Nếu bạn hiểu biết công nghệ cao, bất cứ khi nào bạn nghe thấy một hệ thống bị nhiễm, bạn thường nghĩ về một đoạn mã thực thi bằng cách nào đó đã chiếm đoạt các chức năng an toàn nhất của nó. Nhiễm trùng có thể lan truyền theo nhiều cách, nhưng vẫn có một điều chắc chắn: Mối liên hệ giữa virus và mã thực thi rất mạnh, chúng tôi không nhất thiết phải tự bảo vệ mình khỏi các loại tệp như JPEG, PNG và MP3. Hay chúng ta? Trái với xác nhận trước đó, hai loại tệp đầu tiên tôi đã đề cập đã được sử dụng để lây nhiễm máy tính thông qua hệ thống nhắn tin truyền thông xã hội trên Facebook và LinkedIn, theo báo cáo của Jon Fingas cho Engadget vào ngày 27 tháng 11 năm 2016.

Điều gì đang diễn ra?

Vào ngày 18 tháng 2 năm 2016, Symantec đã tìm thấy một phần mềm khá kỳ lạ, hóa ra lại là một biến thể mới của phần mềm ransomware lan truyền qua web (nếu bạn không biết phần mềm ransomware là gì, hãy tham khảo điều này). Sự căng thẳng đặc biệt này - được gọi là Locky - lây lan qua email spam với các tệp đính kèm với tỷ lệ khoảng 10 đến 20 nghìn nạn nhân mỗi tuần trong khoảng thời gian từ tháng 1 đến tháng 3 năm 2016. Không nhất thiết phải gây sốc khi thấy vi rút lây lan theo cách này. Thư điện tử có tệp đính kèm ZIP đã là chiến lược tiêm chủng vào đầu những năm 90.

Sau đó, một chuyện khác đã xảy ra.

Vào cuối tháng 11 năm 2016, người dùng trên Facebook và LinkedIn bắt đầu thấy các tin nhắn được gửi kèm với tệp đính kèm hình ảnh. Họ có vẻ khá an toàn, nhưng khi mở ra, họ tiết lộ một dòng Locky mới sẽ mã hóa các tập tin của hệ thống và mở khóa chúng chỉ khi nạn nhân trả một khoản tiền chuộc từ 200 đô la đến 400 đô la. Phần gây sốc nhất trong số này là virus lây lan qua hình ảnh thay vì mã thực thi thông thường.

Không phải tất cả mọi thứ là như nó có vẻ

Mặc dù hình ảnh chắc chắn đang được sử dụng để lây nhiễm cho mọi người trên truyền thông xã hội, nó không hoàn toàn trông như thế nào! Tôi đã xem xét kỹ hơn về cơ chế của Locky và những cách trơn trượt của nó, và có vẻ như có nhiều câu chuyện hơn là một loạt các hình ảnh JPEG "ra ngoài để giúp bạn."

Trước hết, những gì bạn đang phân phối khi bạn gửi phần mềm độc hại cho ai đó là ấn tượng rằng bạn đang cho ai đó một hình ảnh trên phương tiện truyền thông xã hội. Có một lỗ hổng trong mã Facebook và LinkedIn cho phép một số tệp nhất định được chuyển với biểu tượng hình ảnh, dẫn người nhận tin rằng họ đã nhận được một bức ảnh vô hại về con mèo cưng của một ai đó hoặc khu vườn mới. Những gì người nhận thực sự tải xuống là một tệp HTA, một chương trình thực thi rất cũ cho Windows đã có từ năm 1999 (một mục khác để thêm vào danh sách các lý do khiến phần mềm trong những năm 90 hoàn toàn là bonkers).

Về cơ bản, các ứng dụng HTA giống như EXE ngoại trừ chúng được xếp lớp trên “mshta.exe” và được quản trị viên sử dụng để nhanh chóng thay đổi hệ thống. Vì họ có "sự tin tưởng" đầy đủ của hệ thống mà họ đang chạy, họ có thể tự do phá hủy bất kỳ số tiền tàn phá nào mà mã của họ cho phép họ.

Cách phòng ngừa nhiễm trùng

Một khi bạn bị nhiễm Locky, bạn không thể làm gì nhiều ngoại trừ hy vọng bạn tìm thấy một ứng dụng chống phần mềm độc hại có thể xóa nó khi bạn khởi động trong Chế độ An toàn. Nhưng ngăn ngừa nhiễm trùng ở nơi đầu tiên là khá dễ dàng. Khi bạn nhận được một tập tin hình ảnh trên Facebook, và nó không có một bản xem trước như hình ảnh dưới đây, sau đó bạn có thể sẽ được nhắc nhở để tải về nó.

Khi bạn đã tải xuống tệp, hãy kiểm tra phần mở rộng của tệp. Nếu nó không nói JPG, JPEG, PNG hoặc bất cứ thứ gì trông giống như hình ảnh, thì đó có thể là một vi-rút. Chúng ta đã thấy Locky ở định dạng HTA, nhưng nó cũng có thể xuất hiện trong các loại mã thực thi khác (.COM, .PIF, .SCR, .CPL, .JAR, .APPLICATION, .EXE, .MSI, v.v.). Chỉ cần theo dõi các phần mở rộng tệp và cảnh giác với bất kỳ điều gì bạn không nhận ra. Một cách chắc chắn để kiểm tra xem tệp bạn đã nhận có phải là hình ảnh hay không bằng cách xem liệu Windows Explorer có cung cấp cho bạn bản xem trước khi bạn thay đổi kiểu hiển thị thành “Biểu tượng lớn” hay không.

Bạn có lời khuyên nào khác để chia sẻ không? Hãy cho chúng tôi biết trong một bình luận!