Hướng dẫn ngăn chặn mã độc tống tiền Lukitus

Lukitus là gì?

Lukitus là một phiên bản cập nhật của một loại virus ransomware (mã độc tống tiền) gọi là Locky. Các nhà phát triển lây lan Lukitus qua thư rác (các tệp đính kèm độc hại). Sau khi thâm nhập, Lukitus mã hóa dữ liệu được lưu trữ bằng thuật toán mã hóa RSA-2048 và AES-128. Trong quá trình mã hóa, virus sẽ đổi tên các tệp được mã hóa sử dụng mẫu "32_random_letters_and_digits].lukitus". Ví dụ: "sample.jpg" có thể được đổi tên thành tên tệp như "GPZ9AETR3-BIEU-8HAJ-36AD5B2D-3192B7EB5821.lukitus". Sau khi mã hóa thành công, Lukitus thay đổi hình nền máy tính và tạo một tệp tin HTML ("lukitus.htm") để nó trên desktop.

Tệp hình nền và tệp HTML trên máy tính có chứa thông báo về yêu cầu đòi tiền chuộc cho biết tệp được mã hóa và chỉ có thể khôi phục qua một chương trình giải mã cụ thể sử dụng khóa duy nhất. Thật không may, thông tin này là chính xác. Như đã đề cập ở trên, Lukitus sử dụng thuật toán mật mã RSA và AES, và do đó, chỉ duy nhất một khóa giải mã được tạo ra cho mỗi nạn nhân. Các khóa này được lưu trữ trên một máy chủ từ xa điều khiển bởi các nhà phát triển của Lukitus. Nạn nhân được yêu cầu phải trả tiền chuộc để nhận khóa bằng cách làm theo các hướng dẫn được cung cấp trên trang web chính thức của phần mềm độc hại. Chi phí giải mã là 0.5 Bitcoin (khoảng gần 50.000.000 VND). Tuy nhiên, hãy nhớ rằng không nên tin tưởng các tội phạm công nghệ cao vì họ thường lờ các nạn nhân khi đã nhận được tiền chuộc. Thanh toán xong không đảm bảo chắc chắn rằng các tệp của bạn sẽ được giải mã. Hơn nữa, đưa tiền cho bọn tội phạm mạng còn gián tiếp hỗ trợ các hoạt động kinh doanh virus độc hại của họ. Do đó, không nên liên lạc với những người này hoặc trả bất kỳ khoản tiền chuộc nào. Tuy nhiên không may là không có công cụ nào có khả năng khôi phục các tệp được mã hóa bởi Lukitus và giải pháp duy nhất là khôi phục lại các tệp, hệ thống của bạn từ bản sao lưu.

Thông báo yêu cầu tiền chuộc của bọn tội phạm mạng:

Thông báo yêu cầu tiền chuộc

Lukitus gần giống với Aleta, BTCWare, GlobeImposter và hàng chục loại mã độc tống tiền khác. Những phần mềm độc hại này cũng được thiết kế để mã hóa các tập tin và yêu cầu đòi tiền chuộc. Chỉ có hai sự khác biệt chính: 1) khoản tiền chuộc được yêu cầu và 2) loại thuật toán mã hóa được sử dụng. Nghiên cứu cho thấy hầu hết các virus này sử dụng các thuật toán tạo ra khoá giải mã duy nhất (ví dụ như RSA, AES, DES, v.v...) Do đó, hầu như không thể khôi phục các tập tin này mà không có khóa giải mã của các tội phạm mạng.

Mã độc tống tiền tấn công máy tính như thế nào?

Mặc dù Lukitus được phân phối qua thư rác, nhưng các tên tội phạm mạng thường phát tán phần mềm độc hại tương tự bằng cách sử dụng phần mềm giả mạo, trojans và các nguồn tải phần mềm của bên thứ ba (các trang web tải về miễn phí, các trang web lưu trữ tệp miễn phí, các mạng ngang hàng (peer-to-peer network), v.v…). Trong trường hợp này, Lukitus được phân phối đến cho nạn nhận dưới dạng một tệp .rar nén. Tuy nhiên, các thư rác thường chứa các tài liệu JavaScript, MS Office và các tệp tương tự khác được thiết kế để tải hoặc cài đặt phần mềm độc hại. Trình cập nhật phần mềm giả mạo khai thác các lỗi phần mềm đã lỗi thời để lây nhiễm vào hệ thống. Các nguồn tải phần mềm bên thứ ba thường tăng khả năng thực thi độc hại bằng cách “giới thiệu” chúng dưới dạng phần mềm hợp pháp.

Làm thế nào để tự bảo vệ máy tính khỏi nhiễm mã độc tống tiền?

Để ngăn ngừa nhiễm mã độc hại tống tiền, bạn cần phải rất thận trọng khi duyệt Internet. Không bao giờ mở các tập tin nhận được từ email đáng ngờ hoặc tải phần mềm từ các nguồn không chính thức. Hơn nữa, sử dụng bộ phần mềm chống vi-rút/chống phần mềm gián điệp hợp pháp và cập nhật các ứng dụng đã được cài đặt. Tuy nhiên, hãy lưu ý rằng bọn tội phạm phân phối phần mềm độc hại thông qua các trình cập nhật giả mạo. Do đó, sử dụng các công cụ của bên thứ ba để cập nhật phần mềm là rất nguy hiểm. Chìa khóa để giữ an toàn máy tính là thận trọng.

Mẫu thư rác được sử dụng để phân phối phần mềm độc hại Lukitus:

Mẫu thư rác chứa mã độc tống tiền

Tập tin Lukitus HTML:

Tập tin Lukitus HTML

Tập tin Lukitus hình nền màn hình:

Tập tin Lukitus hình nền màn hình

Tập tin Lukitus trang web Tor:

Tập tin Lukitus web Tor

Các tệp được mã hóa bởi Lukitus ("[32_random_letters_and_digits] .lukitus" mẫu tên tệp):

Các tệp tin được mã hóa

Hướng dẫn ngăn chặn mã độc tống tiền Lukitus

Bước 1: Loại bỏ mã độc tống tiền Lukitus sử dụng chế độ an toàn với mạng.

Người dùng Windows XP và Windows 7: Khởi động máy tính của bạn ở Safe Mode. Nhấp vào Start > Shut Down > OK. Trong quá trình khởi động máy tính, nhấn phím F8 trên bàn phím nhiều lần cho đến khi bạn nhìn thấy trình đơn Windows Advanced Option, sau đó chọn Safe Mode with Networking từ danh sách.

Chọn Safe Mode with Networking

Video hướng dẫn cách khởi động Windows 7 với chế độ "Safe Mode with Networking”: