Locky ransomware lây lan qua Facebook Messenger

By | 2:29 pm | 22/11/2016

locky-ransomware-facebook

Nhà nghiên cứu phần mềm độc hại Bart Blaze đã phát hiện ra tin tặc sử dụng Facebook Messenger để lây lan các phần mềm độc hại Nemucod có dạng của tập tin hình ảnh .SVG.

Trong đó, hacker sẽ sử dụng các tập tin hình ảnh SVG (Scalable Vector Graphics) để lây lan các phần mềm độc hại, vì SVG có khả năng chứa các nội dung như JavaScript, và có thể được mở trong trình duyệt web hiện đại.

  • Hacker thêm mã JavaScript độc hại vào bên trong các tập tin hình ảnh SVG, mà thực tế là một liên kết đến một tập tin bên ngoài.
  • Nếu người dùng click vào, tập tin hình ảnh độc hại này sẽ chuyển hướng người dùng đến một trang web giống YouTube, nhưng có URL hoàn toàn khác.
  • Trang web này sẽ hiển thị một popup, yêu cầu người dùng phải tải về và cài đặt một phần mở rộng của Google Chrome để xem video. Các phần mở rộng độc hại sử dụng hai tên là Ubo và One.
  • Sau khi cài đặt, phần mở rộng cho phép kẻ tấn công thay đổi dữ liệu của người dùng về trang web mà người dùng ghé thăm, cũng như có thể truy cập tài khoản Facebook của người dùng để bí mật gửi tin nhắn tập tin hình ảnh SVG đến tất cả bạn bè trên Facebook.

Mọi chuyện thậm chí còn tồi tệ hơn!. Peter Kruse, một nhà nghiên cứu phần mềm độc hại và là đồng nghiệp của Blaze, đã lưu ý rằng các tập tin hình ảnh SVG chứa các phần mềm độc hại Nemucod, nó tải về một bản sao của Locky ransomware trên máy tính của nạn nhân.

  • Locky ransomware là một trong những ransomware phổ biến nhất, nó thực hiện khóa tất cả các tập tin trên máy tính của nạn nhân sử dụng các thuật toán mã hóa RSA-2048 và AES-1024 và chỉ mở khóa chúng khi nhận được tiền chuộc từ nạn nhân.

Làm thế nào để loại bỏ các phần mở rộng độc hại?

Trong khi Google đã loại bỏ các tiện ích độc hại từ Chrome Store, hy vọng Facebook sẽ sớm ngăn chặn chúng hoàn toàn.

Một phát ngôn viên của Facebook cung cấp với The Hacker News: Chúng tôi duy trì một số hệ thống tự động để giúp ngăn chặn và loại bỏ các liên kết cũng như các tập tin độc hại xuất hiện trên Facebook. Chúng tôi xác định rằng chúng được kết hợp với các phần mở rộng của Chrome và chúng tôi đã báo cáo các phần mở rộng độc hại này đến các bên liên quan.

Ông cũng cho rằng thông tin các phần mở rộng Chrome độc hại này đã được cài đặt phần mềm độc hại Locky là không chính xác. Ngoài ra, công ty tin rằng tác động của các cuộc tấn công đến Facebook là hạn chế, vì nó đòi hỏi một bước bổ sung để cài đặt phần mềm vào trình duyệt hoặc máy tính của nạn nhân.

Để loại bỏ các phần mở rộng độc hại, chỉ cần vào kiểm tra các phần mở rộng và loại bỏ nó.

Tuy nhiên, nếu đã bị nhiễm Locky ransomware thì cách duy nhất để khôi phục lại các tập tin là: sao lưu thường xuyên.

Blaze khuyên, “Như mọi khi, hãy cảnh giác khi ai đó gửi cho bạn chỉ một ‘hình ảnh’ -. Đặc biệt khi đó không phải là cách họ hay làm.”

Theo: The Hacker News.