Cerber – mã độc tống tiền lây nhiễm qua Microsoft Office 365

[MrQuậy]

Gần đây, biến thể của mã độc tống tiền có tên gọi là Cerber được phát hiện đính kèm trong email gửi tới người dùng MS Office 365, có khả năng vượt qua các cơ chế an toàn của chương trình này.

Theo báo cáo của Avanan, hãng cung cấp dịch vụ bảo mật các phiên bản dựa trên đám mây (NewYork, Mỹ), hãng đã phát hiện một loạt các email lừa đảo đính kèm mã độc Cerber được gửi tới người dùng MS Office 365.

​

Mã độc này lây nhiễm trên máy nạn nhân bằng việc lợi dụng tính năng Macro của MS Office. Mặc dù hãng Avanan không nêu rõ số lượng người dùng bị nhiễm, nhưng theo báo cáo quý I/2016 của hãng Microsoft có 18,2 triệu người dùng Office 365.

Theo hãng Avanan, dù rất khó để biết được chính xác số lượng người dùng đã bị nhiễm, nhưng có thể chắc chắn rằng có tới 57% các tổ chức sử dụng Office 365 nhận được ít nhất một email đính kèm mã độc này trong suốt thời gian xảy ra cuộc tấn công.

Dù mã độc Cerber xuất hiện lần đầu tiên từ tháng 3/2016, nhưng các cuộc tấn công nhằm vào người dùng Office 365 bắt đầu từ 22/6/2016. Tuy nhiên, hãng Microsoft đã kịp thời chặn các tập tin đính kèm mã độc này từ 23/6/2016.

​

Mã độc Cerber không chỉ mã hóa dữ liệu người dùng, hiển thị thông báo đòi tiền chuộc và sử dụng hệ thống audio của máy tính để thông báo cho người dùng biết là các tập tin của họ đã bị mã hóa. Mã độc này mã hóa tập tin bằng AES-256 và yêu cầu nạn nhân trả 1,24 Bitcoin (gần 810 $) cho khóa giải mã.

Các chuyên gia bảo mật khuyến cáo người dùng về cách thức bảo vệ hệ thống trước mã độc Cerber: Luôn cập nhật hệ thống và chương trình antivirus; Định kỳ thực hiện backup dữ liệu; Tắt tính năng Macro trong MS Office; Cẩn trọng trước những email phishing, spam và không mở những tập tin được gửi từ email không rõ nguồn gốc.

Theo The Hacker News​

 

Và thế là em đã dính nó, dữ liệu gần như ra đi hết

 

Và thế là em đã dính nó, dữ liệu gần như ra đi hết

Chưa chắc bạn, bên "chúng mình" đã cứu 1 vụ rồi mà. Bạn bị bao lâu rồi, đã cài lại win chưa.

 

À mình vừa bị hôm qua thôi, sáng nay ghót lại r, nhưng đống ảnh bị hỏng vẫn để đó chưa xoá đi

 

À mình vừa bị hôm qua thôi, sáng nay ghót lại r, nhưng đống ảnh bị hỏng vẫn để đó chưa xoá đi

Ok thế thì thì tốt rồi. Đáng lẽ ra bạn không nên ghost lại nếu muốn khôi phục. Theo như bên mình phân tích thì hôm nay 23 sẽ có thể bùng phát đợt tấn công quy mô lớn của cerber3 trên diện rộng tại Việt Nam, nên mọi người hãy hết sức chú ý nhé.

 

Không biết bạn phân tích kiểu gì, có thể chia sẻ để mọi người học hỏi kinh nghiệm được không?

 

Ok thế thì thì tốt rồi. Đáng lẽ ra bạn không nên ghost lại nếu muốn khôi phục. Theo như bên mình phân tích thì hôm nay 23 sẽ có thể bùng phát đợt tấn công quy mô lớn của cerber3 trên diện rộng tại Việt Nam, nên mọi người hãy hết sức chú ý nhé.

Tks các bạn đã giúp đớ
Sao lại thế mình ghost lại chỉ ổ C thôi mà, ổ D,E của mình cũng rất nhiều file bị mã hóa, bị cerber3 vẫn giữ chưa xóa đi :v

 

Tks các bạn đã giúp đớ
Sao lại thế mình ghost lại chỉ ổ C thôi mà, ổ D,E của mình cũng rất nhiều file bị mã hóa, bị cerber3 vẫn giữ chưa xóa đi :v

Cái điều ng ta cần là môi trường ổ C chứ ko phải ổ D, E. Muốn khôi phục phải có key. Và nó nằm trên ổ C.

 

Cái điều ng ta cần là môi trường ổ C chứ ko phải ổ D, E. Muốn khôi phục phải có key. Và nó nằm trên ổ C.

Key nằm trên ổ C á T_T, tại vì lúc ý sợ là ko ghost lại, thì về sau lại bị mã hóa tiếp thì chít @@

 

Key nằm trên ổ C á T_T, tại vì lúc ý sợ là ko ghost lại, thì về sau lại bị mã hóa tiếp thì chít @@

Khổ vậy đó, chuyên môn xử lý ứng cứu mã độc tống tiền chỉ biết phòng và chống, xem nó làm gì ra sao. Còn dữ liệu không ai quan tâm, xử lý ngẫu hứng nên khi cần cứu thì không cứu nổi hoặc vượt thời hạn của hacker. Khi đó tiền mất tật mang, đúng là " Xẩy 1 ly mà đi 1 rặm" quả không có sai mà.