Phần mềm tống tiền Prey

Việc bảo vệ thiết bị cá nhân và doanh nghiệp khỏi phần mềm độc hại không còn là lựa chọn nữa mà là điều thiết yếu. Tội phạm mạng liên tục phát triển các công cụ tiên tiến hơn để xâm phạm dữ liệu, và ransomware vẫn là một trong những mối đe dọa tàn phá dữ liệu nghiêm trọng nhất. Một trong những ví dụ mới nhất về loại phần mềm độc hại này là Prey Ransomware, một biến thể của dòng MedusaLocker khét tiếng. Mối đe dọa này được thiết kế đặc biệt để mã hóa tệp, tống tiền nạn nhân và có khả năng làm rò rỉ dữ liệu bị đánh cắp nếu yêu cầu không được đáp ứng.

Một cuộc tấn công không ngừng nghỉ vào dữ liệu

Sau khi được thực thi trên hệ thống mục tiêu, Prey Ransomware bắt đầu mã hóa các tệp bằng cách sử dụng kết hợp các thuật toán mã hóa RSA và AES, gần như không thể bị phá vỡ nếu không có khóa giải mã của kẻ tấn công. Phần mềm độc hại này sẽ thêm phần mở rộng '.prey35' vào mỗi tệp được mã hóa, biến đổi các tên như 'photo.png' thành 'photo.png.prey35'.

Sau quá trình mã hóa, ransomware sẽ thay đổi hình nền máy tính và gửi một thông báo đòi tiền chuộc có tiêu đề 'HOW_TO_RECOVER_DATA.html'. Thông báo này thông báo cho nạn nhân rằng mạng lưới công ty của họ đã bị xâm nhập, các tệp đã bị mã hóa và thông tin nhạy cảm đã bị đánh cắp. Nạn nhân được yêu cầu liên hệ với kẻ tấn công trong vòng 72 giờ, nếu không sẽ phải đối mặt với việc tăng số tiền chuộc và dữ liệu bị đánh cắp sẽ bị công khai.

Lời hứa lừa dối của giải mã

Thông báo đòi tiền chuộc khẳng định nạn nhân có thể kiểm tra giải mã tối đa ba tệp không cần thiết trước khi trả tiền. Tuy nhiên, những tuyên bố như vậy nhằm mục đích tạo dựng lòng tin sai lệch. Các chuyên gia an ninh mạng nhấn mạnh rằng việc trả tiền chuộc không đảm bảo khôi phục tệp tin; trong nhiều trường hợp, kẻ tấn công không bao giờ cung cấp khóa hoặc công cụ giải mã như đã hứa. Hơn nữa, việc trả tiền chuộc chỉ tiếp tay cho các hoạt động tội phạm và khuyến khích các cuộc tấn công mới.

Việc giải mã mà không có sự tham gia của kẻ tấn công thường là bất khả thi, trừ khi ransomware được mã hóa kém hoặc đã được các nhà nghiên cứu giải mã. Đối với hầu hết nạn nhân, việc khôi phục chỉ phụ thuộc vào việc có sẵn các bản sao lưu an toàn, có sẵn.

Phương pháp phân phối và vectơ lây nhiễm

Giống như hầu hết các loại ransomware khác, Prey được phát tán thông qua lừa đảo, kỹ thuật xã hội và tải xuống mã độc. Quá trình lây nhiễm thường bắt đầu khi người dùng thiếu cảnh giác mở các tệp đính kèm hoặc liên kết lừa đảo. Các tệp này có thể ở nhiều định dạng, bao gồm ZIP, RAR, PDF, EXE hoặc tài liệu Microsoft Office chứa macro độc hại. Chỉ cần mở các tệp này cũng có thể khởi động chuỗi lây nhiễm.

Mối đe dọa cũng có thể lây lan qua:

• Trojan và trình tải phần mềm cài đặt ransomware ở chế độ nền.
• Tải xuống ngẫu nhiên hoặc chiến dịch quảng cáo độc hại.
• Email rác có chứa tệp đính kèm hoặc liên kết bị nhiễm virus.

• Bản cập nhật phần mềm giả mạo hoặc phần mềm kích hoạt lậu ('crack').

• Mạng ngang hàng (P2P) và các trang web miễn phí không đáng tin cậy.

• Lan truyền qua mạng, trong đó phần mềm tống tiền di chuyển theo chiều ngang qua các hệ thống được kết nối hoặc thiết bị lưu trữ ngoài.

Loại bỏ mối đe dọa và khôi phục tệp

Nếu Prey Ransomware lây nhiễm hệ thống, cần phải hành động ngay lập tức. Phần mềm độc hại phải được loại bỏ hoàn toàn để ngăn chặn mã hóa thêm. Mặc dù việc loại bỏ sẽ ngăn chặn thiệt hại thêm, nhưng nó sẽ không giải mã các tệp bị ảnh hưởng. Phương pháp khôi phục an toàn nhất là khôi phục dữ liệu từ các bản sao lưu ngoại tuyến, sạch được tạo trước khi xảy ra lây nhiễm.

Nạn nhân nên tránh tương tác với thông báo đòi tiền chuộc và thay vào đó hãy tìm kiếm sự hỗ trợ từ các chuyên gia an ninh mạng uy tín hoặc các nhóm ứng phó sự cố. Việc báo cáo sự cố cho các cơ quan chức năng về tội phạm mạng địa phương cũng rất quan trọng.

Xây dựng một hệ thống phòng thủ vững chắc: Các biện pháp an ninh thiết yếu

Việc ngăn chặn các cuộc tấn công ransomware như Prey đòi hỏi sự kết hợp giữa nhận thức, vệ sinh kỹ thuật số tốt và các biện pháp bảo vệ kỹ thuật. Người dùng có thể giảm thiểu đáng kể rủi ro bằng cách triển khai các biện pháp bảo mật sau:

1. Các bước bảo vệ chủ động

• Luôn cập nhật hệ điều hành, phần mềm và công cụ diệt vi-rút.
• Bật xác thực đa yếu tố (MFA) bất cứ khi nào có thể.
• Sử dụng bộ bảo mật đáng tin cậy với tính năng giám sát mối đe dọa theo thời gian thực.
• Vô hiệu hóa macro trong Microsoft Office và chặn tải xuống tự động.
• Tránh mở các tệp đính kèm không mong muốn hoặc nhấp vào liên kết từ người gửi không xác định.

2. Thực hành sao lưu và quản lý dữ liệu

• Duy trì nhiều bản sao lưu dữ liệu, một bản trên máy chủ từ xa (đám mây) và một bản trên thiết bị vật lý không kết nối (ổ cứng ngoài, USB).
• Kiểm tra tính toàn vẹn của bản sao lưu thường xuyên để đảm bảo các tệp có thể khôi phục được.

• Cô lập các hệ thống dự phòng khỏi mạng chính để ngăn ngừa lây nhiễm chéo.

Kết luận: Cảnh giác là cách phòng thủ tốt nhất

Sự trỗi dậy của Prey Ransomware cho thấy sự phát triển liên tục của các mối đe dọa mạng và nhu cầu cảnh giác cao độ. Việc trả tiền chuộc chỉ làm trầm trọng thêm vấn đề, trong khi phòng ngừa và chuẩn bị vẫn là biện pháp phòng vệ hiệu quả nhất. Bằng cách thực hiện các thói quen an ninh mạng mạnh mẽ, duy trì sao lưu thường xuyên và tránh các hành vi trực tuyến rủi ro, người dùng có thể giảm đáng kể nguy cơ trở thành nạn nhân của các loại ransomware như Prey.