Avaddon ransomware vẫn sử dụng kỹ thuật Excel 4.0 macros để lây lan

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi DDos, 05/07/20, 05:07 PM.

  1. DDos

    DDos Administrators Thành viên BQT

    Tham gia: 22/10/13, 08:10 PM
    Bài viết: 1,965
    Đã được thích: 472
    Điểm thành tích:
    83
    Microsoft cảnh báo gần đây rằng Avaddon ransomware đang lây nhiễm người dùng với tốc độ nhanh chóng sử dụng các kỹ thuật cũ và đã được biết đến. Avaddon ransomware dường như được nhắm vào các mục tiêu cụ thể và dựa trên kỹ thuật Excel 4.0 macro độc hại để tải xuống phần mềm độc hại trực tiếp trên hệ thống.

    Chiến dịch tập trung chủ yếu vào người dùng ở Ý.

    Avaddon ransomware đã xuất hiện vào đầu tháng 6, được phát tán trong một chiến dịch spam lớn không tập trung vào một người dùng cụ thể nào. Nội dung của email spam này chỉ bao gồm một biểu tượng nháy mắt hoặc một mặt cười. Kẻ tấn công đang đẩy mạnh việc lây nhiễm ransomware này theo những cách khác nhau.

    email-r.jpg
    Hiện tại, chưa có khóa để giải mã các tệp tin bị mã hóa bởi ransomware này. Để có được khóa giải mã, người dùng cần trả cho tin tặc một khoản tiền chuộc là $900.

    Nhóm nghiên cứu bảo mật từ Microsoft cho biết, gần đây, tin tặc phát tán Avaddon ransomware thông qua các email spam nhằm vào người dùng ở Ý với các tệp đính kèm chứa Excel 4.0 macros độc hại.

    Mẫu email spam được cung cấp bởi nhà phân tích phầm mềm độc hại, JamesWT_MHT có nội dung là một thông báo từ cơ quan có thẩm quyền cho một doanh nghiệp nhỏ liên quan đến vi phạm công việc trong thời kỳ khủng hoảng.

    Chủ đề của email này là rất khẩn cấp, thông báo cho người nhận về các hình phạt và hành động pháp lý có thể xảy ra. Trong tệp đính kèm, có một tệp với phần mở rộng .ZIP có tên "Thông báo chính thức".

    Tệp .ZIP này chứa một tệp Excel bao gồm Excel 4.0 macro độc hại. Khi macro độc hại này được khởi chạy, Avaddon ransomware sẽ được tải xuống và bắt đầu quá trình mã hóa tệp trên máy tính.

    Kỹ thuật Excel 4.0 macro đã cũ

    Việc chọn các Excel 4.0 macro để phát tán phần mềm độc hại có vẻ khá lạ lẫm, đặc biệt là khi kỹ thuật này được giới thiệu trong các sản phẩm của Microsoft Office 28 năm trước. Tuy nhiên, Avaddon ransomware và nhiều ransomware khác đã bắt đầu sử dụng nó gần đây.

    Chuyên gia bảo mật từ Microsoft cho biết:
    Ra mắt vào năm 1992, Excel 4.0 sử dụng các macro dựa trên XML để lưu trữ các hàm trong các bản ghi BIFF (Binary Interchange File Format). Điều này khiến chúng khó phân tích hơn so với các VBA macro đang được sử dụng kể từ Excel 5.0.
    Microsoft nhận thấy sự gia tăng các chiến dịch email độc hại với Excel 4.0 macro trong vài tháng qua. Kể từ tháng 4, những kẻ tấn công bắt đầu sử dụng sự chú ý của người dùng vào coronavirus để phát tán phần mềm độc hại.

    Tham khảo: viblo.asia, bleepingcomputer
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. trankenhuy

    trankenhuy New Member

    Tham gia: 05/07/20, 08:07 PM
    Bài viết: 3
    Đã được thích: 1
    Điểm thành tích:
    1
    Anh ơi, máy em bị dính mã độc tống tiền ".Lalo". thì có cách nào lấy lại dữ liệu được không anh. Vì trong đó toàn là hình ảnh của gia đình rất quý giá.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 507
    Đã được thích: 236
    Điểm thành tích:
    43
    Bạn thử tool này xem giải mã được không nhé: https://www.emsisoft.com/ransomware-decryption-tools/download/stop-djvu
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. whf

    whf Super Moderator Thành viên BQT

    Tham gia: 06/07/13, 03:07 AM
    Bài viết: 1,163
    Đã được thích: 753
    Điểm thành tích:
    113
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan