã độc này không hề mới, đã được Kaspersky Lab cũng như báo chí cảnh báo trong suốt nhiều năm qua. Kẻ xấu lợi dụng các tài khoản mạng xã hội, ứng dụng liên lạc để gửi phising link (liên kết lừa đảo) đến nạn nhân và mời mọc họ truy cập vào. Bên cạnh việc hết sức cảnh giác khi nhận được các liên kết lạ, người dùng cần tăng cường bảo vệ máy tính và dữ liệu của mình bằng các phần mềm bảo mật và sao lưu dữ liệu thường xuyên”.


Còn theo chia sẻ của ông Ngô Trần Vũ, Giám đốc Công ty bảo mật Nam Trường Sơn, xu hướng ransomware đã thật sự bùng phát ở Việt Nam. Số lượng nạn nhân chưa từng suy giảm, mà trái lại ngày càng tăng lên. Nguyên nhân chính là do người dùng thiếu cảnh giác và biện pháp bảo vệ.

Kaspersky cho biết, ba trong số các ransomware được lan truyền qua Skype và gây hậu quả là: Trojan.MSIL.Inject.ebrl; Trojan.Win32.IRCbot.yvh; Trojan-Ransom.Win32.Zerber.

Chuyên gia Kaspersky khuyến nghị cùng với việc cảnh giác khi nhận được các liên kết lạ, người dùng cần tăng cường bảo vệ máy tính và dữ liệu của mình bằng các phần mềm bảo mật và sao lưu dữ liệu thường xuyên.

Theo Kaspersky, hiện vẫn chưa có phương pháp để diệt tận gốc những trojan này nhưng người dùng có thể thử sử dụng công cụ của Kaspersky Lab để giải mã tập tin mà không cần trả một khoản tiền chuộc nào. Người dùng có thể download công cụ tại https://noransom.kaspersky.com/.

Mã độc mã hóa dữ liệu tống tiền (ransomware) được các chuyên gia bảo mật nhận định là một trong những xu hướng chính của mã độc trong năm 2016. Chỉ tính riêng từ đầu năm 2016 đến nay, các doanh nghiệp, tổ chức an ninh mạng đã nhiều lần cảnh báo về sự xuất hiện, phát tán mạnh mẽ của các loại virus mã hóa dữ liệu để tống tiền.

Đơn cử  như, cuối tháng 2/2016, các chuyên gia bảo mật FPT, VNIST đã cảnh báo về loại mã độc mã hóa dữ liệu tống tiền mới mang tên Locky. Tiếp đó, vào ngày 9/3/2016, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam - VNCERT đã có công  văn cảnh báo các đơn vị chuyên trách về CNTT của các bộ, ngành; các Sở TT&TT; các nhà cung cấp dịch vụ Internet (ISP) cùng các đơn vị thuộc Bộ TT&TT về hình thức lây nhiễm mới của mã độc mã hóa tài liệu: giả mạo 1 địa chỉ thư điện tử có đuôi “@tencongty.com.vn” để gửi thư có kèm mã độc đến các người dùng trong công ty đó. Và gần đây nhất, vào giữa tháng 3/2016, chuyên gia bảo mật của VNIST đã có cảnh báo về loại mã độc mã hóa dữ liệu tống tiền mới, nguy hiểm có tên CryptoFortress. Loại mã độc này có nhiều tính năng mới, có thể quét và mã hóa cả những dữ liệu vô tình được chia sẻ qua mạng nội bộ.

Để phòng ngừa, hạn chế tối đa khả năng bị nhiễm mã độc mã hóa dữ liệu, VNCERT đã khuyến cáo các đơn vị thực hiện các biện pháp: phân quyền hợp lý cho các loại tài khoản người dùng, bảo vệ các tệp tin không cho phép xóa, sửa nội dung những tệp tin quan trọng; cài đặt và thường xuyên cập nhật cho hệ điều hành, phần mềm chống mã độc như Kaspersky, Symantec, Avast, AVG, MSE, Bkav, CMC…; chú ý cảnh giác với các tệp tin đính kèm, các đường liên kết ẩn được gửi đến thư điện tử người dùng kể cả người gửi từ trong nội bộ; thực hiện các biện pháp kỹ thuật nhằm kiểm tra xác thực người dùng trên máy chủ gửi email của đơn vị, tránh bị giả mạo người gửi từ nội bộ; đồng thời tắt các chế độ tự động mở, chạy tập tin đính kèm theo thư điện tử.

Bên cạnh đó, VNCERT cũng đề nghị các đơn vị, người dùng thực hiện sao lưu dữ liệu định kỳ. Cụ thể, bên cạnh việc sử dụng các ổ đĩa lưu trữ như ổ cứng cắm ngoài, ổ đĩa usb để lưu trữ các dữ liệu quan trọng trong máy tính; có thể sử dụng các công cụ, giải pháp chuyên dụng để sao lưu dữ liệu như: các máy chủ quản lý tập tin, máy chủ sao lưu từ xa, các công cụ lưu trữ đám mây cho phép khôi phục lịch sử thay đổi của tập tin.

Về hướng xử lý khi phát hiện lây nhiễm mã độc, VNCERT khuyến nghị, ngay sau khi phát hiện bị lây nhiễm mã độc mã hóa dữ liệu, cần thực hiện các thao tác: nhanh chóng tắt máy tính bằng cách ngắt nguồn điện; không được khởi động lại máy tính theo cách thông thường mà phải khởi động từ hệ điều hành sạch khác (khuyến nghị hệ điều hành Linux) như từ ổ đĩa CD, USB… sau đó kiểm tra các tập tin dữ liệu và sao lưu các dữ liệu chưa bị mã hóa.


#Nam-Trường-Sơn #-mã-độc-tống-tiền #VNCERT #Ransomware #Kaspersky #skype

Sau khi phát hiện ra loại ransomware lừa đảo người dùng để quay lén và đòi tiền chuộc thì hôm nay người dùng Android tiếp tục đứng trước một loại mới với tên gọi "Android/Lockerpin.A". Ransomware này sẽ tìm cách thay thế và khóa máy bằng mã PIN, sau đó yêu cầu tiền chuộc từ người dùng.

Đứng trước loại ransomware này, người dùng chỉ có cách là factory reset hay flash lại ROM, chấp nhận mất hết dữ liệu quý giá. Dĩ nhiên việc này sẽ được tiếp tay gián tiếp từ người dùng mà họ không hề hay biết. Android/Lockerpin.A sẽ dụ con mồi cung cấp quyền truy cập hệ thống với một nút "Continue", ứng dụng sau đó sẽ tự leo thang để thay đổi mã PIN của máy.

Người dùng sau khi thao tác sẽ xuất hiện một thông báo yêu cầu 500$ tiền chuộc nếu muốn được cung cấp mã PIN mở máy.


Một lần nữa, để bảo vệ an toàn thiết bị bạn đừng nên root hay tải các ứng dụng bên ngoài Google Play.

---

Tags: #android #ransomware #news

Một mã độc mạo danh Windows 10 đã được báo cáo trên hệ thống bảo mật Cisco blog . Scam lừa đảo này sẽ gửi những email giả mạo trông giống như những email từ Microsoft, khuyến khích người dùng tải về một tập tin .zip để cài đặt Windows 10 .

Khi Windows 10 được phát hành chính thức , lượng người dùng cài đặt , nâng cấp lên Windows 10 rất lớn. Theo báo cáo phương tiện truyền thông, hơn 67 triệu người đã cài đặt Windows 10 trên máy tính của họ. Với những người chưa kịp nâng cấp, cài đặt Windows 10 trong đợt phát hành chính thức vừa qua, Microsoft giúp đỡ họ với hệ thống tool tự động rất tiện lợi hỗ trợ quá trình tải về , nâng cấp, cài đặt tự đông Windows 10 .Bạn có thể tham khảo cách cài đặt ở đây Thật không may, những kẻ lừa đảo lợi dụng sự quan tâm của người dùng với windows 10 , bọn chúng đã giả mạo , tống tiền và tìm cách lừa đảo qua các email gọi là Windows 10 ransomware scam.

Windows 10 Ransomware chọn mục tiêu như thế nào ?
Ransomware là một loại mã độc tống tiền gần đây đang lây lan mạnh trên mạng .Theo nhóm nghiên cứu bảo mật của Cisco, họ đã phát hiện một chiến dịch scamming mới ,lây lan mạnh trên mạng gọi là CTB-Locker ransomware. Hình thức bọn lừa đảo sử dụng là một email giả mạo Microsoft với nội dung nói với người dùng Windows là Windows 10 đã sẵn sàng và miễn phí, bạn có thể tải về

Những email Windows 10 ransomware lừa đảo này bắt chước khá giống với các email được gửi bởi Microsoft, tuy nhiên có một số lỗi văn bản và được sửa đổi từ email của MS . Kẻ lừa đảo đã spoof địa chỉ xuất xứ như update@microsoft.com các bức thư này trông thực hơn, những kẻ tấn công đang sử dụng cùng màu được sử dụng bởi Microsoft để đánh lừa người sử dụng. Do đó, những email trông hợp pháp hơn.


Điều gì sẽ xảy ra nếu bạn chạy các tập tin CTB-Locker?
Nếu bạn bị rơi vào cái bẫy Windows 10 ransomware này, và bản tải về các tập tin đính kèm .zip. Sau khi giải nén các tập tin và chạy các chương trình thực thi, máy tính của bạn sẽ được ngay lập tức bị khóa bởi CTB-Locker ransomware. Ransomware này yêu cầu bạn phải gửi thanh toán trong vòng 96 giờ nếu không làm như vậy bạn sẽ bị mã hóa vĩnh viễn các tập tin máy tính của bạn.



Dư liễu đã bị mã hóa sẽ không thể được khôi phục vì hacker sử dụng thuật mã hóa công khai và khóa bí mật dùng để giải mã chỉ được lưu giữ trên server của hacker.

Vì vậy dù có yêu quý Windows 10 thế nào thì các bạn cũng cần tỉnh táo khi tải về bất kỳ tập tin nào từ email của bạn.

---

Tags: #windows-10 #ransomware #windows-10-ransomware #hacker #Microsoft #scam #email #news