Capibara Ransomware

Trong quá trình điều tra các mối đe dọa phần mềm độc hại tiềm ẩn, các nhà nghiên cứu an ninh mạng đã phát hiện ra Capibara Ransomware. Phần mềm đe dọa này mã hóa các tập tin trên hệ thống bị ảnh hưởng với mục đích tống tiền. Các nhà nghiên cứu đã quan sát thấy một hành vi đặc biệt trong đó Capibara thay đổi tên của các tệp được mã hóa bằng cách thêm phần mở rộng '.capibara'. Ví dụ: một tệp có tên ban đầu là '1.doc' sẽ được đổi tên thành '1.doc.capibara' và '2.jpg' sẽ trở thành '2.jpg.capibara', v.v.

Sau khi hoàn tất quá trình mã hóa, Capibara còn thay đổi hình nền của màn hình và tạo một tệp văn bản có tên 'READ_ME_USER.txt', chứa các hướng dẫn và yêu cầu từ những kẻ tấn công. Điều đáng chú ý là nội dung của giấy đòi tiền chuộc này được viết bằng tiếng Nga.

Ransomware Capibara ngăn nạn nhân truy cập vào tệp của họ

Thông báo đòi tiền chuộc do Capibara để lại cảnh báo nạn nhân rằng các tập tin của họ đã được mã hóa và không thể khôi phục nếu không có sự tham gia của những kẻ tấn công. Để lấy lại quyền truy cập vào dữ liệu của họ, nạn nhân được hướng dẫn mua chương trình giải mã có giá 5000 rúp Nga (RUB) bằng cách sử dụng tiền điện tử Bitcoin (BTC). Tuy nhiên, cần lưu ý rằng số tiền chuộc 0,073766 BTC không phù hợp với tỷ giá hối đoái hiện tại của đồng rúp, vốn biến động thường xuyên.

Trong các trường hợp liên quan đến ransomware, việc giải mã các tập tin mà không có sự hỗ trợ của tội phạm mạng thường là không thể trừ khi xử lý các biến thể ransomware có sai sót nghiêm trọng. Thật không may, nạn nhân thường không nhận được khóa hoặc phần mềm giải mã đã hứa ngay cả sau khi đáp ứng yêu cầu tiền chuộc. Do đó, các chuyên gia an ninh mạng đặc biệt khuyên bạn không nên tuân thủ các yêu cầu như vậy vì việc khôi phục dữ liệu không được đảm bảo và việc trả tiền chuộc trực tiếp hỗ trợ các hoạt động tội phạm.

Mặc dù việc xóa phần mềm tống tiền Capibara khỏi hệ thống sẽ ngăn chặn việc mã hóa thêm nhưng nó không khôi phục quyền truy cập vào các tệp đã bị khóa hoặc mã hóa.

Các biện pháp bảo mật cần thiết để triển khai trên tất cả các thiết bị

Để bảo vệ dữ liệu của bạn khỏi các mối đe dọa từ phần mềm tống tiền trên tất cả các thiết bị, điều cần thiết là phải triển khai một bộ biện pháp bảo mật mạnh mẽ. Dưới đây là các bước người dùng nên thực hiện:

• Luôn cập nhật phần mềm : Luôn cập nhật hệ điều hành, ứng dụng phần mềm và chương trình chống phần mềm độc hại bằng các bản cập nhật mới nhất hiện có. Các bản cập nhật phần mềm thường cung cấp các bản vá bảo mật giúp bảo vệ khỏi các lỗ hổng đã biết do phần mềm tống tiền khai thác.
• Sử dụng phần mềm chống phần mềm độc hại mạnh : Cài đặt phần mềm chống phần mềm độc hại uy tín trên tất cả các thiết bị. Đảm bảo các chương trình này được thiết lập để cập nhật và tiến hành quét thường xuyên một cách tự động.

• Bật tường lửa : Kích hoạt và định cấu hình tường lửa bất cứ khi nào có thể để giám sát và kiểm soát lưu lượng mạng đến và đi. Tường lửa có thể giúp chặn truy cập trái phép và ngăn phần mềm độc hại liên lạc với các máy chủ ra lệnh và kiểm soát.

• Hãy hết sức thận trọng với các tệp đính kèm và liên kết trong email : Hãy hết sức cẩn thận khi xử lý các tệp đính kèm trong email hoặc các liên kết sau, đặc biệt là từ những người gửi không xác định hoặc đáng ngờ. Xác minh tính hợp pháp của các tệp đính kèm hoặc liên kết không mong muốn trước khi tương tác với chúng.

• Sao lưu dữ liệu thường xuyên : Thực hiện chiến lược sao lưu bằng cách thường xuyên sao lưu dữ liệu quan trọng vào ổ cứng ngoài, bộ lưu trữ đám mây hoặc dịch vụ sao lưu an toàn. Đảm bảo các bản sao lưu không được kết nối liên tục với mạng để ngăn chúng bị mã hóa bởi ransomware.

• Sử dụng mật khẩu hiệu quả và xác thực đa yếu tố (MFA) : Sử dụng mật khẩu mạnh, duy nhất cho tất cả các tài khoản được sử dụng tích cực và bật Xác thực đa yếu tố (MFA) bất cứ khi nào có thể. MFA bổ sung thêm một lớp bảo mật bằng cách yêu cầu một hình thức xác minh bổ sung ngoài mật khẩu của bạn.

• Giới hạn đặc quyền của người dùng : Hạn chế đặc quyền của người dùng để ngăn chặn truy cập trái phép và hạn chế thiệt hại mà ransomware có thể gây ra. Sử dụng nguyên tắc đặc quyền tối thiểu (PoLP) để đảm bảo rằng người dùng chỉ có thể có quyền truy cập vào các tài nguyên cần thiết cho vai trò của họ.

• Bật Trình chặn cửa sổ bật lên : Định cấu hình trình duyệt Web để chặn cửa sổ bật lên và tránh nhấp vào quảng cáo bật lên, những quảng cáo này có thể được sử dụng để phát tán ransomware.

• Triển khai phân đoạn mạng : Phân đoạn mạng của bạn để tách các hệ thống và dữ liệu quan trọng khỏi các khu vực kém an toàn hơn. Điều này có thể giúp ngăn chặn sự lây lan của ransomware trong mạng của bạn.

Bằng cách triển khai các biện pháp bảo mật này một cách nhất quán trên tất cả các thiết bị, người dùng có thể giảm đáng kể nguy cơ trở thành nạn nhân của việc lây nhiễm ransomware và bảo vệ dữ liệu quý giá của họ khỏi bị tội phạm mạng mã hóa và giữ làm con tin.

Thông báo đòi tiền chuộc của Capibara Ransomware ở dạng ban đầu là:

'Все ваши файлы на компьютере были успешно зашифрованы капибарой.
Ваш компьютер был заражен вирусом шифровальщиком. Все ваши файлы были зашифрованы и не могут быть восстановлены без нашей помощи. Для того, что бы восстановить их, вы можете купить программу для расшифровки файлов. Она позволит вам восстановить ваши данные и удалить вирус с компьютера.
Цена программы - 5000 рублей. Платеж только через битокин.
Как мне платить и где купить биткоин?
Поищите в гугле, спросите у знакомых, нам похер.

Payment informationAmount: 0.073766 BTC
Bitcoin Address: 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV'