Xentari Ransowmare

Việc bảo vệ tài sản kỹ thuật số khỏi các mối đe dọa độc hại đang trở nên quan trọng hơn bao giờ hết, khi tội phạm mạng tiếp tục phát triển các phần mềm độc hại tiên tiến được thiết kế để tống tiền nạn nhân. Một trong những mối đe dọa đó là mã độc tống tiền Xentari, một biến thể dựa trên Python được thiết kế để mã hóa dữ liệu có giá trị và yêu cầu thanh toán để đổi lấy việc giải mã dữ liệu. Cuộc tấn công mã độc tống tiền này không chỉ khóa người dùng khỏi các tệp của chính họ mà còn lừa họ trả những khoản tiền chuộc cắt cổ, thường không có bất kỳ đảm bảo nào về việc khôi phục dữ liệu.

Xentari hoạt động như thế nào

Sau khi được thực thi trên thiết bị mục tiêu, Xentari sẽ mã hóa một cách có hệ thống các tài liệu, cơ sở dữ liệu, ảnh, video và các tệp quan trọng khác. Các tệp bị ảnh hưởng sẽ nhận được phần mở rộng '.xentari', giúp chúng có thể được nhận dạng ngay lập tức. Ví dụ: photo.png sẽ trở thành photo.png.xentari.

Sau khi mã hóa, ransomware thay đổi hình nền máy tính và gửi một ghi chú đòi tiền chuộc có tiêu đề 'README_XENTARI.txt', thông báo cho nạn nhân về cuộc tấn công. Ghi chú tiết lộ rằng Xentari sử dụng kết hợp các thuật toán mã hóa AES-256 và RSA-2048, cả hai đều có độ bảo mật cao, khiến việc giải mã tệp gần như không thể thực hiện được nếu không có khóa chính xác.

Những kẻ tấn công yêu cầu khoản thanh toán 0,5 BTC (khoảng 59.000 đô la theo tỷ giá hiện tại), đe dọa sẽ tăng gấp đôi số tiền chuộc sau 72 giờ. Nạn nhân được phép giải mã một tệp duy nhất có dung lượng nhỏ hơn 1MB để làm "bằng chứng" chứng minh kẻ tấn công nắm giữ khóa giải mã. Tuy nhiên, việc trả tiền chuộc không được khuyến khích mạnh mẽ, vì không có gì đảm bảo rằng tội phạm mạng sẽ thực hiện lời hứa của mình.

Chiến thuật phân phối và vectơ lây nhiễm

Mã độc tống tiền Xentari sử dụng nhiều kỹ thuật lừa đảo khác nhau để xâm nhập hệ thống. Lừa đảo trực tuyến (phishing) và kỹ thuật xã hội (social engineering) là những công cụ được lựa chọn chủ yếu, với việc kẻ tấn công ngụy trang các phần mềm độc hại dưới dạng tài liệu hoặc phần mềm hợp pháp. Các loại tệp phổ biến được sử dụng để phát tán Xentari bao gồm:

• Các tệp thực thi như .exe hoặc .run
• Các tệp nén như .zip hoặc .rar
• Các tài liệu có macro độc hại, bao gồm .pdf, .doc và .one

Các vectơ lây nhiễm bổ sung bao gồm tải xuống tự động, tệp đính kèm hoặc liên kết email độc hại, bản cập nhật phần mềm giả mạo, ứng dụng bị bẻ khóa và quảng cáo lừa đảo. Trong một số trường hợp, các biến thể ransomware như Xentari có thể tự lây lan qua mạng cục bộ hoặc ổ đĩa ngoài, mở rộng phạm vi thiệt hại.

Những nguy hiểm khi trả tiền chuộc

Mặc dù việc trả tiền chuộc có vẻ là cách nhanh nhất để khôi phục dữ liệu, nhưng các chuyên gia khuyến cáo không nên làm vậy. Ngay cả khi nạn nhân tuân thủ, kẻ tấn công thường không cung cấp các công cụ giải mã hiệu quả, dẫn đến mất dữ liệu vĩnh viễn. Hơn nữa, việc trả tiền chuộc chỉ tiếp tay cho các hoạt động bất hợp pháp của kẻ tấn công ransomware, khuyến khích các cuộc tấn công tiếp theo.

Việc xóa Xentari khỏi thiết bị bị nhiễm là điều cần thiết để ngăn chặn mã hóa tệp bổ sung, nhưng nó sẽ không khôi phục dữ liệu đã bị khóa trước đó. Phương pháp khôi phục an toàn nhất là khôi phục tệp từ các bản sao lưu an toàn và ngoại tuyến được tạo trước khi xảy ra nhiễm trùng.

Các biện pháp bảo mật tốt nhất để ngăn chặn các cuộc tấn công Ransomware

Các biện pháp an ninh mạng mạnh mẽ có thể giảm đáng kể nguy cơ lây nhiễm ransomware như Xentari. Người dùng và tổ chức nên thực hiện các biện pháp sau:

1. Tăng cường vệ sinh kỹ thuật số

Luôn cập nhật hệ điều hành và tất cả phần mềm bằng các bản vá bảo mật mới nhất.

Tránh tải xuống các tệp hoặc chương trình từ các nguồn chưa được xác minh, đặc biệt là các mạng ngang hàng hoặc các trang web phần mềm miễn phí.

Hãy thận trọng khi mở tệp đính kèm trong email hoặc nhấp vào liên kết, đặc biệt là những liên kết từ người gửi không xác định.

2. Sử dụng các biện pháp bảo mật nhiều lớp

Sử dụng các giải pháp chống phần mềm độc hại và chống phần mềm tống tiền có uy tín với khả năng bảo vệ theo thời gian thực.

Thường xuyên sao lưu các tệp quan trọng vào bộ nhớ ngoại tuyến hoặc đám mây. Các bản sao lưu nên được ngắt kết nối khỏi hệ thống chính để ngăn chặn ransomware mã hóa chúng.

Cấu hình bộ lọc email để chặn các tệp đính kèm và liên kết độc hại.

Bật xác thực đa yếu tố (MFA) trên tất cả các tài khoản quan trọng để giảm nguy cơ truy cập trái phép.

Suy nghĩ cuối cùng

Mã độc tống tiền Xentari là một lời nhắc nhở rõ ràng về mức độ tàn phá của các cuộc tấn công mạng hiện đại. Với các thuật toán mã hóa tiên tiến và yêu cầu tiền chuộc cao ngất ngưởng, nó gây ra mối đe dọa nghiêm trọng đối với dữ liệu cá nhân và tổ chức. Các biện pháp bảo mật chủ động, kết hợp với sao lưu thường xuyên và hành vi trực tuyến thận trọng, vẫn là biện pháp phòng thủ tốt nhất chống lại các cuộc tấn công như vậy. Trong trường hợp bị nhiễm, nạn nhân nên tập trung vào việc loại bỏ phần mềm độc hại chuyên nghiệp và dựa vào các bản sao lưu sạch thay vì trả tiền cho tội phạm để có được các giải pháp không chắc chắn.