Diễn Đàn SEO Việt Nam Một mã độc mới giả mạo Windows Update ngầm mã hóa tập tin người dùng trong khi hiển thị màn hình cập nhật Windows. Tin buồn là chưa có biện pháp giải mã các tập tin đã bị mã hóa. Chúng tôi thường khuyên bạn nên cập nhật hệ điều hành và các phần mềm để vá các lỗ hổng bảo mật, nếu không thực hiện kịp thời, mã độc có thể khai thác và phá máy bạn. Và một mã độc có tên là Fantom đã lợi dụng điều này. Xét về khía cạnh kỹ thuật, Fantom giống như hầu hết các mã độc khác. Nó được dựa trên một mã độc nguồn mở EDA2 được phát triển bởi Utku Sen. Thực chất, nó là một trong những mã độc mã hóa dựa trên nền tảng EDA2, nhưng nó đã tiến hóa một bước xa hơn thế. Sau khi xâm nhập vào máy tính, nó sẽ bắt đầu các hoạt động như mã độc bình thường khác: tạo khóa mã hóa, mã hóa nó và giấu nó vào một mạng quản lý để dùng sau này. Sau đó, nó sẽ quét trên máy tính và tìm ra các thể loại tập tin mà nó có thể mã hóa (hơn 350 loại, kể cả các tập tin văn phòng, âm thanh và hình ảnh cơ bản). Nó sẽ dùng khóa mã hóa để mã hóa các tập tin này và thêm đuôi .fantom cho tất cả các tên tập tin. Điều đáng lo ngại nhất chính là nó có thể thực hiện hành động này một cách thầm lặng ngay trước mắt nạn nhân. Điều đáng nói đối với mã độc này đó chính là nó giả dạng trình cập nhập Windows. Khi mã độc bắt đầu thực hiện hành động của mình, nó sẽ chạy đồng thời hai chương trình: một là chính chương trình mã hóa của nó và một chương trình nhỏ với cái tên mà chẳng ai có thể nghi ngờ: WindowsUpdate.exe. Nó sử dụng màn hình rất “đáng tin” – màn hình cập nhật Windows (màn hình màu xanh mà Windows hay thông báo bạn là đang cập nhật). Trong khi Fantom đang mã hóa tập tin người dùng thì thông tin trên màn hình hiển thị là đang cập nhật. Màn hình giả mạo Windows Update Tiểu xảo này được thiết kế để làm nạn nhân phân tâm và không để ý hoạt động đáng ngờ đang diễn ra trên máy tính của họ. Màn hình cập nhật Windows giả chạy ở chế độ đầy màn hình nên dễ dàng che giấu các hoạt động khác trên máy tính. Khi người dùng cảm thấy nghi ngờ, họ có thể thu nhỏ màn hình giả bằng cách nhấn Ctrl+F4, nhưng không thể ngừng việc mã hóa tập tin. Sau khi mã hóa xong, Fantom sẽ xóa hết dấu vết bằng cách xóa các tập tin đã thực thi nhiệm vụ và tạo ghi chú mã độc .html, sao chép đến từng thư mục và thay thế luôn cả màn hình nền desktop với một dòng thông báo. Kẻ tấn công sẽ cung cấp địa chỉ email để nạn nhân liên lạc, thương lượng tiền chuộc và các thông tin khác. Màn hình thông báo Tin buồn là đến bây giờ người ta vẫn chưa tìm ra cách giải mã các tập tin bị nhiễm mà không cần trả tiền – tuy nhiên chúng tôi cũng không khuyến khích bạn trả tiền cho chúng. Vì vậy, cách tốt nhất là “phòng bệnh hơn chữa bệnh”. Đây là một số mẹo: Sao lưu dữ liệu thường xuyên và giữ bản sao lưu dữ liệu đó ở một nơi khác, không kết nối với máy tính. Việc giữ bản sao lưu sẽ giúp bạn có thể phục hồi hệ thống và tập tin, kể cả máy tính có bị nhiễm mã độc. Hãy cảnh giác: đừng mở bất kỳ tập tin đính kèm email nào khả nghi, tránh xa các trang web độc hại và đừng bao giờ nhấp vào các quảng cáo online lạ. Fantom cũng như các mã độc khác sẽ tìm mọi cách để xâm nhập vào hệ thống của bạn. Sử dụng biện pháp bảo mật tối ưu: ví dụ như Kaspersky Internet Security đã từng phát hiện Fantom dưới dạng Trojan-Ransom.MSIL.Tear.wbf hay PDM:Trojan.Win32.Generic. Và kể cả nếu gặp phải loại mã độc mới chưa từng có trong dữ liệu lưu trữ, tính năng Quản lý Hệ thống cũng sẽ tìm ra hành vi đáng ngờ và ngay lập tức chặn lại. Bạn có thể xe thêm: phan mem diet virus,tai phan mem diet virus
