Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm tống tiền Theft Ransomware

Theft Ransomware

Đến năm Mezo năm Phần mềm tống tiền
Dịch sang:

Môi trường đe dọa hiện đại vô cùng khắc nghiệt. Tội phạm mạng liên tục tinh chỉnh các công cụ để khai thác người dùng thiếu chuẩn bị. Một trong những mối đe dọa nguy hiểm nhất là ransomware, phần mềm độc hại mã hóa dữ liệu và tống tiền nạn nhân. Một biến thể mới nổi như vậy được gọi là Theft Ransomware, đã được phát hiện đang tàn phá các hệ thống không hề hay biết.

Điều gì làm cho phần mềm tống tiền trộm cắp trở nên nguy hiểm

Theft Ransomware là một biến thể mới liên quan đến họ ransomware Dharma khét tiếng, một nhóm nổi tiếng với việc nhắm mục tiêu vào cả cá nhân và tổ chức. Khi xâm nhập vào thiết bị, phần mềm độc hại sẽ mã hóa các tệp và đổi tên chúng bằng cách thêm vào:

  • ID nạn nhân duy nhất
  • Địa chỉ email của kẻ tấn công
  • Phần mở rộng '.theft'

Ví dụ: '1.png' trở thành '1.png.id-9ECFA84E.[datatheft@tuta.io].theft.'

Sau đó, nạn nhân sẽ phải đối mặt với các thông báo đòi tiền chuộc dưới dạng tệp văn bản ('info.txt') và một cửa sổ bật lên. Mặc dù thông báo văn bản ngắn gọn, chỉ cung cấp thông tin liên hệ, nhưng cửa sổ bật lên lại cung cấp nhiều chi tiết hơn, bao gồm cả lời cam đoan rằng dữ liệu có thể được khôi phục nếu tiền chuộc được trả. Kẻ tấn công thậm chí còn đưa ra 'bằng chứng giải mã' bằng cách cho phép khôi phục miễn phí ba tệp nhỏ, không quan trọng.

Để gây thêm áp lực, bọn tội phạm còn tuyên bố đã đánh cắp dữ liệu kinh doanh nhạy cảm và đe dọa sẽ tiết lộ nếu không thanh toán.

Đặc điểm kỹ thuật của mối đe dọa

Giống như các biến thể khác dựa trên Dharma, Theft Ransomware không khóa toàn bộ hệ thống mà thay vào đó mã hóa các tệp cục bộ và chia sẻ trên mạng. Phần mềm độc hại này chủ động:

  • Kết thúc các tiến trình liên quan đến các tệp đang sử dụng (cơ sở dữ liệu, trình đọc, v.v.)
  • Sao chép chính nó vào đường dẫn %LOCALAPPDATA% và đăng ký tính bền bỉ thông qua phím Run
  • Tự động khởi động khi hệ thống khởi động lại
  • Xóa các bản sao bóng ổ đĩa để ngăn chặn việc khôi phục dễ dàng

Phần mềm độc hại này cũng thu thập dữ liệu vị trí địa lý để xác định xem có nên tiến hành mã hóa hay không, có thể loại trừ một số khu vực nhất định.

Bệnh lây lan như thế nào

Ransomware trộm cắp sử dụng nhiều chiến thuật xâm nhập, phổ biến nhất là các dịch vụ RDP (Giao thức Máy tính Từ xa) được bảo mật yếu. Các cuộc tấn công brute-force và dictionary (từ điển) nhắm vào các tài khoản được bảo vệ kém là điểm xâm nhập thường xuyên. Một khi đã xâm nhập, phần mềm độc hại thậm chí có thể vô hiệu hóa tường lửa để dễ dàng hoạt động.

Các kênh phân phối nổi tiếng khác bao gồm:

Lừa đảo và kỹ thuật xã hội – Tệp đính kèm hoặc liên kết độc hại trong email, tin nhắn trực tiếp và bài đăng.

Trojan và Backdoor – Dùng để phát tán ransomware một cách âm thầm.

Quảng cáo độc hại và Tải xuống tự động – Chỉ cần truy cập vào một trang web bị xâm phạm là có thể kích hoạt.

Nguồn phần mềm đáng ngờ – Công cụ vi phạm bản quyền, gói phần mềm miễn phí và bản cập nhật giả mạo.

Phương tiện di động và mạng cục bộ – Cho phép phần mềm độc hại lây lan nội bộ sau khi xâm nhập vào hệ thống.

Tại sao trả tiền chuộc là một canh bạc mạo hiểm

Việc giải mã các tệp tin bị mã hóa bởi Theft mà không có khóa của kẻ tấn công là gần như bất khả thi. Mặc dù một số biến thể ransomware có lỗ hổng, các mối đe dọa dựa trên Dharma thường được xây dựng rất chắc chắn. Quan trọng là, việc trả tiền chuộc không đảm bảo việc khôi phục dữ liệu, nhiều nạn nhân vẫn trắng tay ngay cả sau khi đã chuyển tiền. Tệ hơn nữa, việc trả tiền chuộc chỉ tài trợ cho các hoạt động tội phạm tiếp theo.

Tăng cường khả năng phòng thủ của bạn chống lại Ransomware

Cách tốt nhất để chống lại Ransomware Trộm cắp là phòng ngừa. Vì việc xóa phần mềm độc hại sẽ không tự động khôi phục các tệp đã bị mã hóa, người dùng cần tập trung vào khả năng phục hồi và phòng thủ chủ động. Các biện pháp chính mà mọi người dùng nên áp dụng là:

  • Sao lưu thường xuyên – Lưu giữ các bản sao của các tệp quan trọng ở nhiều vị trí an toàn, chẳng hạn như ổ đĩa ngoại tuyến và dịch vụ đám mây không được ánh xạ tới hệ thống bị nhiễm.
  • Cập nhật phần mềm và hệ thống – Áp dụng bản vá để vá các lỗ hổng mà phần mềm tống tiền khai thác.
  • Sử dụng Xác thực mạnh – Bảo mật các dịch vụ RDP bằng mật khẩu phức tạp, duy nhất và cho phép xác thực đa yếu tố.
  • Thận trọng với email và liên kết – Không mở tệp đính kèm lạ hoặc nhấp vào liên kết không xác định, ngay cả khi chúng có vẻ hợp pháp.
  • Hạn chế Quyền quản trị – Giới hạn đặc quyền để giảm tác động của việc thực thi phần mềm độc hại tiềm ẩn.
  • Cài đặt các công cụ bảo mật uy tín – Sử dụng các giải pháp chống phần mềm độc hại có tính năng bảo vệ khỏi ransomware.
  • Vô hiệu hóa Macro và Scripting – Nhiều cuộc tấn công ransomware được kích hoạt thông qua các tài liệu Office hoặc script.
  • Mạng phân đoạn – Ngăn chặn phần mềm độc hại lây lan theo chiều ngang trên khắp môi trường kinh doanh.

Suy nghĩ cuối cùng

Mã độc tống tiền trộm cắp làm nổi bật sự phát triển liên tục của họ Dharma và vai trò dai dẳng của nó trong các chiến dịch tống tiền toàn cầu. Sự kết hợp giữa mã hóa, đánh cắp dữ liệu và tống tiền khiến nó trở nên đặc biệt nguy hiểm. Vì việc khôi phục tệp thường không thể thực hiện được nếu không có bản sao lưu sạch, nên biện pháp phòng thủ thực sự duy nhất là phòng ngừa nhiều lớp, vệ sinh mạng chặt chẽ và các chiến lược phục hồi đáng tin cậy.

System Messages

The following system messages may be associated with Theft Ransomware:

All your files has been encrypted!

Don't worry, you can return all your files!
If you want to restore them, contact us: datatheft@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, contact mail:datatheft@cyberfear.com

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Some of your data has been downloaded

In case if you refuse to cooperate all downloaded data will be transfered to third parties. Financial implications: The threat of data breach could result in significant fines and legal action. Reputational risks: Data breach may lead to a loss of trust from customers and partners, as well as negative consequences for your future work. We strongly recommend you to contact us directly, to avoid the extra fee from middlemans and lower the risks of scam.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Ransom note in the text files:
All your data has been encrypted.

For decryption contact:

datatheft@tuta.io or datatheft@cyberfear.com

Bài viết liên quan

Lừa đảo 'Quà tặng Grand Theft Auto (GTA) VI'

Lừa đảo, Thư rác
Cái gọi là 'Quà tặng Grand Theft Auto (GTA) VI' là một kế hoạch lừa đảo tiền điện tử được thực hiện một cách chiến lược nhằm lợi dụng những cá nhân mong muốn khám phá các cơ hội trong lĩnh vực tiền điện tử. Thủ phạm của vụ lừa đảo này sử dụng cách tiếp cận lừa đảo bằng cách đóng giả là những thực thể hào phóng cung cấp tài sản kỹ thuật số miễn phí. Ngoài ra, những kẻ lừa đảo còn cố gắng lợi...

xu hướng

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
35,281
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...