|
(ảnh minh họa: Security Intelligence) |
Tác giả của mã độc Snatch đã tạo ra một phương thức lây lan chưa từng thấy từ trước tới nay. Nó có thể dễ dàng qua mặt các phần mềm chống virus và mã hóa các tệp trong máy tính nạn nhân mà không hề bị phát hiện.
Thủ thuật của mã độc là khởi động máy tính vào chế độ Safe Mode, sau đó chạy tiến trình mã hóa file. Do tất cả các phần mềm diệt virus đều không hoạt động ở chế độ Safe Mode, nên không thể phát hiện ra sự tồn tại của mã độc. Safe Mode là một chế độ của Windows nhằm chữa lỗi và khôi phục hệ điều hành bị hỏng.
Những kẻ viết ra mã độc Snatch đã phát hiện ra rằng chúng có thể sử dụng khóa registry của Windows để buộc hệ điều hành này khởi động vào chế độ Safe Mode. Chế độ này giúp mã độc ẩn náu an toàn mà không phần mềm diệt virus nào phát hiện ra, cũng như không dừng được tiến trình mã hóa file của chúng.
Phương thức lây nhiễm mới này đã được nhóm ứng phó sự cố của Sophos Labs phát hiện. Các chuyên gia của Sophos Labs đã được gọi đến để điều tra về các máy bị nhiễm mã độc trong vài tuần qua. Nhóm nghiên cứu cho biết đây là một vấn đề lớn. Phương thức lây lan mới này có thể sẽ được những kẻ viết virus khác bắt chước.
"Sophos Labs cảm thấy mức độ nghiêm trọng của rủi ro do mã độc gây ra khi chạy ở chế độ Safe Mode. Chúng tôi cần công bố thông tin này như một lời cảnh báo cho các công ty hoạt động trong lĩnh vực bảo mật, cũng như cho người dùng cuối", ông Andrew Brandt - một nhà nghiên cứu phần mềm độc hại tại Sophos cho biết trong một báo cáo đưa ra ngày 10/12.
Các nhà nghiên cứu của Sophos nói rằng đây là một phương thức lây lan mới của Snatch, nhưng không phải là lần đầu tiên. Loại mã độc đặc biệt này đã hoạt động từ mùa hè năm 2018, nhưng cho đến nay rất ít người nghe nói về chủng này. Đó là vì Snatch không bao giờ nhắm đến mục tiêu người dùng gia đình cũng như không sử dụng các phương thức lây lan hàng loạt như spam email hay các công cụ khai thác lỗ hổng trình duyệt – hai phương thức dễ gây sự chú ý từ các công ty phần mềm diệt virus.
Thay vào đó, Snatch chỉ nhắm đến một số mục tiêu được lựa chọn cẩn thận, chẳng hạn như các công ty quan trọng, các tổ chức xã hội hoặc chính phủ. Đây chính là chiêu thức mà nhiều nhóm viết mã độc đang áp dụng. Thay vì nhận được khoản tiền chuộc nhỏ từ các gia đình, tin tặc theo đuổi các tập đoàn lớn và tổ chức chính phủ để có thể yêu cầu khoản tiền chuộc lớn hơn hàng trăm lần.
Mã độc tống tiền là dạng virus khi lây lan vào trong máy tính sẽ mã hóa các file và khóa quyền truy cập máy tính của người dùng. Chỉ khi người dùng trả tiền chuộc, tin tặc mới mở khóa file và mở khóa máy tính.
Các virus như Ryuk, SamSam, Matrix, BitPaymer và LockerGoga là những loại mã độc tống tiền nguy hiểm đã được biết đến từ trước đến nay.