Chúng ta

Xuất hiện phần mềm tống tiền mới mang tên Annabelle

Thứ hai, 26/2/2018 | 10:15 GMT+7

Khi người dùng công nghệ chưa nguôi nỗi ám ảnh về hai lỗ hổng bảo mật Spectre và Meltdown thì một ransomeware (phần mềm tống tiền) nguy hiểm mang tên Annabelle vừa xuất hiện.

Ransomeware này được phát hiện và cảnh báo bởi một chuyên viên nghiên cứu bảo mật tên là Bart. Phương thức tấn công của ransomware Annabelle khá phức tạp. Nó sẽ bắt đầu hoạt động ngay khi hệ điều hành khởi động và sử dụng một bootloader để viết đè lên Master Boot Record (khu vực lưu trữ thông tin về phân vùng ổ đĩa) của thiết bị nạn nhân.

Con virus mới có tên

Sau khi thiết bị được khởi động, Annabelle Ransomware sẽ thực hiện các tác vụ sau để tự tích hợp và phát tán vào hệ thống máy tính của nạn nhân: Vô hiệu hóa các chương trình bảo mật; Vô hiệu hóa tính năng Windows Defender; Tắt tính năng Firewall Protection; Mã hóa dữ liệu người dùng; Lây nhiễm qua các cổng USB và Khởi động nhiều chương trình khác nhau.

Annabelle Ransomware sẽ hoạt động ngay khi nạn nhân khởi động hệ điều hành trên thiết bị

Annabelle Ransomware sẽ hoạt động ngay khi nạn nhân khởi động hệ điều hành trên thiết bị

Đội ngũ MalwareHunter đã nhanh chóng trích xuất đoạn mã nguồn của Annabelle Ransomware và phát hiện ra loại phần mềm độc hại này sẽ tự động hoạt động ngay khi người dùng vừa đăng nhập vào máy tính. Sau đó, nó sẽ ngăn cản rất nhiều chương trình như Process Hackers, Process Explorer, MSConfig, Task Manager, Chrome can thiệp vào quá trình mã hóa dữ liệu của ransomeware.

Ransomware Annabelle còn có thể phát tán thông qua các file Autorun.inf

Ransomware Annabelle còn có thể phát tán thông qua các file Autorun.inf

Bên cạnh đó, ransomware Annabelle còn có khả năng chỉnh sửa các file khác nhau cũng như vô hiệu một số chương trình như Notepad, Notepad++, Internet Explorer, Chrome, bcdedit…

Ngoài ra, ransomware này còn có thể phát tán thông qua các file Autorun.inf, nhưng hiệu quả mang lại không cao bởi phiên bản cập nhật mới nhất của Windows 10 không hỗ trợ loại file này. Tuy nhiên, điều này cũng không đảm bảo an toàn tuyệt đối cho hệ điều hành Windows 10 của người dùng.

Dữ liệu của người dùng sau khi bị Annabelle Ransomware mã hóa

Dữ liệu của người dùng sau khi bị Annabelle Ransomware mã hóa

Sau khi mã hóa dữ liệu thành công, loại ransomware này sẽ yêu cầu nạn nhân trả 0.1 Bitcoin cho hacker trước khi thời gian kết thúc. Ngoài ra, người dùng phải tiến hành thanh toán qua darknet - mạng của các trang web không thể truy cập từ công cụ tìm kiếm (công cụ truy vấn dữ liệu) thông thường.

Theo FPT TechInsight

Ý kiến

()