WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Đã có “vắc xin” phòng mã độc mã hóa dữ liệu CTB-Locker, Locky và TeslaCrypt
Người dùng có thể "tiêm chủng" cho máy tính của mình để phòng ngừa bị lây nhiễm các dòng mã độc mã hóa dữ liệu (ransomware), bao gồm CTB-Locker, Locky và TeslaCrypt.
Tuần trước, hãng an ninh của Pháp Lexsi đã cung cấp thông tin chi tiết về một số thao tác mà người dùng có thể thực hiện trên máy tính của mình nhằm ngăn ngừa lây nhiễm Locky. Lexsi gọi những thao tác này là "vắc-xin" hàm nghĩa miễn dịch cho máy tính trước các ransomware, mặc dù hãng này cũng cho biết các biện pháp này có thể không có tác dụng với một số biến thể mới.
Theo Lexsi, người dùng có thể cải thiện biện pháp bảo vệ máy tính bằng cách tạo ra một loạt thay đổi nhỏ trên hệ thống. Trong đó, người dùng có thể tạo ra một mutex hoặc khóa (key) registry, hoặc thay đổi thông số hệ thống đơn giản, nếu những thay đổi không gây bất tiện cho người dùng.
Lexsi lưu ý Locky không lây nhiễm các máy tính sử dụng ngôn ngữ hệ thống là tiếng Nga, do đó việc thay đổi ngôn ngữ sẽ tránh được lây nhiễm. Tuy nhiên, những thao tác thay đổi này chắc chắn không khả thi cho người sử dụng không dùng tiếng Nga.
Những gì người dùng có thể làm là tạo registry key HKCUSoftwareLocky, cũng là thứ đầu tiên mà các ransomware cố gắng tạo ra trên máy bị lây nhiễm. Mã độc bị vô hiệu nếu quá trình tạo registry key này thất bại, sự hiện diện từ trước của registry key trên máy tính đảm bảo ứng dụng độc hại không được thực thi.
Lexsi giải thích Locky cũng kiểm tra khóa cho id (nhận dạng máy tính), pubkey (khóa công khai lấy từ máy chủ), paytext (văn bản được hiển thị cho người sử dụng, bằng ngôn ngữ hệ thống) và các giá trị hoàn thành. Sau đó, kết thúc bằng quá trình mã hóa. Nếu giá trị là 1 và nếu giá trị id chứa nhận dạng chính xác, mã độc chấm dứt quá trình thực thi.
Locky bị phát hiện sử dụng pubkey trong quá trình mã hóa và quá trình này không thành công nếu giá trị pubkey chứa một giá trị không hợp lệ. Hơn nữa, nếu pubkey đã tồn tại, ransomware sẽ sử dụng khóa này mà không cần xác minh trước, có nghĩa là người dùng có thể khiến mã độc sử dụng một RSA công khai (public RSA) thuộc sự kiểm soát của họ, từ đó có được private key tương ứng.
Các hoạt động này có thể giữ cho máy tính an toàn không bị lây nhiễm Locky, tuy nhiên người dùng cũng cần có một số kiến thức cần thiết khi thực hiện. Điều này có nghĩa là người mới bắt đầu khó có thể sử dụng “vắc xin” một cách bình thường.
Trong khi các thao tác trên đặc biệt nhắm đến Locky, thì một công cụ vắc xin mới của Bitdefender có khả năng ngăn cản cả CTB-Locker, Locky và TeslaCrypt lây nhiễm hệ thống.
Nguồn: Security Week
Tuần trước, hãng an ninh của Pháp Lexsi đã cung cấp thông tin chi tiết về một số thao tác mà người dùng có thể thực hiện trên máy tính của mình nhằm ngăn ngừa lây nhiễm Locky. Lexsi gọi những thao tác này là "vắc-xin" hàm nghĩa miễn dịch cho máy tính trước các ransomware, mặc dù hãng này cũng cho biết các biện pháp này có thể không có tác dụng với một số biến thể mới.
Theo Lexsi, người dùng có thể cải thiện biện pháp bảo vệ máy tính bằng cách tạo ra một loạt thay đổi nhỏ trên hệ thống. Trong đó, người dùng có thể tạo ra một mutex hoặc khóa (key) registry, hoặc thay đổi thông số hệ thống đơn giản, nếu những thay đổi không gây bất tiện cho người dùng.
Lexsi lưu ý Locky không lây nhiễm các máy tính sử dụng ngôn ngữ hệ thống là tiếng Nga, do đó việc thay đổi ngôn ngữ sẽ tránh được lây nhiễm. Tuy nhiên, những thao tác thay đổi này chắc chắn không khả thi cho người sử dụng không dùng tiếng Nga.
Những gì người dùng có thể làm là tạo registry key HKCUSoftwareLocky, cũng là thứ đầu tiên mà các ransomware cố gắng tạo ra trên máy bị lây nhiễm. Mã độc bị vô hiệu nếu quá trình tạo registry key này thất bại, sự hiện diện từ trước của registry key trên máy tính đảm bảo ứng dụng độc hại không được thực thi.
Lexsi giải thích Locky cũng kiểm tra khóa cho id (nhận dạng máy tính), pubkey (khóa công khai lấy từ máy chủ), paytext (văn bản được hiển thị cho người sử dụng, bằng ngôn ngữ hệ thống) và các giá trị hoàn thành. Sau đó, kết thúc bằng quá trình mã hóa. Nếu giá trị là 1 và nếu giá trị id chứa nhận dạng chính xác, mã độc chấm dứt quá trình thực thi.
Locky bị phát hiện sử dụng pubkey trong quá trình mã hóa và quá trình này không thành công nếu giá trị pubkey chứa một giá trị không hợp lệ. Hơn nữa, nếu pubkey đã tồn tại, ransomware sẽ sử dụng khóa này mà không cần xác minh trước, có nghĩa là người dùng có thể khiến mã độc sử dụng một RSA công khai (public RSA) thuộc sự kiểm soát của họ, từ đó có được private key tương ứng.
Các hoạt động này có thể giữ cho máy tính an toàn không bị lây nhiễm Locky, tuy nhiên người dùng cũng cần có một số kiến thức cần thiết khi thực hiện. Điều này có nghĩa là người mới bắt đầu khó có thể sử dụng “vắc xin” một cách bình thường.
Trong khi các thao tác trên đặc biệt nhắm đến Locky, thì một công cụ vắc xin mới của Bitdefender có khả năng ngăn cản cả CTB-Locker, Locky và TeslaCrypt lây nhiễm hệ thống.
Nguồn: Security Week