PHÒNG CHỐNG LÂY LAN MÃ ĐỘC DOUBLEPULSAR

DOUBLEPULSAR là một trong số các công cụ hacking của NSA bị Shadow Brokers phát tán vào cuối tuần trước, đã được hacker sử dụng trong tự nhiên, và lây nhiễm mã độc lên 30.625 máy tính trên toàn thế giới.
Mã độc DOUBLEPULSAR đang trở thành mối đe dọa nguy hiểm nhất hiện nay với an ninh mạng trên toàn cầu, trong đó có Việt Nam. Khi máy tính nhiễm phải loại mã độc này, bạn sẽ không thể truy cập vào tập tin, dữ liệu trên máy tính và buộc phải trả một khoản tiền ảo Bitcoins để chuộc lại số dữ liệu đó.
Khi mã độc được thực thi, nó sẽ tạo ra file: Doublepulsar-1.3.1.exe
Mã độc mở ra một backdoor trên máy tính bị nhiễm và kết nối đến một địa điểm từ xa. Nó kết nối với kẻ tấn công sử dụng một hoặc các giao thức sau:
• RDP
• SMB
Mã độc DOUBLEPULSAR có thể thực hiện các hành động sau:
• Kiểm tra sự hiện diện của bản thân nó
• Inject một DLL vào tiến trình người dùng và gọi đến hàm được chỉ định
• Thực thi shellcode từ kẻ tấn công
• Thả shellcode vào một tập tin trên đĩa
• Tự gỡ cài đặt chính nó
Hiện có rất nhiều quốc gia đang bị nhiễm mã độc DOUBLEPULSAR. Theo Kaspersky, Việt Nam nằm trong top 20 quốc gia bị ảnh hưởng nặng nhất, trong đó có Nga, Ukraine, Ấn Độ, Đài Loan, Tajikistan, Kazakhstan, Luxembourg, Trung Quốc, Romania…
Khi một máy tính bị lây nhiễm, ransomware thường liên lạc với máy chủ trung tâm để có thông tin cần thiết kích hoạt, và sau đó nó bắt đầu mã hóa các tập tin trên máy tính bị nhiễm. Một khi tất cả các file được mã hóa, nó sẽ gửi một tin nhắn yêu cầu thanh toán để giải mã các tập tin – và đe dọa phá hủy dữ liệu nếu không được trả tiền, lời đe dọa thường đi kèm với một bộ đếm thời gian để tăng áp lực.

DOUBLEPULSAR1

Bản đồ với các quốc gia bị ảnh hưởng nhiều nhất bởi mã độc DOUBLEPULSAR.

 

Để đề phòng việc lây lan của mã độc trên, Quy khách hàng vui lòng thực hiện các bước sau:
1. Đóng các port 445, 137-139
2. Update các bản vá lỗi hoặc Windows Update

3. Không tải các file đính kèm, đường link không rõ ràng.

4. Sử dụng các trình diệt virus cho hệ thống của mình.
5. Tiến hành sao lưu dữ liệu thường xuyên vào các nơi lưu trữ không kết nối với Internet

Một khi ransomware đã mã hóa các tập tin của bạn, bạn hầu như không thể làm gì. Nếu bạn có một bản sao lưu các tập tin, bạn sẽ có thể khôi phục lại chúng sau khi đã làm sạch máy tính, nhưng nếu không, các tập tin của bạn có thể mất vĩnh viễn.

Hãy sử dụng những phần mềm có bản quyền và đưa dữ liệu của doanh nghiệp bạn lên Cloud, nhằm giảm thiểu tối đa thiệt hại, bạn nhé!

www.bnode.vn