Mới đây diễn đàn an ninh mạng WhiteHat của Bkav đưa ra cảnh báo về hình thức lây nhiễm mã độc tống tiền Locky qua tin nhắn hình ảnh Facebook. Theo đó tin nhắn hình ảnh Facebook mang mã độc Locky thường thuộc định dạng SVG (.svg), và nếu như bạn nhấn vào nó thì các tập tin này sẽ lây nhiễm Locky vào máy tính của bạn, đồng thời sẽ biến máy của bạn thành công cụ để phát tán thông qua các tin nhắn Facebook trong danh sách bạn bè của bạn.

a1-z1-bkav-canh-bao-ma-doc-tong-tien-locky-ransomware-qua-tin-nhan-hinh-anh-facebook.jpg

Theo giải thích, hình thức tấn công này sử dụng Facebook Messenger lây lan một công cụ tải mã độc tên là Nemucod dưới dạng file ảnh SVG. Hacker sử dụng file SVG (đầy đủ là Scalable Vector Graphics) bởi vì SVG có khả năng chứa mã nhúng JavaScript và thể có mở được trong trình duyệt web mới nhất.

Thủ đoạn hình thức này là thêm mã JavaScript độc hại vào bên trong tập tin hình ảnh mà khi nhấn vào, bạn sẽ được đưa đến một trang web giống như YouTube nhưng với URL hoàn toàn khác nhau. Giống như một cách điển hình để phát tán phần mềm độc hại, các trang web sẽ đẩy ra một màn hình pop-up yêu cầu bạn phải tải về và cài đặt một phần mềm mở rộng extension trên Google Chrome để xem được video. Tên của các tiện ích mở rộng này thường là Ubo và One...

Tệ hơn nữa là các tập tin hình ảnh SVG chứa Nemucod trong một số trường hợp sẽ tải một bản sao của Locky về máy tính của nạn nhân cho dù có click hay không.

Để đối phó với hình thức lây lan Locky mới này, thành viên điều hành WhiteHat khuyến cáo người dùng không nên nhấn vào các liên kết lạ trên Facebook, và không nên tự cài đặt những ứng dụng, tiện ích lạ vào máy. Bên cạnh đó, người dùng cần cài đặt một phần mềm diệt virus có uy tín vào máy, đặc biệt với hình thức này thì có thể tham khảo các tiện ích extension kiểm soát trình duyệt như J2TeaM (tại đây).

Nếu bạn là một trong những người đã bị lừa cài đặt phần mở rộng độc hại theo hình thức này, hãy loại bỏ ngay lập tức bằng cách gỡ phần tiện ích trong Menu => More Tools => Extensions.

Mã độc tống tiền Locky là một trong những nguy cơ lớn nhất trên không gian mạng trọng thời gian qua. Hồi tháng 8/2016, Bkav cũng đã phát thông tin cảnh báo người dùng về Locky phát tán qua email với file đính kèm định dạng “*.docm”.

Đối với các file mã độc đính kèm có định dạng “*.docm”, khi quan sát bình thường sẽ thấy file đính kèm có định dạng gần giống với các file “Word Document” có phần tên mở rộng là “*.doc” hay “*.docx” thông thường, nhưng thực tế đây là loại file “Word Macro - Enable Document. Những file có loại định dạng này chứa trong nó là các đoạn mã thực thi Macro.

"Macro sẽ được thực thi khi file đính kèm được kích hoạt, trong trường hợp này các Macro độc hại sẽ tiến hành tải và cài đặt mã độc mã hóa dữ liệu Locky vào máy của người dùng để thực hiện hành vi mã hóa dữ liệu tống tiền đòi tiền chuộc”, Bkav cho hay.

Hơn thế Bkav cũng cảnh báo một hình thức lây nhiễm Locky khác, đó là thay vì đính kèm file có định dạng “.docm” thì các email đã chuyển sang đính kèm file nén ".zip" giả mạo mà thực chất là một file mã Windows dạng “.wsf”.