Cam kết Chọn ngay Chuyên Nghiệp trong phục vụ với hơn 20 Kỹ thuật IT luôn sẵn sàng tới tận nơi sửa chữa và cài đặt ở Tphcm. Báo giá rõ ràng. 100% hài lòng mới thu tiền.


Sửa máy tính cài win PCI

Cam kết Chọn ngay Chuyên Nghiệp trong phục vụ với hơn 20 Kỹ thuật IT luôn sẵn sàng tới tận nơi sửa chữa và cài đặt ở Tphcm. Báo giá rõ ràng. 100% hài lòng mới thu tiền.


Công ty sửa máy tính PCI

Nếu bạn nhận được email có icon nháy mắt ;) hãy cẩn thận, đó có thể là ransomware rất nguy hiểm

Nếu bạn nhận được email có icon nháy mắt 😉 hãy cẩn thận, đó có thể là ransomware rất nguy hiểm Ransomware mới được phân phối theo kiểu đại lý liên kết nên khả năng lây lan của nó mạnh mẽ hơn nhiều so với các loại ransomware trước đây.

Đầu tháng này, một tổ chức chuyên phát triển mã độc có tên Avaddon đã được thành lập. Tuy nhiên, Avaddon không tự mình phân phối các mã độc họ tạo ra. Thay vào đó, Avaddon tuyển dụng một loạt tin tặc và đại lý giúp họ phát tán mã độc. Cách làm này giúp mã độc của Avaddon tiến công được rất là nhiều nạn nhân.

Đợt tiến công trước mắt sử dụng mã độc ransomware có tên Avaddon Ransomware đang khiến cả toàn cầu lo âu vì quy mô của nó. Với cái nháy mắt và nụ cười, Avaddon Ransomware đang spam, khủng bố hàng trăm ngàn con người và biết bao trong các kia đã trở thành nạn nhân của Avaddon.

Email spam chứa ransomware của Avaddon
Email spam chứa ransomware của Avaddon

Một loạt email chứa mã độc với chủ đề gợi sự tò mò như “Ảnh mới của bạn nè?” hoặc “Bạn có thích ảnh của tôi không?”, với nội dung chẳng có gì ngoài biểu trưng nháy mắt hoặc mặt cười đã được gửi đi. Kèm trong thư dĩ nhiên là trình tải xuống JavaScript mà khi kích vào ransomware sẽ có cài đặt trên máy tính của nạn nhân.

David Picket, nhà nghiên cứu bảo mật của AppRiver, chia sẻ rằng họ đã chặn 300.000 email chứa Avaddon Ransomware chỉ trong 1 khoảng thời gian ngắn. Các đại lý, hacker làm việc cho Avaddon kể cả cả các cái tên sừng sỏ như Phorpiex/Trik Botnet. 

Thiết lập ảnh phần mở rộng tập tin mặc định của Microsoft vô tình tiếp tay cho Avaddon Ransomware
Thiết lập ảnh phần mở rộng tập tin mặc định của Microsoft vô tình tiếp tay cho Avaddon Ransomware

Trình cài đặt JavaScript được đính kèm trong email được ngụy trang giống như một tấm hình định dạng JPG bằng phương pháp đặt tên là IMG123101.jpg.js. Thiết lập ẩn phần mở rộng tập tin của Windows vô tình tiếp tay cho Avaddon Ransomware. Cụ thể, sau khi tải về máy, IMG123101.jpg.js sẽ chỉ hiển thị là IMG123101.jpg, khiến người sử dụng lầm tưởng đây chỉ là file ảnh và mở nó ra.

Các dòng code 
Các dòng code “độc hại” ẩn trong IMG123101.jpg.js

Khi được mở, IMG123101.jpg.js sẽ khởi chạy cả cửa sổ PowerShell và Bitsadmin để tải về và cài đặt Avaddon Ransomware vào thư mục %Temp%. Ransomware sẽ được khởi chạy ngay sau khi cài đặt xong.

Trong thí nghiệm được tiến hành bởi Bleeping Computer, sau khi chạy, Avaddon Ransomware sẽ tìm kiếm mọi thứ các dữ liệu trên máy và mã hóa chúng. Phần mở rộng .avdn sẽ được thêm vào các dữ liệu bị mã hóa.

Các tập tin bị mã hóa sau khi Avaddon Ransomware được khởi động
Các tập tin bị mã hóa sau khi Avaddon Ransomware được khởi động

Thư đòi tiền chuộc dữ liệu có tên [id]-readme.html cũng được tạo ra trong mọi thư mục. Trong thư có chứa link tới trang web thanh toán, chỉ có thể truy cập bằng trình duyệt TOR và ID của nạn nhân. Mỗi nạn nhân có một ID riêng, duy nhất.

Thư đòi tiền chuộc của Avaddon, yêu cầu người dùng tải trình duyệt TOR để truy cập trang thanh toán
Thư đòi tiền chuộc của Avaddon, yêu cầu người sử dụng tải trình duyệt TOR để truy cập trang thanh toán

Khi truy cập trang web thanh toán, nạn nhân sẽ thấy số tiền mà Avaddon yêu cầu là 900 USD, có thể tăng thêm tùy theo số lượng tài liệu. Hướng dẫn chi tiết về kiểu cách phải trả để nhận trình giải mã cũng được Avaddon liệt kê chi tiết.

Giá tiền chuộc dữ liệu là 900 USD, có thể tăng thêm tùy theo số lượng tài liệu
Giá tiền chuộc dữ liệu là 900 USD, có thể tăng thêm tùy theo con số tư liệu

Trang web cũng có thể có đầy đặn các phần như bổ trợ qua tin nhắn, giải mã thử miễn phí và trang trợ giúp vui nhộn với hình ảnh các nhân vật trong Harry Potter. Không may là sau khi triển khai phân tích Avaddon Ransomware, Michael Gillespie kết luận rằng trình giải mã thử miễn phí không hoạt động. Gillespie là người tạo ra trang định vị ransomware ID-Ransomware.

Trang hỗ trợ đầy hài hước của Avaddon
Trang bổ trợ đầy vui nhộn của Avaddon

Phân phối ransomware theo như hình thức đại lý liên kết

Trong quảng cáo đăng trên một diễn đàn hacker của Nga, Avaddon phát biểu rằng họ vận hành theo phương thức Ransomware-as-an-Affiliate (RaaS). Đây là phương thức hoàn toàn mới trong thế giới tội phạm mạng. 

RaaS hoạt động giống như một hệ thống buôn bán liên kết, trong đó Avaddon nhận trách nhiệm phát triển mã độc và vận hành, giải quyết qui trình thanh toán, giải mã cho nạn nhân. Các hacker và đại lý liên kết với Avaddon sẽ đảm nhận việc phân phối ransomware qua thư rác, xâm nhập mạng lưới nội bộ và các phương thức khác.

Nếu nạn nhân chi tiền chuộc lại dữ liệu, Avaddon sẽ trả 65% cho đại lý, giữ lại 35%. Các đại lý lớn cũng có thể đàm phán với Avaddon để nhận mức doanh số cao hơn, tùy theo quy mô của cuộc tấn công.

Avaddon đang rất tích cực tìm kiếm đại lý
Avaddon đang rất tích cực kiếm tìm đại lý

Tuy nhiên, các đại lý tham dự RaaS bắt buộc phải tuân theo 1 loạt quy định mà Avaddon đưa ra. Quy tắc quan trọng nhất mà Avaddon đem ra đó là các đại lý chưa được tấn công nạn nhân tại các quốc gia trong Cộng đồng các Quốc gia Độc lập (CIS).

Hiện tại, Avaddon vẫn đang tích cực tuyển dụng thêm hacker và các đại lý. Vì thế, trong sau này sẽ còn có thêm nhiều lần tiến công với quy mô lớn của Avaddon Ransomware. Mời các bạn truy cập trang bên dưới để tham khảo cách bảo quản dữ liệu trước các ransomware nguy hiểm.

  • Hướng dẫn chung về giải mã ransomware

ransomware, mã độc tống tiền, avaddon

Bài viết (post) Nếu bạn nhận được email có icon nháy mắt 😉 hãy cẩn thận, đó có thể là ransomware rất nguy hiểm được tổng hợp và biên tập bởi: suamaytinhpci.com. Mọi ý kiến đóng góp và phản hồi vui lòng gửi Liên Hệ cho suamaytinhpci.com để điều chỉnh. suamaytinhpci.com xin cảm ơn.

5/5 - (1 bình chọn)