Phần mềm tống tiền DeadLock

Các chiến dịch ransomware hiện đại được xây dựng có mục đích biến dữ liệu cá nhân hoặc dữ liệu tổ chức của bạn thành đòn bẩy. Một khi các tệp quan trọng bị mã hóa, kẻ tấn công sẽ nắm giữ tất cả các quân bài, trừ khi bạn đã chuẩn bị trước. Vệ sinh bảo mật mạnh mẽ, phòng thủ nhiều lớp và chiến lược sao lưu linh hoạt giúp giảm đáng kể nguy cơ một tệp đính kèm độc hại, trình cài đặt bị bẻ khóa hoặc tải xuống trái phép có thể dẫn đến gián đoạn kinh doanh hoặc mất dữ liệu vĩnh viễn. DeadLock Ransomware là một ví dụ điển hình cho thấy tầm quan trọng của những nguyên tắc cơ bản này.

Điều gì làm nên sự khác biệt của DeadLock

DeadLock là một họ ransomware mã hóa tập tin, gắn thẻ mỗi nạn nhân bằng một mã định danh duy nhất. Trong quá trình tấn công, nó làm xáo trộn dữ liệu người dùng và đổi tên mỗi tập tin được mã hóa bằng cách thêm ID của nạn nhân và phần mở rộng '.dlock' vào tên tập tin gốc. Ví dụ: '1.png' trở thành '1.png.F8C6A8.dlock' và '2.pdf' trở thành '2.pdf.F8C6A8.dlock'. ID này được sử dụng trong suốt quá trình tống tiền để theo dõi nạn nhân và liên kết khoản thanh toán với khóa giải mã. DeadLock cũng thả một ghi chú đòi tiền chuộc có tên tập tin nhúng mã định danh đó (ví dụ: "READ ME.F8C6A8.txt") và thay đổi hình nền máy tính để củng cố rằng hệ thống đã bị xâm nhập.

Bên trong tờ tiền chuộc

Ghi chú nêu ra một số điểm chính được thiết kế để định hướng hành động tiếp theo của nạn nhân. Ghi chú khẳng định rằng các tệp được mã hóa không thể được khôi phục nếu không có "khóa giải mã duy nhất" mà chỉ kẻ tấn công mới có. Nạn nhân được yêu cầu cài đặt trình nhắn tin Phiên tập trung vào quyền riêng tư và liên hệ bằng ID Phiên được cung cấp (một lần nữa liên kết ngược lại với mã định danh của từng nạn nhân được nhúng trong tên tệp). Kẻ tấn công yêu cầu nạn nhân gửi một tệp được mã hóa cùng với "khóa cá nhân" (ID duy nhất của họ) để xác minh. Đây là một chiến thuật phổ biến nhằm xây dựng lòng tin bằng cách giải mã một mẫu vô hại.

Chiến thuật thanh toán và gây áp lực

Những kẻ tấn công DeadLock yêu cầu tiền điện tử, cụ thể là Bitcoin hoặc Monero. Chúng hứa hẹn rằng, sau khi thanh toán, chúng sẽ cung cấp một công cụ giải mã hoạt động. Giống như hầu hết các hoạt động ransomware khác, không có bảo đảm thực thi nào. Ghi chú cũng sử dụng nỗi sợ hãi để ngăn cản các nỗ lực khôi phục độc lập: nó cảnh báo nạn nhân không đổi tên các tệp đã mã hóa và không thử các công cụ giải mã của bên thứ ba, cho rằng những hành động như vậy có thể làm hỏng dữ liệu vĩnh viễn hoặc làm tăng chi phí khôi phục. Những cảnh báo này một phần mang tính kỹ thuật (xử lý không đúng cách thực sự có thể làm phức tạp quá trình khôi phục) và một phần gây áp lực tâm lý.

Kiểm tra thực tế giải mã

Kinh nghiệm với ransomware nói chung, và thông điệp của chính những kẻ tấn công, đã chứng minh một sự thật phũ phàng: trong hầu hết các trường hợp, bạn không thể giải mã các tệp bị mã hóa DeadLock nếu không có sự hợp tác và công cụ của kẻ tấn công. Điều này dẫn đến hai cách khôi phục khả thi: (1) sao lưu đang hoạt động ngoại tuyến, ngoài trang web, được kiểm soát phiên bản hoặc không thể truy cập được bởi phần mềm độc hại tại thời điểm tấn công; hoặc (2) trả tiền chuộc và hy vọng tội phạm sẽ thực hiện đúng thỏa thuận. Việc trả tiền chuộc rất rủi ro: kẻ tấn công có thể biến mất, cung cấp bộ giải mã bị lỗi hoặc sử dụng khoản tiền chuộc như một tín hiệu cho thấy bạn là mục tiêu dễ bị tống tiền trong tương lai. Bất cứ khi nào có thể, hãy dựa vào các bản sao lưu không bị ảnh hưởng thay vì trả tiền chuộc.

Tại sao việc loại bỏ hoàn toàn lại quan trọng

Ngay cả sau khi mã hóa hoàn tất, việc để lại ransomware trên hệ thống vẫn rất nguy hiểm. Các thành phần còn sót lại có thể mã hóa lại các tệp mới tạo, thu thập thông tin đăng nhập, mở cửa hậu hoặc cố gắng di chuyển ngang qua mạng cục bộ. Việc loại bỏ, được hỗ trợ bởi quét điểm cuối, kiểm tra bộ nhớ và xem xét các tác vụ đã lên lịch, mục khởi động và bộ điều khiển miền, là rất quan trọng để ngăn ngừa thiệt hại lặp lại.

Các vectơ lây nhiễm DeadLock phổ biến

Kẻ tấn công cần có chỗ đứng ban đầu. Các chiến dịch ransomware đã được liên kết với nhiều kênh phân phối lợi dụng lòng tin, sự tò mò của người dùng và các cách thức cắt giảm chi phí:

• Phần mềm thương mại vi phạm bản quyền hoặc 'bẻ khóa', bao gồm các trình tạo khóa tích hợp và các công cụ bỏ qua giấy phép có thể bí mật cài đặt phần mềm độc hại.
• Các bản crack phần mềm, keygen và trình kích hoạt không chính thức được lấy từ các trang web warez hoặc torrent.
• Tệp đính kèm email độc hại: tài liệu Word có cài bẫy (thường có macro), tệp PDF, tệp ZIP, tệp lệnh hoặc tệp thực thi được ngụy trang dưới dạng hóa đơn, thông báo giao hàng hoặc biểu mẫu HR khẩn cấp.
• Quảng cáo độc hại (quảng cáo độc hại) chuyển hướng người dùng đến các bộ công cụ khai thác hoặc trang tải xuống giả mạo.
• Nền tảng chia sẻ ngang hàng và trung tâm tải xuống của bên thứ ba đóng gói lại trình cài đặt với các nội dung ẩn.
• Phương tiện di động (ví dụ: ổ USB bị nhiễm) tự động chạy hoặc dụ người dùng khởi chạy các tệp bị nhiễm.
• Các cổng hỗ trợ kỹ thuật giả mạo gây áp lực buộc người dùng tải xuống các bản 'sửa lỗi' hoặc 'cập nhật' thực chất có chứa trình tải ransomware.
• Các trang web hợp pháp bị xâm phạm đã được gieo mầm bằng các lượt tải xuống tự động hoặc các tập lệnh được đưa vào để phân phối nội dung.

Thực hành bảo mật tốt nhất để tăng cường phòng thủ của bạn

Bảo mật nhiều lớp giúp giảm đáng kể phạm vi ảnh hưởng của sự kiện ransomware. Dưới đây là các bước phòng thủ được ưu tiên giúp ngăn chặn DeadLock và các mối đe dọa tương tự:

• Duy trì sao lưu ngoại tuyến đáng tin cậy cho dữ liệu quan trọng.
• Vá lỗi hệ điều hành, ứng dụng và chương trình cơ sở kịp thời, đặc biệt là các dịch vụ và bộ ứng dụng năng suất dễ bị tấn công bằng mã độc hoặc khai thác.
• Sử dụng giải pháp bảo vệ điểm cuối/EDR uy tín với tính năng phát hiện phần mềm tống tiền dựa trên hành vi và tự động cô lập.
• Áp dụng tài khoản người dùng có đặc quyền thấp nhất; vô hiệu hóa quyền quản trị cục bộ khi không cần thiết; tách thông tin đăng nhập của quản trị viên khỏi mục đích sử dụng hàng ngày.
• Hạn chế thực thi macro, trình thông dịch tập lệnh và tệp nhị phân chưa ký thông qua chính sách nhóm, danh sách cho phép ứng dụng và quyền truy cập thư mục được kiểm soát.
• Triển khai lọc bảo mật email: tệp đính kèm dạng hộp cát, kiểm tra liên kết và đánh dấu các loại tệp đáng ngờ hoặc tên miền người gửi giả mạo.
• Tắt chế độ chạy tự động trên thiết bị di động và quét các thiết bị USB trước khi gắn kết.
• Yêu cầu xác thực đa yếu tố (MFA) cho truy cập từ xa, bảng điều khiển quản trị và giao diện quản lý sao lưu.

Bài học dài hạn

DeadLock củng cố một chủ đề thường gặp trong các dòng ransomware: kẻ tấn công không cần các công cụ khai thác tiên tiến nếu người dùng cuối thường xuyên tải xuống các công cụ bị bẻ khóa, mở các tệp đính kèm chưa được xác minh hoặc duyệt qua các mạng quảng cáo không đáng tin cậy. Các kỹ thuật bảo mật cơ bản, kỷ luật vá lỗi, kiểm soát truy cập, sao lưu được giám sát và nhận thức của người dùng sẽ biến một cuộc khủng hoảng tiềm tàng thành một sự kiện có thể phục hồi. Hãy đầu tư vào các biện pháp phòng thủ này ngay bây giờ; chi phí thấp hơn nhiều so với việc trả tiền chuộc dưới áp lực.

Suy nghĩ kết thúc

Khả năng chống chịu ransomware được xây dựng từ rất lâu trước khi cuộc tấn công xảy ra trên màn hình của bạn. Bằng cách hiểu cách thức hoạt động của DeadLock và triển khai các biện pháp phòng ngừa và phục hồi theo từng lớp, bạn sẽ có thể tự bảo vệ mình trước mối đe dọa này và những mối đe dọa tương tự. Hãy luôn cảnh giác với bất cứ điều gì bạn không chủ động tìm kiếm hoặc xác minh. Sự cảnh giác của bạn là tuyến phòng thủ đầu tiên, và thường là tốt nhất.