V (Dharma) Ransomware
Các mối đe dọa mạng ngày càng trở nên tinh vi, khiến người dùng phải thực hiện các biện pháp bảo mật mạnh mẽ để bảo vệ thiết bị của mình. Một chủng ransomware đặc biệt hung hãn, V (Dharma) Ransomware, mã hóa các tệp và yêu cầu thanh toán để giải mã. Hiểu cách thức hoạt động của mối đe dọa này và áp dụng các biện pháp bảo mật mạnh mẽ là điều cần thiết để giữ an toàn.
Mục lục
Cách V (Dharma) Ransomware mã hóa tập tin
V (Dharma) Ransomware thuộc họ Dharma , một nhóm ransomware nổi tiếng chủ yếu nhắm vào các hệ thống Windows. Sau khi xâm nhập vào thiết bị, nó mã hóa các tệp và sửa đổi tên của chúng bằng cách thêm một ID nạn nhân duy nhất, một địa chỉ email do kẻ tấn công kiểm soát và phần mở rộng '.V'. Ví dụ, một tệp có tên '1.png' trở thành '1.png.id-9ECFA84E.[vijurytos@tuta.io].V', trong khi '2.pdf' được đổi tên thành '2.pdf.id-9ECFA84E.[vijurytos@tuta.io].V'.
Sau khi mã hóa hoàn tất, V ransomware sẽ hiển thị một ghi chú đòi tiền chuộc bật lên và tạo một tệp văn bản có tên 'info.txt' trong các thư mục bị ảnh hưởng. Ghi chú đòi tiền chuộc yêu cầu nạn nhân liên hệ với kẻ tấn công qua email, bao gồm ID duy nhất của họ. Nếu không nhận được phản hồi trong vòng 12 giờ, một địa chỉ email phụ sẽ được cung cấp.
Yêu cầu tiền chuộc và chiến thuật
Ghi chú đòi tiền chuộc cảnh báo nạn nhân rằng các tập tin của họ đã bị mã hóa và chỉ có thể được khôi phục bằng cách mua một công cụ giải mã từ những kẻ tấn công. Để thuyết phục nạn nhân rằng việc giải mã là có thể, bọn tội phạm đề nghị giải mã miễn phí tối đa ba tập tin (dưới 3MB)—với điều kiện các tập tin không chứa dữ liệu có giá trị.
Ngoài ra, lưu ý không khuyến khích nạn nhân đổi tên các tệp được mã hóa hoặc cố gắng sử dụng phần mềm giải mã của bên thứ ba, cảnh báo rằng việc làm như vậy có thể dẫn đến mất dữ liệu vĩnh viễn hoặc tăng yêu cầu tiền chuộc. Một liên kết để mua Bitcoin được bao gồm, nhấn mạnh rằng các khoản thanh toán tiền chuộc phải được thực hiện bằng tiền điện tử.
Chiến thuật lén lút và cơ chế kiên trì
V ransomware có nhiều đặc điểm giống với các biến thể Dharma khác, khiến nó cực kỳ hiệu quả trong việc khóa nạn nhân khỏi dữ liệu của họ. Ngoài mã hóa, nó thực hiện một số hành động để tăng cường khả năng kiểm soát hệ thống bị nhiễm:
- Vô hiệu hóa tính năng bảo mật: Phần mềm tống tiền sẽ tắt tường lửa hệ thống để tránh bị phát hiện.
- Xóa bản sao lưu: Xóa bản sao lưu Volume Shadow (tệp sao lưu Windows), khiến việc khôi phục dữ liệu mà không có khóa giải mã trở nên khó khăn.
- Đảm bảo tính bền bỉ: V tự sao chép vào thư mục '%LOCALAPPDATA%' và sửa đổi khóa Run của sổ đăng ký Windows để khởi chạy mỗi khi hệ thống khởi động.
- Nhắm mục tiêu có chọn lọc: Phần mềm tống tiền có thể tránh mã hóa các tệp ở những vị trí cụ thể, điều này có thể đảm bảo hệ thống hoạt động liên tục hoặc tránh bị phát hiện.
Cách thức lây lan của V (Dharma) Ransomware
Kẻ tấn công sử dụng nhiều phương pháp khác nhau để phân phối V ransomware, nhắm vào những người dùng vô tình khiến hệ thống của họ gặp rủi ro về bảo mật. Một số vectơ lây nhiễm phổ biến nhất bao gồm:
- Dịch vụ Giao thức máy tính từ xa (RDP) bị xâm phạm: Kẻ tấn công khai thác thông tin xác thực RDP yếu bằng cách thực hiện các cuộc tấn công kiểu brute force hoặc dictionary để giành quyền truy cập trái phép.
- Tệp đính kèm và liên kết email lừa đảo: Người dùng có thể nhận được email lừa đảo có tệp đính kèm bị nhiễm hoặc liên kết dẫn đến các trang web triển khai phần mềm tống tiền.
- Khai thác lỗ hổng phần mềm: Tội phạm mạng lợi dụng các lỗ hổng bảo mật chưa được vá để cài đặt phần mềm tống tiền vào các hệ thống dễ bị tấn công.
- Phần mềm vi phạm bản quyền và chương trình bị bẻ khóa: Tải xuống phần mềm từ các nguồn không chính thức làm tăng nguy cơ gặp phải các tệp thực thi chứa phần mềm tống tiền.
- Quảng cáo giả mạo và trang web không an toàn: Người dùng có thể bị lừa tải xuống phần mềm tống tiền thông qua quảng cáo lừa đảo hoặc trang web bị xâm phạm.
- Ổ đĩa USB bị nhiễm: Tội phạm mạng đôi khi sử dụng ổ đĩa ngoài bị nhiễm để phát tán phần mềm tống tiền khi cắm vào thiết bị mục tiêu.
Các biện pháp thực hành tốt nhất để tăng cường bảo mật của bạn
Ngăn ngừa nhiễm ransomware đòi hỏi một cách tiếp cận chủ động đối với an ninh mạng. Sau đây là các biện pháp hiệu quả nhất mà người dùng nên thực hiện để bảo vệ thiết bị của mình:
- Sử dụng mật khẩu khó phá và bật xác thực đa yếu tố (MFA) : Bảo vệ RDP và tài khoản trực tuyến bằng mật khẩu phức tạp, duy nhất và bật MFA để ngăn chặn truy cập trái phép.
- Luôn cập nhật phần mềm và hệ điều hành : Thường xuyên cài đặt các bản cập nhật bảo mật để vá các lỗ hổng mà phần mềm tống tiền có thể khai thác.
- Vô hiệu hóa các dịch vụ RDP không sử dụng : Nếu không cần truy cập máy tính từ xa, hãy vô hiệu hóa RDP để loại bỏ hướng tấn công phổ biến.
- Sao lưu dữ liệu thường xuyên : Lưu trữ bản sao lưu trên các thiết bị ngoài hoặc dịch vụ đám mây không được kết nối trực tiếp với hệ thống trung tâm để ngăn chặn phần mềm tống tiền mã hóa chúng.
- Hãy thận trọng khi xem các tệp đính kèm và liên kết trong email : Tránh truy cập các tệp đính kèm trong email lạ hoặc nhấp vào các liên kết đáng ngờ, ngay cả khi chúng có vẻ đến từ các nguồn đáng tin cậy.
- Chỉ tải phần mềm từ nguồn chính thức : Tránh các chương trình vi phạm bản quyền và trình tải xuống của bên thứ ba vì chúng thường chứa mã độc hại.
- Sử dụng phần mềm bảo mật có tính năng bảo vệ chống phần mềm tống tiền : Mặc dù không có công cụ nào đảm bảo bảo vệ hoàn toàn, nhưng các giải pháp bảo mật có tính năng phát hiện phần mềm tống tiền có thể giúp ngăn ngừa lây nhiễm.
- Bật phân đoạn mạng : Nếu sử dụng nhiều thiết bị, hãy cô lập các hệ thống quan trọng khỏi các máy sử dụng chung để hạn chế khả năng lây lan của phần mềm tống tiền trên mạng.
Suy nghĩ cuối cùng
V (Dharma) Ransomware là mối đe dọa gây gián đoạn cao, mã hóa các tệp và yêu cầu nạn nhân thanh toán tiền chuộc. Vì kẻ tấn công cố tình xóa các bản sao lưu và vô hiệu hóa các tính năng bảo mật, nên việc khôi phục dữ liệu được mã hóa mà không có khóa giải mã có thể cực kỳ khó khăn. Biện pháp tốt nhất để tránh trở thành nạn nhân của ransomware là thực hành các thói quen an ninh mạng mạnh mẽ, sao lưu các tệp quan trọng và luôn cảnh giác khi duyệt Web hoặc mở email.
tin nhắn
Các thông báo sau được liên kết với V (Dharma) Ransomware đã được tìm thấy:
|
All your files have been encrypted! Don't worry, you can return all your files! If you want to restore them, write to the mail: vijurytos@tuta.io YOUR ID - If you have not answered by mail within 12 hours, write to us by another mail:vijurytos@cyberfear.com Free decryption as guarantee Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) How to obtain Bitcoins Also you can find other places to buy Bitcoins and beginners guide here: hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/ Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. |
|
all your data has been locked us You want to return? write email vijurytos@tuta.io or vijurytos@cyberfear.com |
