sunny
VIP Members
-
30/06/2014
-
869
-
1.849 bài viết
Cảnh báo mã độc Ransomware Locky phát tán qua file có định dạng *.xls
Thời gian gần đây, hệ thống của Bkav tiếp tục ghi nhận được việc phát tán mã độc Ransomware Locky, nhưng trên một định dạng file tài liệu khác, đó là file tài liệu Exel (*.xls).
Giống như những lần trước, kẻ tấn công tiếp tục sử dụng email làm phương thức phát tán.
Khi người dùng mở file đính kèm này, một thông báo lỗi sẽ được hiện lên.
Thực chất file "Certificate_72320.xls" có định dạng là xlsm (excel macro-enable workbook) nên chương trình Microsoft Office Exel sẽ cảnh báo là file không đúng định dạng. Tuy nhiên nếu người dùng ấn “Yes” thì file vẫn được Microsoft Office Exel mở lên.
Nếu người dùng không thiết lập cài đặt chặn macro hoặc người dùng chọn Enable trên giao diện thì các macro độc hại sẽ được thực thi. Nhiệm vụ chính của đoạn macro này là tải file thư viện liên kết động .dll (ransomeware locky) về máy tính của người dùng và lợi dụng tiến trình Rundll32.exe của hệ thống để chạy thư viện này. Ransomeware Locky sẽ mã hóa các file tài liệu của người dùng lại và đòi tiền chuộc.
Cảnh báo ransomeware Locky hiển thị lên sau khi đã mã hóa hết các file tài liệu của người dùng.
Bkav khuyến cáo: "Người dùng tuyệt đối không mở file đính kèm từ các email không rõ nguồn gốc. Trong trường hợp bắt buộc phải mở để xem nội dung, người sử dụng có thể mở file trong môi trường cách ly an toàn Safe Run".
Giống như những lần trước, kẻ tấn công tiếp tục sử dụng email làm phương thức phát tán.
Khi người dùng mở file đính kèm này, một thông báo lỗi sẽ được hiện lên.
Thực chất file "Certificate_72320.xls" có định dạng là xlsm (excel macro-enable workbook) nên chương trình Microsoft Office Exel sẽ cảnh báo là file không đúng định dạng. Tuy nhiên nếu người dùng ấn “Yes” thì file vẫn được Microsoft Office Exel mở lên.
Nếu người dùng không thiết lập cài đặt chặn macro hoặc người dùng chọn Enable trên giao diện thì các macro độc hại sẽ được thực thi. Nhiệm vụ chính của đoạn macro này là tải file thư viện liên kết động .dll (ransomeware locky) về máy tính của người dùng và lợi dụng tiến trình Rundll32.exe của hệ thống để chạy thư viện này. Ransomeware Locky sẽ mã hóa các file tài liệu của người dùng lại và đòi tiền chuộc.
Cảnh báo ransomeware Locky hiển thị lên sau khi đã mã hóa hết các file tài liệu của người dùng.
Bkav khuyến cáo: "Người dùng tuyệt đối không mở file đính kèm từ các email không rõ nguồn gốc. Trong trường hợp bắt buộc phải mở để xem nội dung, người sử dụng có thể mở file trong môi trường cách ly an toàn Safe Run".
Chỉnh sửa lần cuối bởi người điều hành: