Các nhà nghiên cứu bảo mật tại Trung tâm phản ứng bảo mật khẩn cấp AhnLab của Hàn Quốc đã vừa phát hiện ra một loại ransomware mới đang được phát hành dưới dạng một gói cập nhật cho trình duyệt Microsoft Edge và Google Chrome. Ransomware này có tên Magniber, nó tự động mã hóa dữ liệu và buộc người dùng phải trả tiền để lấy khóa giải mã, từ đó mới có thể lấy lại dữ liệu.
Magniber tấn công các máy tính PC qua trình duyệt Edge và Chrome thông qua một package cập nhật trình duyệt, có đuôi .appx và có chứng chỉ hợp lệ. Thực tế trình duyệt web hiện đại sẽ tự động cập nhật thay vì yêu cầu người dùng tải về một gói cập nhật như vậy. Tuy nhiên với những người không biết đến điều này thì họ vẫn có thể bị kẻ phán tán Magniber đánh lừa. Gói cập nhật .appx với chứng chỉ hợp lệ sẽ khiến Windows cho phép cài đặt package này. Sau khi cài đặt, gói cập nhật chứa mã độc tự động tạo ra 2 file là wjoiyyxzllm.dll và wjoiyyxzllm.exe trong đường dẫn C:\Program Files\WindowsApps - đây là thư mục chỉ dành cho các ứng dụng hợp lệ cài đặt từ Microsoft Store.
2 file này sẽ tự khởi chạy và thực thi một chức năng gọi là mbenooj, trong đó file .dll sẽ tải thêm các thành phần của ransomware và giải mã chúng. Sau đó, ransomware Magniber sẽ được thực thi từ vùng bộ nhớ của file .exe và tiến hành mã hóa các tập tin của người dùng. Kẻ tấn công cũng không quên để lại một thông điệp cho biết máy đã dính Magniber và yêu cầu trả tiền để giải mã dữ liệu.
Dù không lấy cắp file nào nhưng Magniber mã hóa dữ liệu, khả năng cao là không lấy lại được cho dù có trả tiền để lấy khóa giải mã. Vì vậy, người dùng tốt nhất là nên cẩn thận khi tải về các file từ các nguồn không rõ nguồn gốc bởi cách thức lây nhiễm của Magniber cho thấy nó có thể giả mạo file .appx hợp lệ để đánh lừa Windows cài đặt. Thêm vào đó là dữ liệu quan trọng cần được sao lưu thường xuyên và cập nhật công cụ bảo mật trên máy tính.
Theo: Notebookcheck
Magniber tấn công các máy tính PC qua trình duyệt Edge và Chrome thông qua một package cập nhật trình duyệt, có đuôi .appx và có chứng chỉ hợp lệ. Thực tế trình duyệt web hiện đại sẽ tự động cập nhật thay vì yêu cầu người dùng tải về một gói cập nhật như vậy. Tuy nhiên với những người không biết đến điều này thì họ vẫn có thể bị kẻ phán tán Magniber đánh lừa. Gói cập nhật .appx với chứng chỉ hợp lệ sẽ khiến Windows cho phép cài đặt package này. Sau khi cài đặt, gói cập nhật chứa mã độc tự động tạo ra 2 file là wjoiyyxzllm.dll và wjoiyyxzllm.exe trong đường dẫn C:\Program Files\WindowsApps - đây là thư mục chỉ dành cho các ứng dụng hợp lệ cài đặt từ Microsoft Store.
2 file này sẽ tự khởi chạy và thực thi một chức năng gọi là mbenooj, trong đó file .dll sẽ tải thêm các thành phần của ransomware và giải mã chúng. Sau đó, ransomware Magniber sẽ được thực thi từ vùng bộ nhớ của file .exe và tiến hành mã hóa các tập tin của người dùng. Kẻ tấn công cũng không quên để lại một thông điệp cho biết máy đã dính Magniber và yêu cầu trả tiền để giải mã dữ liệu.
Dù không lấy cắp file nào nhưng Magniber mã hóa dữ liệu, khả năng cao là không lấy lại được cho dù có trả tiền để lấy khóa giải mã. Vì vậy, người dùng tốt nhất là nên cẩn thận khi tải về các file từ các nguồn không rõ nguồn gốc bởi cách thức lây nhiễm của Magniber cho thấy nó có thể giả mạo file .appx hợp lệ để đánh lừa Windows cài đặt. Thêm vào đó là dữ liệu quan trọng cần được sao lưu thường xuyên và cập nhật công cụ bảo mật trên máy tính.
Theo: Notebookcheck
