Phần mềm độc hại NamPoHyu Virus nhắm vào các Samba server từ xa

An Nhiên, Phạm Thu Trang| 20/04/2019 10:52
Theo dõi ICTVietnam trên

Một họ ransomware (mã độc) mới có tên là NamPoHyu Virus hoặc MegaLocker Virus đang nhắm mục tiêu vào các nạn nhân có điểm khác biệt so với các ransomware khác. Thay vì thực thi chạy trên máy tính của nạn nhân, kẻ tấn công đang chạy phần mềm ransomware cục bộ và để nó mã hóa từ xa các Samba server có thể truy cập (Samba server là dịch vụ chia sẻ file giữa các máy tính Linux và Windows).

NamPoHyu Virus

Ransomware thường được cài đặt trên máy tính sẽ được mã hóa, cho dù đó là thông qua phần mềm độc hại khác, tệp đính kèm email độc hại hoặc bởi những kẻ tấn công máy tính hoặc mạng.

Phần mềm ransomware mới này đang thực hiện mọi thứ một cách khác biệt, bằng cách tìm kiếm các Samba server có thể truy cập, ép buộc mật khẩu và sau đó mã hóa từ xa các tệp của chúng và tạo các ghi chú tiền chuộc.

Thật không may, có rất nhiều mục tiêu, vì Shodan cho thấy gần 500.000 Samba server có thể truy cập.

Shodan Samba Results

Tin tốt là một phương pháp để giải mã các tập tin được mã hóa bởi ransomware này có thể đã được phát hiện.

Virus MegaLocker được phát hiện lần đầu tiên vào tháng 3 năm 2019

Báo cáo về ransomware này lần đầu tiên được ra mắt vào tháng 3 năm 2019, nơi người dùng tuyên bố rằng các thiết bị lưu trữ NAS (Network Attached Storage - ổ cứng mạng) của họ đột nhiên được mã hóa bởi một ransomware có tên là MegaLocker Virus.

Phần mềm ransomware này sẽ nối phần mở rộng “.crypted” vào các tệp được mã hóa và tạo ghi chú tiền chuộc có tên! DECRYPT_INXD.TXT.

Ghi chú tiền chuộc này có hướng dẫn liên hệ với alexshkipper@mail.ru và gửi ảnh của nạn nhân vào ngày sinh nhật, ngày lễ, sở thích hoặc một số sự kiện cá nhân khác. Nếu bạn là cá nhân, số tiền chuộc sẽ là 250 đô, nếu không, tiền chuộc sẽ là 1.000 đô la cho các doanh nghiệp.

MegaLocker Ransom Note

Các thông tin tiên chuộc của virus MegaLocker 

Mặc dù trong một báo cáo cho biết, người dùng cảm thấy rằng họ đã bị lây nhiễm qua FTP (thường được dùng để trao đổi tập tin qua mạng truyền thông dùng giao thức TCP/IP), vì hầu hết các nạn nhân tại thời điểm này là các thiết bị NAS, nhiều người đang nghiêng về giả thiết mã hóa được thực hiện thông qua Samba.

Virus NamPoHyu thay đổi vào tháng Tư

Đầu tháng 4 năm 2019, người dùng đã bắt đầu báo cáo trên BleepingComputer rằng phần mềm ransomware đã đổi tên thành Virus NamPoHyu và bắt đầu nối thêm phần mở rộng “.NamPoHyu” vào các tệp được mã hóa.

Tweet from MalwareHunterTeam

Tweet từ MalwareHunterTeam

Mặc dù tên tệp tiền chuộc vẫn giữ nguyên, các hướng dẫn hiện bao gồm một liên kết đến trang web thanh toán Tor.

Khi đến trang Tor, nạn nhân được yêu cầu gửi email cho alexshkipper@firemail.cc với ID được liệt kê trong ghi chú tiền chuộc để được hướng dẫn thanh toán.

NamPoHyu Virus Ransom Note

Các thông tin tiền chuộc của vius NamPoHyu

Số tiền chuộc dường như vẫn giữ nguyên, với 250 đô la cho nạn nhân cá nhân và 1.000 đô la bitcoin cho các doanh nghiệp.

Tor Payment Page Instructions

Hướng dẫn trang thanh toán Tor

Cách tự bảo vệ khỏi Ransomware

Để tự bảo vệ khỏi ransomware, điều quan trọng là bạn phải sử dụng các thói quen và phần mềm bảo mật tốt. Bước quan trọng nhất là luôn có một bản sao lưu đáng tin cậy và đã được kiểm tra liệu dữ liệu của bạn có thể được khôi phục trong trường hợp khẩn cấp, chẳng hạn như một cuộc tấn công ransomware.

Bạn cũng nên đảm bảo rằng bạn không có bất kỳ máy tính nào chạy các dịch vụ máy tính để bàn từ xa được kết nối trực tiếp với Internet. Thay vào đó, sử dụng các máy tính chạy dịch vụ máy tính từ xa sử dụng VPN (mạng riêng ảo) để chúng chỉ có thể truy cập được bởi những người có tài khoản VPN trên mạng của bạn.

Với MegaLocker và NamPoHyu, giờ đây người dùng cũng biết rằng họ cần đảm bảo các dịch vụ như FTP hoặc Samba được bảo vệ bằng mật khẩu mạnh và tốt nhất là không bị phơi nhiễm với Internet.

Một giải pháp phần mềm bảo mật tốt kết hợp phát hiện hành vi để chống lại ransomware, chứ không chỉ sử dụng phát hiện chữ ký hoặc chẩn đoán. Ví dụ, Emsisoft Anti-Malware và Malwarebytes Anti-Malware đều chứa trình phát hiện hành vi có thể ngăn chặn nhiều trường hợp.

Cuối cùng, nhưng không kém phần quan trọng, đảm bảo bạn thực hành các thói quen bảo mật sau. Trong nhiều trường hợp, đây có thể là các bước quan trọng nhất:

  • Sao lưu dữ liệu
  • Không mở tệp đính kèm nếu bạn không biết ai đã gửi chúng.
  • Không mở tệp đính kèm cho đến khi bạn xác nhận rằng người gửi đã thực sự đã gửi tệp cho bạn
  • Quét tệp đính kèm với các công cụ như VirusTotal.
  • Không kết nối các dịch vụ Remote Desktop (một loại phần mềm hoặc một tính năng của Hệ Điều hành được sử dụng để tạo kết nối giao diện đồ hoạ đến máy chủ, máy tính từ xa) trực tiếp với Internet. Thay vào đó, hãy đảm bảo rằng chúng chỉ có thể được truy cập bằng cách đăng nhập vào VPN trước.
  • Đảm bảo tất cả các bản cập nhật Windows được cài đặt ngay khi chúng ra mắt! Đồng thời đảm bảo bạn cập nhật tất cả các chương trình, đặc biệt là Java, Flash và Adobe Reader. Các chương trình cũ hơn chứa các lỗ hổng bảo mật thường được các nhà phân phối phần mềm độc hại khai thác. Do đó, điều quan trọng là giữ cho chúng được cập nhật.
  • Hãy chắc chắn rằng bạn sử dụng một số loại phần mềm bảo mật có thể phát hiện hành vi hoặc công nghệ white list. Whitelist là danh sách các địa chỉ có thể gởi thông tin sẽ được chấp nhận tự động (bởi trình phục vụ, trình thư, hay trình bảo mật). Bạn có thể sửa đổi tập tin whitelist để thêm địa chỉ thích hợp với trường hợp của mình, hay để gỡ bỏ địa chỉ không thích hợp hay không còn đáng tin cậy.
  •  Sử dụng mật khẩu mạnh và không bao giờ sử dụng lại cùng một mật khẩu tại nhiều trang web.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Xây dựng hạ tầng cho mạng 5G tương lai của Việt Nam
    Đông Nam Á là một trong những khu vực có tốc độ phát triển nhanh nhất trên thế giới. Dự kiến tới năm 2030, ASEAN (gồm 10 quốc gia Đông Nam Á) sẽ trở thành nền kinh tế lớn thứ tư toàn cầu. Phần lớn động lực thúc đẩy sự phát triển này đến từ sự vận động và tăng trưởng không ngừng của nền kinh tế số trong khu vực, với giá trị ước tính lên đến gần 1 nghìn tỉ đô-la vào năm 2030.
  • 5G và những thay đổi toàn diện trong xây dựng thành phố thông minh
    Với tốc độ cực cao, độ trễ cực thấp, băng thông rộng và kết nối mật độ cực lớn, 5G là hạ tầng cốt lõi hỗ trợ toàn diện cho sự đổi mới và phát triển của thành phố thông minh trên tất cả các lĩnh vực, tác động tích cực vào công tác xây dựng và quản lý thành phố, tạo ra một môi trường sống tiện nghi, bền vững và an toàn hơn bao giờ hết.
  • Vượt qua hơn 1.000 doanh nghiệp, Bưu điện Việt Nam đạt giải Thương hiệu Quốc gia 2024
    Đây là lần thứ 2 liên tiếp Bưu điện Việt Nam vinh dự nhận giải thưởng danh giá này bởi những thành tựu lớn trong lĩnh vực logistics, bưu chính chuyển phát tại Việt Nam và Quốc tế.
  • Cuộc đua trung tâm dữ liệu AI tại Đông Nam Á
    Trí tuệ nhân tạo (AI) đã trở thành một động lực chính thúc đẩy đổi mới công nghệ toàn cầu và Đông Nam Á đang ngày càng khẳng định vai trò của mình trong cuộc đua phát triển AI. Hàng loạt các hãng công nghệ và đám mây lớn đã thông báo kế hoạch xây dựng, vận hành trung tâm dữ liệu mới tại Đông Nam Á.
  • Mở rộng trông xe không dùng tiền mặt mang lại lợi ích "kép"
    Việc áp dụng hình thức thanh toán qua ứng dụng thu phí không dừng VETC và mã QR vào hoạt động thanh toán phí gửi xe không dùng tiền mặt không những góp phần từng bước hình thành hệ thống giao thông thông minh mà còn tăng cường công tác quản lý nhà nước, minh bạch trong công tác thu phí dịch vụ trông giữ xe.
  • 10 xu hướng định hình tương lai của quản lý giao dịch số
    Quản lý giao dịch số đang phát triển mạnh mẽ, được thúc đẩy bởi những tiến bộ công nghệ và nhu cầu ngày càng tăng về xử lý tài liệu an toàn, hiệu quả. Đây là công cụ quan trọng giúp doanh nghiệp giảm bớt thủ tục hành chính và tối ưu hóa quy trình xử lý tài liệu số.
  • Zalo giữ vững ngôi đầu nền tảng nhắn tin được yêu thích nhất
    Ngày 5/11, theo báo cáo “The Connected Consumer Q.III/2024” mới nhất do Decision Lab công bố, Zalo tiếp tục dẫn đầu các nền tảng nhắn tin tại Việt Nam về tỷ lệ sử dụng (renetration rate) và mức độ yêu thích (preference rate).
  • Triển vọng thị trường chữ ký số toàn cầu
    Thị trường chữ ký số toàn cầu đang có ​​sự tăng trưởng chưa từng có khi các doanh nghiệp và cá nhân ngày càng áp dụng các giải pháp số để xác thực tài liệu và giao dịch an toàn.
  • ĐMST mở xã hội mang lại cho 90% doanh nghiệp cơ hội tạo giá trị kinh doanh bền vững
    Theo bà Nguyễn Phương Linh, Viện trưởng Viện MSD, hơn 90% các doanh nghiệp cho rằng đổi mới sáng tạo (ĐMST) mở xã hội mang lại cho doanh nghiệp cơ hội tạo ra giá trị kinh doanh bền vững, tác động tích cực đến xã hội và môi trường.
  • ‏FPT đẩy mạnh phát triển giải pháp low-code tại thị trường Hàn Quốc‏
    ‏Mới đây, FPT vừa ký kết thỏa thuận hợp tác ba năm với OutSystems, chính thức trở thành đối tác phân phối và triển khai tại thị trường Hàn Quốc, đảm bảo thời gian ra mắt phần mềm của khách hàng được rút ngắn và tối ưu chi phí.
Phần mềm độc hại NamPoHyu Virus nhắm vào các Samba server từ xa
POWERED BY ONECMS - A PRODUCT OF NEKO