Rakhni Trojan: Để mã hóa và khai thác

1026
09-07-2018
Rakhni Trojan: Để mã hóa và khai thác

TheoBizfly Cloud tìm hiểu - Gần đây, chúng tôi đã đăng bài viết về việc ransomware đang tạo ra các cách để các thợ đào tiền ảo có thể dẫn đầu trong bảng xếp hạng mối đe dọa trực tuyến hiện nay. Phù hợp với xu hướng này, Ransomware Trojan, mà chúng tôi đã theo dõi từ năm 2013, đã bổ sung thêm một mô-đun khai thác tiền điện tử vào kho vũ khí của nó. 

Điều thú vị là trình tải phần mềm độc hại có thể chọn thành phần cần cài đặt tùy thuộc vào thiết bị. Các nhà nghiên cứu của chúng tôi đã tìm ra cách thức hoạt động của phần mềm độc hại cập nhật và nơi mà mối nguy hiểm ẩn chứa.

Rakhni Trojan: Để mã hóa và khai thác  - Ảnh 1.

Rakhni Trojan được phát hiện ở Nga, Kazakhstan, Ukraina, Đức và Ấn Độ. Phần mềm độc hại này được phân phối chủ yếu thông qua thư spam kèm với tệp đính kèm độc hại. Ví dụ về một mẫu thư mà các chuyên gia của chúng tôi đã nghiên cứu, mẫu này đã được cải trang dưới dạng tài liệu tài chính. Điều này cho thấy rằng các tội phạm mạng đứng phía sau chủ yếu quan tâm đến nhóm "khách hàng" của công ty.

Tệp đính kèm DOCX trong email spam chứa một tài liệu PDF. Nếu người dùng cho phép chỉnh sửa và cố gắng mở tệp PDF, thì hệ thống sẽ yêu cầu quyền chạy một tệp thực thi được từ một nhà xuất bản nào đó không xác định. Với sự cho phép của người dùng, Rakhni tiến hành hoạt động của nó.

Có thể bạn quan tâm: Trojan là gì? - Những điều cần biết để phòng tránh

Giống như một tên trộm trong đêm

Khi bắt đầu, tệp PDF độc hại xuất hiện dưới dạng một trình xem tài liệu thông thường. Đầu tiên, phần mềm độc hại sẽ cho nạn nhân thấy thông báo lỗi, giải thích lý do tại sao lại không mở được tệp. Tiếp đến, nó vô hiệu hóa Windows Defender và cài đặt các chứng chỉ kỹ thuật số giả mạo. Và khi không có gì cản trở thì nó sẽ quyết định phải làm gì với thiết bị bị nhiễm - đó là mã hóa các tập tin và đòi tiền chuộc hoặc cài đặt một thợ đào tiền ảo vào trong thiết bị đó.

Cuối cùng, chương trình độc hại sẽ cố gắng lây lan sang các máy tính khác bên trong mạng cục bộ. Nếu nhân viên công ty đã chia sẻ quyền truy cập vào thư mục Người dùng trên thiết bị của họ, bản thân phần mềm độc hại sẽ tự sao chép chúng.

Khai thác hay mã hóa?

Tiêu chí lựa chọn của phần mềm độc hại rất đơn giản: Nếu phần mềm độc hại tìm thấy thư mục dịch vụ được gọi là Bitcoin trên máy tính của nạn nhân, nó sẽ chạy một phần mềm ransomware mã hóa tệp (bao gồm tài liệu Office, PDF, hình ảnh và sao lưu) và yêu cầu thanh toán tiền chuộc trong vòng ba ngày. Thông tin chi tiết về tiền chuộc, số lượng bao nhiêu, tội phạm mạng hứa hẹn sẽ gửi qua e-mail.

Nếu không có các thư mục liên quan đến Bitcoin trên thiết bị và phần mềm độc hại tin rằng nó có đủ khả năng để xử lý việc khai thác tiền điện tử, nó sẽ download một thợ đào tiền ảo lén lút tạo ra các đồng Monero, Monero Original hoặc Dashcoin trong nền.

Đừng để mình là nạn nhân

Để tránh bị nhiễm Rakhni và làm thiệt hại đến công ty của bạn, hãy cảnh giác với các tin nhắn gửi đến, đặc biệt là những tin nhắn nhận được từ các địa chỉ email không quen biết. Nếu bạn có bất kỳ nghi ngờ nào về việc có nên mở tệp đính kèm hay không, thì tuyệt đối đừng mở. Thêm nữa, hãy chú ý đến các cảnh báo hệ điều hành: Không chạy các ứng dụng từ các nhà xuất bản không biết, đặc biệt với những nhà xuất bản có các tên nghe có vẻ giống với các chương trình phổ biến.

Trong cuộc chiến chống lại các thợ đào tiền ảo trong mạng công ty, tốt nhất bạn nên thực hiện các biện pháp sau:

- Huấn luyện nhân viên an toàn thông tin của bạn và thường xuyên kiểm tra nghiệp vụ của họ. Nếu bạn cần trợ giúp, các chuyên gia của chúng tôi có thể sắp xếp điều này cho bạn.

- Tạo ra bản sao lưu của các dữ liệu nhạy cảm trên một phương tiện lưu trữ riêng biệt.

- Sử dụng các giải pháp bảo mật đáng tin cậy với các phân tích hành vi - ví dụ, Kaspersky Endpoint Security for Business.

- Thường xuyên thăm dò giám sát mạng công ty của bạn để tìm kiếm những điểm bất thường.

Ngay cả khi bạn không sử dụng các giải pháp công ty của Kaspersky Lab, thì hẳn là chúng ta đều không muốn để những dữ liệu của mình rơi vào tay các nhân tố ransomware. 

Do đó, chúng tôi đã có một giải pháp chuyên dụng - Công cụ Anti-Ransomware của Kaspersky - có thể tăng thêm các sản phẩm bảo mật của hầu hết các nhà cung cấp bên thứ ba. Công cụ này sử dụng các công nghệ phát hiện các hành vi gần nhất và các cơ chế điện toán đám mây của chúng tôi để tìm kiếm ransomware.

Viakaspersky.com

BizFly Cloud là nhà cung cấp dịch vụ điện toán đám mây với chi phí thấp, được vận hành bởi VCCorp.

BizFly Cloud là một trong 4 doanh nghiệp nòng cốt trong "Chiến dịch thúc đẩy chuyển đổi số bằng công nghệ điện toán đám mây Việt Nam" của Bộ TT&TT; đáp ứng đầy đủ toàn bộ tiêu chí, chỉ tiêu kỹ thuật của nền tảng điện toán đám mây phục vụ Chính phủ điện tử/chính quyền điện tử.

Độc giả quan tâm đến các giải pháp của BizFly Cloud có thể truy cập tại đây.

DÙNG THỬ MIỄN PHÍ và NHẬN ƯU ĐÃI 3 THÁNG tại: Manage.bizflycloud

TAGS: Trojan
SHARE