Phần mềm tống tiền NotHere

Bảo vệ các hệ thống cá nhân và doanh nghiệp khỏi các mối đe dọa phần mềm độc hại hiện đại đã trở nên thiết yếu, vì ngày nay tin tặc dựa vào các kỹ thuật ngày càng tinh vi để xâm nhập thiết bị, đánh cắp dữ liệu và kiếm tiền từ các vụ xâm nhập của chúng. Khi một loại mã độc tống tiền thành công, tác động có thể rất tàn phá, làm gián đoạn hoạt động và khóa chặt các thông tin không thể thay thế. Mã độc tống tiền NotHere là một ví dụ gần đây cho thấy một mối đe dọa có thể nhanh chóng xâm phạm hệ thống và gây áp lực buộc nạn nhân phải trả tiền để có cơ hội khôi phục, thường là một cơ hội giả tạo.

Một biến thể phần mềm tống tiền được thiết kế để gây tác động nhanh chóng.

NotHere được phát hiện trong quá trình rà soát mối đe dọa thường xuyên, nơi các nhà phân tích quan sát hành vi của nó và xác nhận mục đích chính: mã hóa tập tin, sau đó là hành vi tống tiền. Sau khi xâm nhập được vào thiết bị, nó ngay lập tức bắt đầu mã hóa dữ liệu có thể truy cập. Mỗi tập tin bị ảnh hưởng đều nhận được một phần mở rộng mới, biến đổi các tên thông thường như '1.png' hoặc '2.pdf' thành '1.png.NotHr' và '2.pdf.NotHr'. Dấu hiệu đơn giản này giúp kẻ tấn công nhanh chóng xác minh rằng phần mềm độc hại của chúng đã hoàn thành nhiệm vụ.

Khi giai đoạn mã hóa kết thúc, phần mềm tống tiền sẽ thay đổi hình nền máy tính để phản ánh sự hiện diện của nó và đặt một ghi chú đòi tiền chuộc có tên 'NotHr-Attention.txt' lên hệ thống. Ghi chú này có nội dung ngắn gọn, thông báo cho nạn nhân rằng dữ liệu của họ đã bị khóa và hướng dẫn họ mua phần mềm giải mã trực tiếp từ những kẻ tấn công.

Vì sao việc trả tiền chuộc vẫn là một lựa chọn đầy rủi ro.

Nạn nhân của mã độc tống tiền thường cảm thấy bị dồn vào đường cùng sau khi thấy các tập tin của mình không thể truy cập được, nhưng các nhà nghiên cứu bảo mật luôn cảnh báo không nên trả tiền chuộc. Trong nhiều trường hợp, tội phạm không cung cấp được công cụ giải mã hoạt động ngay cả cho những người hoàn toàn đáp ứng yêu cầu của chúng. Ngoài tổn thất về tài chính, việc gửi tiền chuộc còn tiếp tay cho các hoạt động tội phạm, khuyến khích kẻ tấn công leo thang hoạt động của chúng.

Nhìn chung, dữ liệu bị khóa bởi phần mềm tống tiền không thể giải mã nếu không có khóa riêng của kẻ tấn công, trừ khi phần mềm độc hại có lỗi lập trình. Những điểm yếu như vậy rất hiếm gặp, điều đó có nghĩa là sao lưu vẫn là phương pháp đáng tin cậy duy nhất để khôi phục tập tin.

Các lựa chọn ngăn chặn và phục hồi

Nếu NotHere xâm nhập vào hệ thống, việc loại bỏ các thành phần độc hại là điều cần thiết để ngăn chặn việc mã hóa tiếp tục. Tuy nhiên, bước này không thể khắc phục được thiệt hại đã gây ra. Chỉ có các bản sao lưu sạch, độc lập, được lưu trữ trên máy chủ từ xa, ổ cứng ngoài hoặc các vị trí ngoại tuyến khác mới có thể khôi phục dữ liệu gốc. Việc giữ nhiều bản sao lưu ở các vị trí riêng biệt sẽ giảm đáng kể nguy cơ mất dữ liệu hoàn toàn.

Cách NotHere lan truyền giữa các hệ thống

Giống như nhiều loại mã độc tống tiền khác, NotHere dựa vào các phương thức phát tán quen thuộc nhưng cực kỳ hiệu quả. Kẻ tấn công thường ngụy trang mã độc của chúng dưới dạng các tài liệu hợp pháp, bản cập nhật, trình cài đặt hoặc gói nén. Các tệp này có thể đến qua email lừa đảo, nền tảng nhắn tin, trang web bị xâm nhập hoặc quảng cáo trực tuyến gây hiểu nhầm. Kẻ tấn công cũng lợi dụng các nguồn tải xuống không đáng tin cậy, phần mềm bẻ khóa và trình tải Trojan để âm thầm phát tán phần mềm độc hại trong nền.

Một số mối đe dọa thậm chí còn tự lan truyền, di chuyển qua các mạng cục bộ hoặc nhảy sang các thiết bị lưu trữ di động, sau đó đóng vai trò là vật trung gian lây lan sang các máy tính khác.

Những thói quen phòng vệ giúp tăng cường khả năng bảo vệ người dùng

Để xây dựng một hệ thống phòng thủ vững chắc, cần kết hợp giữa hành vi thận trọng và các công cụ bảo mật đáng tin cậy. Dưới đây là các biện pháp thiết thực giúp giảm đáng kể nguy cơ bị tấn công bởi các mối đe dọa như NotHere:

Thực hành kỹ thuật số an toàn

• Tránh mở các tệp đính kèm không mong muốn, nhấp vào các liên kết đáng ngờ hoặc tương tác với các tin nhắn tạo ra sự gấp gáp hoặc cố gắng giả mạo các dịch vụ đáng tin cậy.
• Hãy luôn tải xuống từ các nguồn đáng tin cậy và tuyệt đối không sử dụng phần mềm lậu, trình cài đặt không chính thức hoặc các bản cập nhật chưa được xác minh.

Biện pháp bảo vệ kỹ thuật

• Luôn cập nhật đầy đủ hệ điều hành, trình duyệt và ứng dụng để loại bỏ các lỗ hổng bảo mật có thể bị khai thác.
• Hãy triển khai phần mềm bảo mật uy tín có khả năng phát hiện hoạt động mã độc tống tiền và chặn các kết nối độc hại.

Ngoài những điểm trên, việc duy trì các bản sao lưu riêng biệt, bảo mật tài khoản bằng xác thực đa yếu tố và thường xuyên kiểm tra các chương trình đã cài đặt sẽ giúp đảm bảo rằng ngay cả khi xảy ra sự cố mã độc tống tiền, hậu quả của nó vẫn có thể được kiểm soát.

Bằng cách kết hợp sự cảnh giác với các biện pháp bảo mật hiệu quả, người dùng có thể giảm thiểu đáng kể nguy cơ bị các mối đe dọa như NotHere xâm phạm thiết bị hoặc dữ liệu của họ.