Phần mềm tống tiền Zeo

Việc bảo vệ hệ thống cá nhân và doanh nghiệp khỏi phần mềm độc hại phá hoại là vô cùng quan trọng, vì chỉ một hành vi xâm phạm cũng có thể dẫn đến hậu quả lâu dài. Ransomware vẫn là một trong những mối đe dọa gây gián đoạn nghiêm trọng nhất đang lưu hành, và Zeo Ransomware là một ví dụ điển hình cho thấy mức độ tinh vi của các hoạt động tống tiền hiện đại.

Một biến thể mới với nguồn gốc quen thuộc

Zeo xuất hiện trong quá trình giám sát mối đe dọa thường xuyên và nhanh chóng bị liên kết với họ ransomware Dharma lâu đời. Một khi xâm nhập được vào hệ thống, Zeo sẽ mã hóa dữ liệu và thay đổi tên tệp bằng cách thêm ID cụ thể của nạn nhân, địa chỉ email của kẻ tấn công và phần mở rộng '.zeo'. Một ví dụ điển hình là một tệp đã bị biến đổi như '1.png.id-9ECFA84E.[nudasurg@tuta.io].zeo'.

Sau giai đoạn mã hóa, Zeo gửi hai thông báo đòi tiền chuộc: một cửa sổ bật lên chứa hướng dẫn mở rộng và một tệp văn bản thuần túy có tên 'info.txt'. Cả hai đều nhấn mạnh rằng cách duy nhất để khôi phục quyền truy cập là liên hệ với kẻ tấn công và trả tiền chuộc bằng Bitcoin. Thông báo bật lên cố gắng xây dựng lòng tin bằng cách cung cấp một bài kiểm tra giải mã miễn phí có giới hạn, đồng thời đe dọa sẽ gây ra thiệt hại không thể khắc phục nếu nạn nhân sửa đổi tệp hoặc cố gắng tự khôi phục.

Cách Zeo hoạt động ngầm

Giống như các biến thể Dharma khác, Zeo tập trung vào việc mã hóa dữ liệu được lưu trữ cả cục bộ và trên các vị trí chia sẻ mạng. Tính ổn định của hệ thống được bảo toàn, vì Zeo tránh can thiệp vào các thành phần quan trọng của hệ điều hành. Để ngăn ngừa lỗi trong quá trình mã hóa, nó sẽ dừng các tiến trình được liên kết với các tệp hiện đang mở, chẳng hạn như công cụ cơ sở dữ liệu và trình xem tài liệu.

Phần mềm tống tiền này tích hợp một số biện pháp bảo vệ hành vi. Nó kiểm tra dữ liệu định vị địa lý được thu thập để xác định xem có nên tiếp tục tấn công hay không, đồng thời có khả năng tránh các khu vực có thể không sinh lời hoặc nhạy cảm về mặt chính trị. Nó cũng bao gồm một cơ chế nhằm ngăn chặn mã hóa kép, mặc dù logic loại trừ chưa đầy đủ và không tính đến tất cả các họ ransomware.

Tính bền bỉ đạt được thông qua hai phương pháp chính: sao chép chính nó vào thư mục %LOCALAPPDATA% và đăng ký các mục tự động khởi động dưới các phím Run cụ thể. Zeo cũng xóa các Bản sao Bóng Khối lượng để loại bỏ các tùy chọn khôi phục tích hợp mà người dùng có thể dựa vào.

Các vectơ lây nhiễm và chiến thuật lan truyền

Các mối đe dọa dựa trên Dharma thường xâm nhập hệ thống thông qua các dịch vụ Giao thức Máy tính Từ xa (Remote Desktop Protocol) bị lộ hoặc bảo mật kém. Kẻ tấn công dựa vào các cuộc tấn công dò mật khẩu và từ điển để chiếm quyền truy cập, và hệ thống bị xâm nhập có thể bị suy yếu hoặc vô hiệu hóa tường lửa ngay sau khi xâm nhập.

Các kênh phát tán khác vẫn còn phổ biến. Kẻ tấn công thường sử dụng email lừa đảo, tệp đính kèm độc hại, tệp tải xuống bị xâm phạm, bản cập nhật gian lận, bản crack và nội dung vi phạm bản quyền. Các phần mềm độc hại xuất hiện dưới nhiều định dạng, bao gồm tệp lưu trữ, tệp thực thi, tài liệu, tệp JavaScript, v.v. Trong một số trường hợp, phần mềm độc hại lây lan sang các thiết bị khác trên cùng mạng hoặc thông qua bộ nhớ di động.

Tại sao trả tiền chuộc không phải là giải pháp an toàn

Nạn nhân hiếm khi có đủ phương tiện kỹ thuật để giải mã các tệp bị ảnh hưởng bởi ransomware hiện đại. Trừ khi phần mềm độc hại chứa lỗ hổng nghiêm trọng, chỉ những kẻ tấn công mới sở hữu khóa cần thiết. Tuy nhiên, việc trả tiền chuộc không đảm bảo rằng kẻ tấn công sẽ cung cấp một bộ giải mã hoạt động, và nạn nhân thường mất cả tiền lẫn dữ liệu. Việc tài trợ cho các hoạt động như vậy cũng duy trì các hoạt động tội phạm tiếp theo.

Việc loại bỏ ransomware là cần thiết để ngăn chặn thiệt hại thêm, nhưng việc loại bỏ Zeo không khôi phục các tệp đã mã hóa. Việc khôi phục chỉ có thể thực hiện thông qua các bản sao lưu sạch được lưu trữ ở các vị trí riêng biệt, chẳng hạn như thiết bị ngoại tuyến hoặc máy chủ từ xa an toàn.

Tăng cường bảo mật thiết bị

Phương pháp tiếp cận theo từng lớp giúp giảm đáng kể nguy cơ bị tấn công bởi ransomware. Các biện pháp sau đây giúp tăng cường khả năng phục hồi lâu dài:

Các biện pháp phòng ngừa cốt lõi

Duy trì kiểm soát chặt chẽ quyền truy cập Giao thức máy tính từ xa bằng cách sử dụng thông tin xác thực mạnh và duy nhất, vô hiệu hóa quyền truy cập bên ngoài khi không cần thiết và thực thi xác thực giới hạn tốc độ hoặc xác thực đa yếu tố.

Áp dụng các bản cập nhật bảo mật kịp thời trên toàn bộ hệ điều hành, phần mềm đã cài đặt và các thành phần mạng.

Các khuyến nghị thực hành tốt nhất bổ sung

Lưu trữ các bản sao lưu đáng tin cậy, có phiên bản ở nhiều vị trí riêng biệt, bao gồm cả bộ lưu trữ ngoại tuyến hoặc không thể thay đổi.

• Sử dụng các công cụ bảo mật uy tín để theo dõi hoạt động đáng ngờ và chặn phần mềm độc hại trước khi thực thi.
• Hãy thận trọng khi tiếp cận các email, tệp đính kèm và ưu đãi tải xuống không mong muốn, đặc biệt là những email mạo danh tổ chức hợp pháp hoặc cung cấp phần mềm miễn phí.
• Tránh phần mềm lậu, cổng tải xuống không đáng tin cậy và quảng cáo đáng ngờ trên trình duyệt.
• Hạn chế quyền quản trị bất cứ khi nào có thể và đảm bảo rằng các tác vụ hàng ngày được thực hiện bằng tài khoản không phải quản trị viên.

Bằng cách kết hợp quy trình vệ sinh hệ thống chặt chẽ với các biện pháp kiểm soát truy cập mạnh mẽ và sao lưu được duy trì tốt, người dùng sẽ giảm đáng kể nguy cơ gặp phải các mối đe dọa như Zeo Ransomware và có thể chuẩn bị tốt hơn để phục hồi nhanh chóng nếu xảy ra tấn công.