- Hiểu về quá trình lây nhiễm
Một ransomware mới đang thực hiện các vòng sau khi công cụ máy tính từ xa phổ biến, AnyDesk, được khai thác. Các ransomware, được gọi là BlackRouter, lây lan cùng với trọng tải độc hại để gây thiệt hại lớn.
Giống như Teamviewer (cũng đã được khai thác trước đây), AnyDesk cung cấp cho người dùng quyền kiểm soát hai chiều giữa các hệ điều hành như Linux, macOS, FreeBSD và Linux. Tuy nhiên, nó không chỉ giới hạn cho hệ điều hành dựa trên máy tính để bàn và cũng bao gồm hỗ trợ cho iOS và Android.
Vì BlackRouter được đóng gói với AnyDesk, một công cụ đáng tin cậy, nó quản lý để tránh sự phát hiện.
Hiểu về quá trình lây nhiễm
Cách thức hoạt động của ransomware là nó cần được tải xuống với AnyDesk từ các trang web bên thứ ba khác nhau ngoài kia.
Sau khi tải xuống và cài đặt, BlackRouter sao chép hai tệp khác trên máy tính, để thực thi các quy trình độc hại, như sau:
- % Người dùng Temp% \ BLACKROUTER.exe
- % Người dùng Temp% \ ANYDESK.exe
AnyDesk.exe cung cấp quyền truy cập vào ứng dụng khách để trò chuyện với khách hàng, thực hiện chuyển tập tin và cả phiên nhật ký. Nhưng điều này chỉ giới hạn ở phiên bản cũ hơn của AnyDesk chứ không phải phiên bản mới. Đối với BLACKROUTER.exe, ransomware mã hóa các hệ thống thành các loại tiện ích mở rộng khác nhau, ví dụ: .xks, .gif, .pdf, v.v.
Một khi ransomware thực hiện những gì nó được cho là sẽ làm, nó sẽ yêu cầu Bitcoin trị giá 50 đô la, sau đó quyền truy cập rõ ràng được cấp thông qua Telegram. Ngoài ra, nó cảnh báo người dùng không tắt máy tính của họ, để ngăn chặn các tệp được mã hóa bị khóa vĩnh viễn.
Hiện tại, bạn nên tránh xa mọi ứng dụng chia sẻ máy tính từ xa tương tự. Vấn đề như nó là, nó là giải pháp duy nhất cho bây giờ. Ngoài ra, hãy đảm bảo bạn sử dụng VPN để duy trì an toàn và ẩn danh trực tuyến, trừ khi bạn muốn bị theo dõi bởi đám đông sai. Không? Không nghĩ vậy.
