Mã độc tống tiền Locky hoạt động offline không cần máy chủ điều khiển

Mã độc tống tiền Locky hiện tại đã có thể mã hóa dữ liệu người dùng trong chế độ offline khi kết nối đến máy chủ điều khiển (C&C) thất bại.

Biến thể mã độc tống tiền Locky mới có thể mã hóa dữ liệu của người dùng mà không cần máy chủ điều khiển từ xa. Điều này khiến Locky trở nên khó bị ngăn chặn hơn. Trước đó, một quản trị viên hệ thống có thể chặn toàn bộ kết nối đến máy chủ điều khiển và khiến Locky không thể mã hóa dữ liệu trên hệ thống.

Khi một biến thể Locky hoạt động, bộ tính giờ sẽ được bật. Locky được điều khiển thông qua một loạt các tiến trình kết nối. Tất cả tiến trình sẽ cố gắng kết nối đến máy chủ điều khiển trong cấu hình, sau đó là máy chủ điều khiển từ thuật toán sinh tên miền (DGA) (12 tên miền mỗi ngày). Nếu thất bại, Locky sẽ thử kết nối lại đến tất cả máy chủ một lần nữa rồi chuyển sang chế độ mã hóa offline.

Từ quá trình lây nhiễm ban đầu chuyển sang chế độ mã hóa offline diễn ra chỉ trong vòng 1 đến 2 phút. Locky có hai chế độ sinh mã định danh (ID) cho nạn nhân online và offline. Trong chế độ offfline, Locky không thể trực ghi ID nạn nhân bằng máy chủ và lấy về khóa công khai như thông thường. Trong trường hợp này, nó sử dụng một khóa công khai trong cấu hình và tạo ra một ID riêng biệt cho trang thanh toán.

Khóa công khai cho biển thế Locky mới được dùng chung cho tất cả các nạn nhân ở chế độ offline khi bị lây nhiễm cùng mẫu mã độc. Khóa công khai này có một mã ID giúp máy chủ có thể phận biệt các cấu hình Locky khác nhau. ID riêng của nạn nhân được tạo ra từ:

• Mã 6 số hệ cơ số 16 từ ID thông thường dựa trên mã định danh toàn cầu (GUID) từ một phân vùng ổ đĩa cứng.
• Ngôn ngữ mặc định của người dùng.
• Phiên bản và kiểu hệ điều hành (server/non-server)
• Kiểm tra nạn nhân có thuộc miền kiểm soát không (nếu có, nạn nhân có thể thuộc một tổ chức, do đó số tiền chuộc sẽ tăng lên).
• Mã ID từ cấu hình (thường xác định “kênh” mã độc phát tán)
• Mã ID của khóa công khai từ cấu hình.

Khác biệt giữa nạn nhân online và offline

Locky sử dụng một mã hóa khác dành cho ID của nạn nhân thông qua 32 kí tự  “YBNDRFG8EJKMCPQX0T1UWISZA345H769”. Dựa vào đó, máy chủ Locky có thể lấy được đúng khóa công khai và trả về đúng khóa riêng tư cho mỗi nạn nhân.

Các biện pháp ngăn chặn

Locky là một loại mã độc tống tiền điển hình. Tuy nhiên nó lại khiến các nhà nghiên cứu bảo mật chú ý bởi sự linh hoạt và phát tán rộng rãi. Để bảo vệ bản thân khỏi loại mã độc tống tiền Locky, thực hiện các biện pháp sau:

• Không mở các tệp tin đính kèm trong email được gửi từ nguồn không rõ ràng.
• Sao lưu dữ liệu định kì và lưu trữ bản sao sao lưu trên một thiết bị lưu trữ tách khác rời hoặc lưu trữ trên cloud.
• Thường xuyên cập nhật phần mềm diệt virus, hệ điều hành và các phần mềm cài đặt trên máy tính.
• Tạo một thư mục mạng riêng biệt với mỗi người dùng khi quản lý truy cập đến thư mục mạng được chia sẻ..

avira