Carver Ransomware
Các nhà nghiên cứu của Infosec đã phát hiện ra một chương trình độc hại được gọi là Carver. Carver Ransomware thuộc danh mục ransomware, có nghĩa là mục đích chính của nó là mã hóa dữ liệu của nạn nhân và sau đó yêu cầu tiền chuộc để khôi phục các tệp được cho là.
Nếu được thực thi trên các thiết bị bị nhiễm, phần mềm độc hại sẽ mã hóa thành công các tệp và sửa đổi tên tệp của chúng. Cụ thể, tên tệp ban đầu được thêm một ID duy nhất, địa chỉ email của bọn tội phạm mạng và phần mở rộng '.Carver'. Ví dụ: một tệp có tên trước đây là '1.doc' sẽ xuất hiện dưới dạng '1.doc.id[9ECFA84E-3455].[ineedatool@rape.lol].Carver.'
Khi quá trình mã hóa hoàn tất, Carver Ransomware sẽ gửi hai ghi chú đòi tiền chuộc, đó là 'info.hta' ở dạng cửa sổ bật lên và 'info.txt' ở dạng tệp văn bản. Những ghi chú này chứa hướng dẫn về cách trả tiền chuộc và lấy khóa giải mã. Điều quan trọng cần lưu ý là Carver Ransomware là một phần của dòng phần mềm độc hại khét tiếng Phobos.
Nạn nhân của Carver Ransomware bị tống tiền
Tệp văn bản do phần mềm tống tiền Carver tạo ra chỉ đơn giản là thông báo cho nạn nhân rằng dữ liệu của họ đã được mã hóa và cung cấp hướng dẫn liên hệ với những kẻ tấn công. Trong khi đó, thông báo cửa sổ bật lên cung cấp thêm chi tiết về quá trình giải mã. Cụ thể, nó thông báo cho nạn nhân rằng họ sẽ cần trả tiền chuộc bằng tiền điện tử Bitcoin để lấy khóa giải mã. Tuy nhiên, thông báo không nêu rõ số tiền chuộc chính xác mà chỉ ra rằng nó có thể phụ thuộc vào tốc độ mà nạn nhân liên hệ với tội phạm mạng. Trước khi thực hiện bất kỳ khoản thanh toán nào, nạn nhân được cung cấp tùy chọn kiểm tra miễn phí quy trình giải mã trong một số thông số kỹ thuật nhất định.
Thông báo trong cửa sổ bật lên cũng cảnh báo không nên đổi tên các tệp được mã hóa hoặc sử dụng các công cụ giải mã của bên thứ ba, vì làm như vậy sẽ khiến dữ liệu không thể giải mã được. Dựa trên phân tích và nghiên cứu sâu rộng của chúng tôi về hàng nghìn trường hợp lây nhiễm ransomware, chúng tôi có thể suy luận rằng việc giải mã thường không thể thực hiện được nếu không có sự tham gia của những kẻ tấn công. Ngoại lệ duy nhất có thể là nếu phần mềm tống tiền có nhiều thiếu sót hoặc vẫn đang được phát triển.
Hơn nữa, ngay cả khi tiền chuộc được trả, nạn nhân có thể không nhận được khóa hoặc phần mềm giải mã như đã hứa. Do đó, chúng tôi thực sự khuyên bạn không nên trả tiền chuộc và vô tình hỗ trợ hoạt động bất hợp pháp này.
Bảo vệ thiết bị của bạn khỏi các mối đe dọa như Carver Ransomware là rất quan trọng
Nhiễm ransomware có thể tàn phá người dùng vì chúng có thể dẫn đến mất dữ liệu quan trọng và tổn thất tài chính. Để bảo vệ thiết bị của mình khỏi phần mềm tống tiền, người dùng có thể thực hiện một số biện pháp bảo mật. Một trong những biện pháp quan trọng nhất là luôn cập nhật thiết bị của họ với các bản cập nhật và bản vá bảo mật mới nhất. Điều này sẽ đảm bảo rằng mọi lỗ hổng trong hệ điều hành hoặc phần mềm của thiết bị đều được khắc phục, khiến phần mềm tống tiền khó khai thác chúng hơn.
Một biện pháp cần thiết khác là bỏ qua việc nhấp vào các liên kết đáng ngờ hoặc tải xuống các tệp từ các nguồn không đáng tin cậy. Ransomware thường lây lan qua các tệp đính kèm email hoặc liên kết độc hại, vì vậy người dùng nên thận trọng khi mở email từ những người gửi không xác định hoặc nhấp vào liên kết trong email. Họ cũng nên sử dụng phần mềm chống vi-rút để quét thiết bị của mình để tìm phần mềm độc hại và cập nhật thiết bị với các định nghĩa vi-rút mới nhất.
Việc thường xuyên sao lưu dữ liệu và tệp cần thiết vào ổ đĩa ngoài hoặc dịch vụ lưu trữ đám mây cũng rất quan trọng. Điều này có thể giúp người dùng khôi phục dữ liệu của họ trong trường hợp dữ liệu đó bị mã hóa bởi ransomware. Ngoài ra, người dùng nên tạo mật khẩu mạnh và bật xác thực hai yếu tố để bảo mật tài khoản của mình.
Nhìn chung, việc bảo vệ khỏi mã độc tống tiền yêu cầu kết hợp nhiều biện pháp phòng ngừa, chẳng hạn như cập nhật phần mềm, tránh các liên kết và tệp đính kèm đáng ngờ, đồng thời sử dụng phần mềm chống vi-rút, cũng như các biện pháp ứng phó, chẳng hạn như sao lưu dữ liệu và tệp cần thiết. Bằng cách thực hiện các bước này, người dùng có thể giảm đáng kể nguy cơ trở thành nạn nhân của cuộc tấn công ransomware.
Thông báo đòi tiền chuộc được hiển thị trong cửa sổ bật lên là:
'Tất cả các tập tin của bạn đã được mã hóa!
Tất cả các tệp của bạn đã được mã hóa do sự cố bảo mật với PC của bạn. Nếu bạn muốn khôi phục chúng, hãy viết thư cho chúng tôi qua e-mail ineedatool@rape.lol
Viết ID này vào tiêu đề tin nhắn của bạn -
Bạn phải trả tiền để giải mã bằng Bitcoin. Giá phụ thuộc vào tốc độ bạn viết thư cho chúng tôi. Sau khi thanh toán, chúng tôi sẽ gửi cho bạn công cụ giải mã tất cả các tệp của bạn.Giải mã miễn phí như đảm bảo
Trước khi thanh toán, bạn có thể gửi cho chúng tôi tối đa 3 tệp để được giải mã miễn phí. Tổng kích thước của tệp phải nhỏ hơn 4Mb (không được lưu trữ) và tệp không được chứa thông tin có giá trị. (cơ sở dữ liệu, bản sao lưu, trang excel lớn, v.v.)Cách nhận Bitcoin
Cách dễ nhất để mua bitcoin là trang LocalBitcoins. Bạn phải đăng ký, nhấp vào 'Mua bitcoin' và chọn người bán theo phương thức thanh toán và giá cả.
hxxps://localbitcoins.com/buy_bitcoins
Ngoài ra, bạn có thể tìm những nơi khác để mua Bitcoin và hướng dẫn cho người mới bắt đầu tại đây:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Chú ý!
Không đổi tên các tập tin được mã hóa.
Đừng cố giải mã dữ liệu của bạn bằng phần mềm của bên thứ ba, nó có thể gây mất dữ liệu vĩnh viễn.
Việc giải mã các tệp của bạn với sự trợ giúp của bên thứ ba có thể làm tăng giá (họ thêm phí của họ vào phí của chúng tôi) hoặc bạn có thể trở thành nạn nhân của một vụ lừa đảo.Tệp văn bản chứa thông báo sau:
!!!Tất cả các tệp của bạn đều được mã hóa!!!
Để giải mã chúng, hãy gửi e-mail đến địa chỉ này: ineedatool@rape.lol.'
