Phần mềm tống tiền REVRAC (Makop)
Mối nguy hiểm từ ransomware đang ngày càng lớn hơn bao giờ hết. Với việc vi phạm dữ liệu và các cuộc tấn công phần mềm độc hại liên tục gây xôn xao dư luận, điều quan trọng là người dùng phải luôn cảnh giác và áp dụng các biện pháp an ninh mạng mạnh mẽ. Trong số các mối đe dọa mới nhất đang lan truyền, có một biến thể mới được xác định của ransomware REVRAC, một biến thể tinh vi và gây thiệt hại cực lớn thuộc họ ransomware Makop. Bài phân tích này đi sâu vào hoạt động của mối đe dọa này, các phương thức lây nhiễm và những cách hiệu quả nhất để phòng thủ trước nó.
Mục lục
Một cái tên quen thuộc nhưng lại ẩn chứa sự nguy hiểm
Mặc dù đã từng phát hiện một ransomware mang tên REVRAC trong quá khứ, biến thể hiện tại là một sự tiến hóa hoàn toàn mới và nguy hiểm. Phiên bản này được xác định có liên quan mật thiết đến họ ransomware Makop, nổi tiếng với khả năng mã hóa mạnh mẽ và phá hoại. Sau khi được thực thi trên hệ thống mục tiêu, REVRAC ngay lập tức bắt đầu mã hóa các tệp của người dùng, bao gồm tài liệu, hình ảnh, cơ sở dữ liệu và các dữ liệu quan trọng khác.
Các tệp bị nhiễm được đổi tên theo một quy luật riêng biệt: tên tệp gốc được sửa đổi để bao gồm ID duy nhất của nạn nhân, địa chỉ email của kẻ tấn công và phần mở rộng '.REVRAC'. Ví dụ, một tệp như '1.png' được đổi tên thành '1.png.[2AF20FA3].[OnlyBuy@cyberfear.com].REVRAC.'
Ngoài việc khóa các tệp, phần mềm tống tiền còn thay đổi hình nền máy tính của hệ thống và tạo một ghi chú đòi tiền chuộc có tên '+README-WARNING+.txt'. Ghi chú này nêu rõ yêu cầu của kẻ tấn công và cảnh báo không sử dụng các công cụ của bên thứ ba hoặc đổi tên tệp, vì có thể gây ra thiệt hại vĩnh viễn hoặc tăng yêu cầu đòi tiền chuộc.
Ghi chú về tiền chuộc: Tống tiền có chủ đích
Tin nhắn đòi tiền chuộc do REVRAC để lại nhằm mục đích ép buộc nạn nhân tuân thủ thông qua nỗi sợ hãi và sự cấp bách. Nó thông báo cho người dùng rằng tệp của họ không thể được khôi phục nếu không có khóa giải mã duy nhất mà chỉ kẻ tấn công mới có. Nạn nhân được hướng dẫn liên hệ với 'onlybuy@cyberfear.com', cung cấp ID cá nhân được hiển thị trong tên tệp. Ghi chú nhấn mạnh rằng bất kỳ nỗ lực giải mã hoặc sửa đổi dữ liệu đã mã hóa trái phép nào cũng có thể dẫn đến mất dữ liệu không thể phục hồi.
Bất chấp những tuyên bố này, các chuyên gia an ninh mạng vẫn khuyến cáo không nên trả tiền chuộc. Không có gì đảm bảo rằng việc trả tiền chuộc sẽ giúp khôi phục dữ liệu, và việc làm như vậy chỉ càng thúc đẩy hoạt động tội phạm.
REVRAC lây nhiễm hệ thống như thế nào
Mã độc tống tiền REVRAC lây lan qua nhiều phương thức lừa đảo và độc hại. Các phương thức lây nhiễm phổ biến bao gồm:
Trình cài đặt phần mềm giả mạo : Phần mềm độc hại ngụy trang thành chương trình bẻ khóa, trình tạo khóa hoặc công cụ kích hoạt trái phép.
Email lừa đảo : Tin nhắn lừa người dùng tải xuống tệp đính kèm độc hại hoặc nhấp vào liên kết nguy hiểm.
Trang web và quảng cáo bị xâm phạm : Các trang web hoặc quảng cáo có vẻ hợp pháp nhưng lại bí mật cài đặt phần mềm độc hại.
Truyền bá qua phương tiện di động và mạng : Các bệnh lây lan qua ổ đĩa USB hoặc qua các hệ thống được kết nối.
Khai thác lỗ hổng phần mềm : Sử dụng các lỗi chưa vá trong phần mềm hợp pháp để truy cập và thực thi phần mềm tống tiền.
Phần mềm độc hại thường được nhúng trong các định dạng tệp như tệp thực thi (.exe), tệp tài liệu (.docx, .xls), tệp tập lệnh (.js, .vbs) hoặc tệp lưu trữ (.zip, .rar).
Các biện pháp tốt nhất để ngăn chặn nhiễm phần mềm tống tiền
Để bảo vệ khỏi các mối đe dọa như REVRAC, người dùng phải áp dụng phương pháp tiếp cận an ninh mạng chủ động và nhiều lớp. Một số biện pháp bảo mật hiệu quả nhất bao gồm:
- Luôn cập nhật đầy đủ tất cả hệ điều hành, ứng dụng và công cụ bảo mật.
- Sử dụng giải pháp chống vi-rút hoặc phần mềm độc hại có uy tín với khả năng bảo vệ theo thời gian thực.
- Vô hiệu hóa macro trong các tệp Microsoft Office từ nguồn không xác định.
Kết luận: Hãy cảnh giác, hãy được bảo vệ
Mã độc tống tiền REVRAC là một ví dụ điển hình cho thấy mã độc tống tiền tiếp tục phát triển, ngày càng có mục tiêu rõ ràng và gây thiệt hại lớn hơn. Việc nó liên quan đến nhóm Makop cho thấy khả năng gây hại nghiêm trọng. Tuy nhiên, với các biện pháp phòng ngừa phù hợp, từ việc vệ sinh phần mềm đến đào tạo người dùng và thói quen sao lưu, cả cá nhân và tổ chức đều có thể bảo vệ dữ liệu và hệ thống của mình khỏi rơi vào tay tội phạm mạng. Phòng ngừa vẫn là công cụ mạnh mẽ nhất chống lại mã độc tống tiền.
tin nhắn
Các thông báo sau được liên kết với Phần mềm tống tiền REVRAC (Makop) đã được tìm thấy:
|
YOUR FILES ARE ENCRYPTED Your files, documents, photos, databases and other important files are encrypted. You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files. To be sure we have the decryptor and it works you can send an email: TechSupport@cyberfear.com and decrypt one file for free. Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets,sql. etc.) Do you really want to restore your files? Write to email: OnlyBuy@cyberfear.com Your personal ID is indicated in the names of the files and in the end of this message, before writing a message by email - indicate the name of the ID indicated in the files IN THE SUBJECT OF THE EMAIL Attention! * Do not rename encrypted files. * Do not try to decrypt your data using third party software, it may cause permanent data loss. * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. YOUR ID: |
