Locky ransomware là một chương trình phần mềm độc hại nổi tiếng vì tác động tàn phá của nó đối với các hệ thống và mạng máy tính trên toàn thế giới. Loại ransomware này được thiết kế để mã hóa các tệp của nạn nhân và yêu cầu thanh toán tiền chuộc, thường bằng tiền điện tử như Bitcoin, để đổi lấy khóa giải mã để lấy lại quyền truy cập vào dữ liệu. Xuất hiện lần đầu tiên vào đầu năm 2016, Locky nhanh chóng trở thành một trong những mối đe dọa ransomware phổ biến và nguy hiểm nhất cho đến nay.
Lịch sử nguồn gốc của ransomware Locky và những lần đầu đề cập đến nó
Locky được phát hiện lần đầu tiên trong tự nhiên vào tháng 2 năm 2016. Nó lây lan chủ yếu thông qua các tệp đính kèm email độc hại được ngụy trang dưới dạng tài liệu trông vô hại, chẳng hạn như tệp Word hoặc PDF. Khi người dùng không nghi ngờ mở tệp đính kèm, phần mềm độc hại sẽ xâm nhập vào hệ thống và bắt đầu mã hóa các tệp, khiến chúng không thể truy cập được. Sau đó, nạn nhân được đưa cho các ghi chú đòi tiền chuộc, trong đó có hướng dẫn về cách trả tiền chuộc và lấy lại quyền truy cập vào tập tin của họ.
Thông tin chi tiết về Locky ransomware. Mở rộng chủ đề Locky ransomware
Locky là một phần mềm độc hại phức tạp, tận dụng các thuật toán mã hóa mạnh để khóa nạn nhân khỏi các tập tin của họ một cách hiệu quả. Quá trình mã hóa mà Locky sử dụng là không đối xứng, trong đó một khóa chung duy nhất được sử dụng để mã hóa các tệp và chỉ khóa riêng tương ứng do kẻ tấn công nắm giữ mới có thể giải mã chúng. Điều này khiến nạn nhân gần như không thể khôi phục dữ liệu nếu không có khóa giải mã.
Yêu cầu tiền chuộc của Locky thay đổi theo thời gian, với số tiền từ hàng trăm đến hàng nghìn đô la. Ngoài ra, thông báo đòi tiền chuộc thường bao gồm thời hạn để gây áp lực buộc nạn nhân phải nhanh chóng trả tiền, đe dọa tăng số tiền chuộc hoặc xóa vĩnh viễn khóa giải mã nếu không kịp thời hạn.
Cấu trúc bên trong của ransomware Locky. Cách thức hoạt động của ransomware Locky
Locky ransomware hoạt động theo nhiều giai đoạn. Khi mở tệp đính kèm bị nhiễm, nó sẽ triển khai macro hoặc tập lệnh để tải xuống tải trọng Locky từ máy chủ từ xa. Sau khi tải xuống và thực thi tải trọng, Locky bắt đầu mã hóa các tệp trên hệ thống cục bộ và chia sẻ mạng bằng thuật toán mã hóa RSA-2048 và AES. Các tệp được mã hóa sẽ nhận được các phần mở rộng như “.locky,” “.zepto” hoặc “.odin.”
Trong quá trình mã hóa, Locky tạo các mã định danh duy nhất cho mỗi máy bị nhiễm, gây khó khăn cho việc theo dõi và theo dõi sự lây lan của phần mềm độc hại. Sau khi quá trình mã hóa hoàn tất, thông báo đòi tiền chuộc sẽ được tạo và lưu trên hệ thống, hướng dẫn nạn nhân cách trả tiền chuộc.
Phân tích các tính năng chính của Locky ransomware
Locky nổi bật nhờ một số tính năng chính đã góp phần tạo nên tác động rộng rãi của nó:
-
Giao hàng dựa trên email: Locky chủ yếu lây lan qua các email spam độc hại có chứa các tệp đính kèm hoặc liên kết bị nhiễm để tải xuống phần mềm độc hại.
-
Mã hóa mạnh: Phần mềm độc hại sử dụng các thuật toán mã hóa mạnh mẽ như RSA-2048 và AES, khiến việc giải mã các tệp mà không có khóa tiền chuộc trở nên khó khăn.
-
Sự tiến hóa và các biến thể: Locky đã chứng kiến nhiều lần lặp lại và biến thể, thích ứng với các biện pháp bảo mật và phát triển để tránh bị phát hiện.
-
Thanh toán tiền chuộc bằng tiền điện tử: Để duy trì tính ẩn danh, những kẻ tấn công yêu cầu thanh toán tiền chuộc bằng tiền điện tử như Bitcoin, khiến việc theo dõi dòng tiền trở nên khó khăn hơn.
Các loại ransomware Locky
Locky đã có một số biến thể trong suốt thời gian tồn tại của nó. Dưới đây là danh sách một số biến thể Locky đáng chú ý cùng với các tính năng phân biệt của chúng:
| Tên biến thể | Sự mở rộng | Các tính năng chính |
|---|---|---|
| khóa | .locky | Biến thể ban đầu đã bắt đầu làn sóng ransomware |
| Zepto | .zepto | Phiên bản cải tiến với những thay đổi nhỏ |
| Odin | .odin | Tập trung vào việc nhắm mục tiêu và mã hóa chia sẻ mạng |
| Thần sấm | .Thần sấm | Đã sử dụng một định dạng ghi chú tiền chuộc khác |
Với tư cách là một cá nhân hoặc tổ chức, việc sử dụng ransomware Locky cho bất kỳ mục đích nào là cực kỳ bất hợp pháp và phi đạo đức. Tham gia vào các hoạt động ransomware có thể dẫn đến hậu quả pháp lý nghiêm trọng, tổn thất tài chính đáng kể và tổn hại đến danh tiếng của một người hoặc công ty.
Cách hiệu quả nhất để bảo vệ khỏi phần mềm tống tiền Locky và các mối đe dọa tương tự khác là triển khai các biện pháp an ninh mạng mạnh mẽ. Những biện pháp này bao gồm:
-
Sao lưu thường xuyên: Duy trì sao lưu thường xuyên các dữ liệu quan trọng và lưu trữ ngoại tuyến để đảm bảo phục hồi dữ liệu trong trường hợp bị tấn công.
-
Bảo mật email: Triển khai tính năng lọc email nâng cao và đào tạo người dùng cách nhận biết cũng như tránh các tệp đính kèm hoặc liên kết email đáng ngờ.
-
Bảo vệ chống vi-rút và điểm cuối: Triển khai phần mềm chống vi-rút đáng tin cậy và các công cụ bảo vệ điểm cuối để phát hiện và ngăn ngừa lây nhiễm ransomware.
-
Nâng cấp phần mềm: Luôn cập nhật tất cả phần mềm và hệ điều hành để vá các lỗ hổng mà ransomware có thể khai thác.
Các đặc điểm chính và so sánh khác với các thuật ngữ tương tự dưới dạng bảng và danh sách
Dưới đây là bảng so sánh nêu bật những điểm khác biệt chính giữa phần mềm tống tiền Locky và các chủng phần mềm tống tiền nổi tiếng khác:
| Phần mềm tống tiền | Phân bổ | Thuật toán mã hóa | Tính năng nổi bật |
|---|---|---|---|
| khóa | Tệp đính kèm email | RSA-2048, AES | Phân phối hàng loạt qua email spam |
| Muốn khóc | Khai thác | RSA-2048, AES | Hành vi giống như sâu, chăm sóc sức khỏe có mục tiêu |
| CryptoLocker | Tải xuống theo từng ổ đĩa | RSA-2048, AES | Phần mềm ransomware phổ biến rộng rãi đầu tiên vào năm 2013 |
| Petya/NotPetya | Email, khai thác | Mã hóa MBR | Cuộc tấn công dựa trên MBR, nhằm vào Ukraine năm 2017 |
Khi công nghệ phát triển, chiến thuật của tội phạm mạng cũng phát triển theo. Ransomware như Locky có khả năng sẽ tiếp tục thích nghi và tìm ra các phương thức lây nhiễm mới. Một số xu hướng trong tương lai liên quan đến ransomware có thể bao gồm:
-
Phần mềm tống tiền tăng cường AI: Tội phạm mạng có thể tận dụng AI và học máy để khiến các cuộc tấn công bằng ransomware trở nên tinh vi hơn và khó phát hiện hơn.
-
Tấn công có mục tiêu: Những kẻ tấn công ransomware có thể tập trung vào các ngành hoặc tổ chức cụ thể để yêu cầu số tiền chuộc lớn hơn dựa trên khả năng chi trả của nạn nhân.
-
Khai thác zero-day: Những kẻ tấn công có thể khai thác các lỗ hổng chưa được biết trước đây để phát tán ransomware và trốn tránh các biện pháp bảo mật truyền thống.
Cách máy chủ proxy có thể được sử dụng hoặc liên kết với Locky ransomware
Máy chủ proxy có thể vừa là công cụ phân phối ransomware vừa là biện pháp bảo vệ chống lại nó. Tội phạm mạng có thể sử dụng máy chủ proxy để ẩn danh tính của chúng khi gửi Locky thông qua email spam hoặc tải xuống theo từng ổ đĩa. Mặt khác, máy chủ proxy được sử dụng như một phần của cơ sở hạ tầng bảo mật của tổ chức có thể tăng cường khả năng bảo vệ chống lại phần mềm tống tiền bằng cách lọc lưu lượng truy cập độc hại và phát hiện các mẫu đáng ngờ.
Liên kết liên quan
Để biết thêm thông tin về Locky ransomware và phòng chống ransomware, vui lòng tham khảo các tài nguyên sau:
- Phòng chống và ứng phó phần mềm tống tiền US-CERT
- Trung tâm tài nguyên ransomware Kaspersky Lab
- Mô tả về phần mềm tống tiền Symantec Locky
Hãy nhớ rằng, việc cập nhật thông tin và triển khai các biện pháp an ninh mạng mạnh mẽ là điều cần thiết để bảo vệ khỏi các mối đe dọa ngày càng gia tăng như phần mềm tống tiền Locky.
