Nếu bạn là người hiểu biết về công nghệ ở mức độ vừa phải, bất cứ khi nào bạn nghe nói về một hệ thống bị nhiễm virus, bạn thường nghĩ đến một đoạn mã thực thi được bằng cách nào đó đã chiếm đoạt các chức năng an toàn nhất của nó. Nhiễm trùng có thể lây lan theo bất kỳ cách nào, nhưng có một điều vẫn chắc chắn:Mối liên kết giữa vi rút và mã thực thi rất mạnh nên chúng tôi không nhất thiết phải tin rằng mình phải tự bảo vệ mình khỏi các loại tệp như JPEG, hình ảnh PNG và tệp MP3. Hay chúng ta? Trái ngược với khẳng định trước đó, hai loại tệp đầu tiên mà tôi đề cập đã được sử dụng để lây nhiễm vào máy tính thông qua các hệ thống nhắn tin trên mạng xã hội trên Facebook và LinkedIn, theo báo cáo của Jon Fingas cho Engadget vào ngày 27 tháng 11 năm 2016.
Chuyện gì đang xảy ra?
Vào ngày 18 tháng 2 năm 2016 Symantec đã tìm thấy một phần mềm khá lạ, hóa ra là một biến thể mới của ransomware lây lan qua web (nếu bạn chưa biết ransomware là gì, hãy tham khảo phần này). Loại đặc biệt này - được gọi là Locky - lây lan qua các email spam có tệp đính kèm với tốc độ khoảng 10 đến 20 nghìn nạn nhân mỗi tuần từ tháng 1 đến tháng 3 năm 2016. Không nhất thiết phải sốc khi thấy vi rút lây lan theo cách này. Thư email có tệp đính kèm ZIP là chiến lược truyền bệnh phổ biến kể từ đầu những năm 90.
Sau đó, một chuyện khác đã xảy ra.
Đến cuối tháng 11 năm 2016, người dùng trên Facebook và LinkedIn bắt đầu thấy các tin nhắn được gửi kèm theo hình ảnh đính kèm. Chúng có vẻ khá an toàn, nhưng khi mở ra, chúng tiết lộ một loại Locky mới sẽ mã hóa các tệp của hệ thống và chỉ mở khóa chúng nếu nạn nhân trả khoản tiền chuộc từ 200 đến 400 đô la Mỹ. Điều gây sốc nhất trong số này là vi-rút lây lan qua hình ảnh chứ không phải mã được thực thi thông thường.
Không phải mọi thứ đều như ý
Mặc dù hình ảnh chắc chắn đang được sử dụng để lây nhiễm bệnh cho mọi người trên mạng xã hội, nhưng nó không hoàn toàn như thế nào! Tôi đã tìm hiểu sâu hơn một chút về cơ chế hoạt động của Locky và các cách hoạt động trơn tru của nó, và có vẻ như câu chuyện còn nhiều điều hơn là một loạt các JPEG “sẵn sàng giúp bạn”.
Trước hết, những gì bạn đang phát tán khi gửi phần mềm độc hại cho ai đó là ấn tượng rằng bạn đang tạo cho ai đó một hình ảnh trên mạng xã hội. Có một lỗ hổng trong mã của Facebook và LinkedIn cho phép truyền một số tệp nhất định bằng biểu tượng hình ảnh, khiến người nhận tin rằng họ đã nhận được một bức ảnh vô hại về con mèo cưng hoặc khu vườn mới của ai đó. Những gì người nhận thực sự tải xuống là một tệp HTA, một chương trình thực thi rất cũ dành cho Windows đã có từ năm 1999 (một mục khác để thêm vào danh sách lý do tại sao phần mềm vào những năm 90 hoàn toàn bị lỗi).
Về cơ bản, các ứng dụng HTA giống như EXE ngoại trừ chúng được xếp lớp trên “mshta.exe” và được quản trị viên sử dụng để nhanh chóng thực hiện các thay đổi đối với hệ thống. Vì họ có đầy đủ "niềm tin" vào hệ thống mà họ đang chạy, họ có thể tự do phá hủy bất kỳ mức độ tàn phá nào mà mã của họ cho phép.
Cách ngăn ngừa nhiễm trùng
Sau khi bị nhiễm Locky, bạn không thể làm gì khác ngoài việc hy vọng bạn tìm thấy một ứng dụng chống phần mềm độc hại có thể xóa ứng dụng đó khi bạn khởi động ở Chế độ an toàn. Nhưng ngăn ngừa nhiễm trùng ngay từ đầu là khá dễ dàng. Khi bạn nhận được một tệp hình ảnh trên Facebook và nó không có bản xem trước như hình ảnh bên dưới, thì có thể bạn sẽ được nhắc tải xuống.
Khi bạn đã tải xuống tệp, hãy kiểm tra phần mở rộng của tệp. Nếu nó không hiển thị JPG, JPEG, PNG hoặc bất kỳ thứ gì giống như một hình ảnh, thì đó có thể là một vi-rút. Chúng tôi đã thấy Locky ở định dạng HTA, nhưng nó cũng có thể xuất hiện trong các loại mã thực thi khác (.COM, .PIF, .SCR, .CPL, .JAR, .APPLICATION, .EXE, .MSI, v.v.). Chỉ cần theo dõi các phần mở rộng tệp và cảnh giác với bất kỳ thứ gì bạn không nhận ra. Một cách chắc chắn để kiểm tra xem tệp bạn nhận được có phải là hình ảnh hay không là xem liệu Windows Explorer có cung cấp cho bạn bản xem trước khi bạn thay đổi kiểu hiển thị thành “Biểu tượng lớn” hay không.
Bạn có bất kỳ lời khuyên hữu ích nào khác để chia sẻ không? Hãy cho chúng tôi biết trong một bình luận!