Nhóm MalwareHunterTeam vừa phát hiện ra một loại ransomware được cho là biến thể mới của ransomware WannaCry có tên gọi là Black Ruby, tấn công vào máy tính của người dùng, cài đặt phần mềm và mã hóa thiết bị để “đào” tiền ảo.
Theo một báo cáo khác, Ransomware Black Ruby chỉ mã hóa các máy tính không thuộc vùng lãnh thổ Iran. Tiền chuộc mà nạn nhân phải trả sẽ được truy vấn ngược lại về địa chỉ http://freegoip.net/json/ và kiểm tra kết quả xem có chứa đoạn mã “country_code”:”IR” hay không. Nếu trang web cho kết quả người dùng đến từ lãnh thổ Iran, quá trình cài đặt phần mềm độc hại sẽ tự động chấm dứt và thiết bị không bị tấn công.
Bên cạnh đó, Ransomware Black Ruby sẽ cài đặt ứng dụng đào tiền ảo “Monero Miner” trên máy tính trước khi mã hóa dữ liệu của thiết bị. Công cụ đào tiền ảo được cài đặt sẽ giúp kẻ tấn công vẫn có thể nhận được tiền từ hệ thống ngay cả khi nạn nhân không trả tiền chuộc.
Trend Micro đã phát hiện Ransomware Black Ruby dưới định dạng RANSOM_BLACKRUBY.THBGBI. Noel Anthony Llimos, Kỹ sư ứng phó sự cố của Trend Micro cho biết rằng Ransomware Black Ruby là biến thể đầu tiên kết hợp giữa khả năng cài phần mềm đào tiền ảo và tống tiền. Việc kết hợp này khá bất ngờ vì thường mục đích duy nhất của ransomware là mã hóa các tập tin, buộc nạn nhân phải trả tiền cho kẻ tấn công.
Ransomware Black Ruby tập trung chủ yếu vào việc khai thác mỏ tiền ảo, sử dụng tối đa hiệu suất của CPU và làm nóng máy tính cũng như tiêu tốn rất nhiều bộ nhớ thiết bị để giải mã “Monero Coin”.
Llimos cho biết thêm rằng Ransomware Black Ruby sử dụng RSA + AES Hybrid Encryption, điều đó khiến các file mã hóa hầu như không thể giải mã được thông qua các biện pháp cứng rắn trực tiếp. Bên cạnh đó, nó sẽ tự động tạo một “Registry” như là ứng dụng bảo mật Windows Defender của hệ thống. Nó cũng vô hiệu hóa chức năng khôi phục hệ thống, xóa toàn bộ những bản lưu nháp dữ liệu khôi phục, làm tê liệt Windows Error Recovery và Windows Log Messases.
Ransomware Black Ruby được đưa vào hệ thống như là một tệp tin bị mất do phần mềm độc hại khác yêu cầu hoặc do người dùng vô tình tải xuống khi truy cập vào trang web độc hại. Trend Micro khuyên người dùng nên thực hiện các phương pháp sau để giảm thiểu rủi ro trước các loại ransomware.
Trend Micro khuyên rằng, đầu tiên, người dùng nên thường xuyên sao lưu các tập tin cần thiết. Tin tặc lợi dụng sự sợ hãi khi bị mất quyền truy cập vào dữ liệu quan trọng và việc gián đoạn hoạt động kinh doanh của người dùng để tống tiền.
Thực hiện quy tắc 3-2-1 bằng cách tạo ba bản sao lưu ở hai định dạng khác nhau với một ngoại vi được lưu trữ. Thường xuyên cập nhật các chương trình và hệ điều hành. Rất nhiều phần mềm độc hại mã hóa tập tin lợi dụng lỗ hổng bảo mật để có thể xâm nhập vào hệ thống.
Vá lỗi và cập nhật đều đặn sẽ giúp giữ hệ điều hành cũng như các ứng dụng ngăn chặn hiệu quả các cuộc tấn công bằng cách khai thác lỗ hổng bảo mật.
Cuối cùng là liên tục cập nhật các thông tin và kiến thức về bảo mật thông tin, phần mềm độc hại và an ninh mạng để biết cách phòng ngừa và ứng phó trước các mối đe dọa.
