VietBF - View Single Post

florida80 · 02-09-2020

Mã độc tống tiền Ako đang hoành hành trên toàn thế giới, bạn biết gì về chủng ransomware này?

Làng Công nghệ | Tấn công mạng

�� Chia sẻ bởiPhạm Hải

364

Ransomware đã trở thành một trong những mối đe dọa bảo mật hàng đầu trong gần 3 năm trở lại đây, kể từ khi chủng ransomware đầu tiên - WannaCry - được phát hiện vào tháng 5 năm 2017. Mới đây các nhà nghiên cứu bảo mật quốc tế đã tiếp tục tìm ra một chủng mã độc tống tiền mới sở hữu phương thức mã hóa vô cùng đặc biệt, có tên gọi Ako.

Ako bị phát hiện lần đầu khi một nạn nhân đăng tải thông tin về trường hợp lây nhiễm mà anh ta gặp phải trên diễn đàn bảo mật Bleeping Computer. Các chuyên gia Bleeping Computer sau đó đã tiến hành phân tích mã độc và phát hiện ra rằng đó là chủng ransomware mới, với đặc tính cực kỳ nguy hiểm: Nhắm mục tiêu đến toàn bộ hệ thống mạng thay vì chỉ các máy trạm riêng lẻ như thông thường.

Trường hợp lây nhiễm đầu tiên

Một số đặc điểm quan trong về chủng mã độc này đã được Bleeping Computer đúc kết lại như sau:
•Ako chủ yếu ảnh hưởng đến các hệ thống máy tính đơn lẻ chạy Windows 10 và máy chủ chạy Windows SBS 2011.
•Chứa nhiều điểm tương đồng với một chủng ransomware nguy hiểm khác: MedusaLocker - nhưng 2 loại mã độc ngày không phải là sản phẩm từ cùng một nguồn độc hại ẩn danh.
•Nhắm mục tiêu đến toàn bộ hệ thống mạng thay vì chỉ các máy trạm riêng lẻ như nhiều chủng mã độc khác.

Cách thức hoạt động của Ako

Phương thức tấn công của chủng mã độc này tương đối tinh vi:
•Sau khi lây nhiễm thành công, đầu tiên Ako sẽ lập tức xóa các bản sao tệp cũng như các bản sao lưu gần đây trên hệ thống.
•Tiếp theo, mã độc sẽ vô hiệu hóa môi trường phục hồi Windows trước khi bắt đầu mã hóa dữ liệu.
•Trong khi mã hóa, Ako sẽ gán thêm một phần đuôi mở rộng được tạo ngẫu nhiên vào các tệp, đồng thời bổ sung chuỗi mã đánh dấu “CECAEFBE” vào các tệp đã bị mã hóa thành công để ransomware có thể xác định chúng.
•Trong quá trình mã hóa, Ako sẽ bỏ qua các tệp có đuôi mở rộng .exe, .sys, dll, .ini, .key, .lnk và .rdp.
•Tiếp theo, mã độc sẽ kiểm tra các thiết bị khác đang kết nối trong hệ thống mạng để hoàn tất quá trình mã hóa.
•Cuối cùng, một ghi chú tiền chuộc có tên ako-readme.txt sẽ xuất hiện trên desktop.

02-09-2020	#1411
florida80 R11 Độc Cô Cầu Bại Join Date: Aug 2007 Posts: 113,793 Thanks: 7,446 Thanked 47,172 Times in 13,137 Posts Mentioned: 1 Post(s) Tagged: 0 Thread(s) Quoted: 511 Post(s) Rep Power: 162	Mã độc tống tiền Ako đang hoành hành trên toàn thế giới, bạn biết gì về chủng ransomware này? Làng Công nghệ \| Tấn công mạng �� Chia sẻ bởiPhạm Hải 364 Ransomware đã trở thành một trong những mối đe dọa bảo mật hàng đầu trong gần 3 năm trở lại đây, kể từ khi chủng ransomware đầu tiên - WannaCry - được phát hiện vào tháng 5 năm 2017. Mới đây các nhà nghiên cứu bảo mật quốc tế đã tiếp tục tìm ra một chủng mã độc tống tiền mới sở hữu phương thức mã hóa vô cùng đặc biệt, có tên gọi Ako. Ako bị phát hiện lần đầu khi một nạn nhân đăng tải thông tin về trường hợp lây nhiễm mà anh ta gặp phải trên diễn đàn bảo mật Bleeping Computer. Các chuyên gia Bleeping Computer sau đó đã tiến hành phân tích mã độc và phát hiện ra rằng đó là chủng ransomware mới, với đặc tính cực kỳ nguy hiểm: Nhắm mục tiêu đến toàn bộ hệ thống mạng thay vì chỉ các máy trạm riêng lẻ như thông thường. Trường hợp lây nhiễm đầu tiên Một số đặc điểm quan trong về chủng mã độc này đã được Bleeping Computer đúc kết lại như sau: •Ako chủ yếu ảnh hưởng đến các hệ thống máy tính đơn lẻ chạy Windows 10 và máy chủ chạy Windows SBS 2011. •Chứa nhiều điểm tương đồng với một chủng ransomware nguy hiểm khác: MedusaLocker - nhưng 2 loại mã độc ngày không phải là sản phẩm từ cùng một nguồn độc hại ẩn danh. •Nhắm mục tiêu đến toàn bộ hệ thống mạng thay vì chỉ các máy trạm riêng lẻ như nhiều chủng mã độc khác. Cách thức hoạt động của Ako Phương thức tấn công của chủng mã độc này tương đối tinh vi: •Sau khi lây nhiễm thành công, đầu tiên Ako sẽ lập tức xóa các bản sao tệp cũng như các bản sao lưu gần đây trên hệ thống. •Tiếp theo, mã độc sẽ vô hiệu hóa môi trường phục hồi Windows trước khi bắt đầu mã hóa dữ liệu. •Trong khi mã hóa, Ako sẽ gán thêm một phần đuôi mở rộng được tạo ngẫu nhiên vào các tệp, đồng thời bổ sung chuỗi mã đánh dấu “CECAEFBE” vào các tệp đã bị mã hóa thành công để ransomware có thể xác định chúng. •Trong quá trình mã hóa, Ako sẽ bỏ qua các tệp có đuôi mở rộng .exe, .sys, dll, .ini, .key, .lnk và .rdp. •Tiếp theo, mã độc sẽ kiểm tra các thiết bị khác đang kết nối trong hệ thống mạng để hoàn tất quá trình mã hóa. •Cuối cùng, một ghi chú tiền chuộc có tên ako-readme.txt sẽ xuất hiện trên desktop.