Ransomware Yanluowang, được đặt theo tên của vị thần Trung Quốc Yanluo Wang, một trong mười vị vua địa ngục, được phát hiện lần đầu tiên vào tháng 10 năm 2021. Theo dữ liệu đo từ xa của Kaspersky, Yanluowang đang tấn công các tổ chức lớn ở Hoa Kỳ, Thổ Nhĩ Kỳ, Brazil và các quốc gia khác.
Ransomware Yanluowang là gì và cách bảo vệ nó?
Các cuộc tấn công bằng Yanluowang bắt đầu bằng việc kẻ điều hành ransomware kích hoạt mã hóa theo cách thủ công. Khi mã hóa tệp của nạn nhân, ransomware thay đổi phần mở rộng tệp thành “.Yanluowang” và để lại tệp truy cập mở có chứa thông báo đòi tiền chuộc sau khi tấn công máy tính. Trong lưu ý này, tội phạm mạng đe dọa nạn nhân rằng nếu đến gặp cảnh sát, mọi tập tin trên máy tính bị nhiễm virus sẽ bị xóa. Hơn nữa, họ tuyên bố rằng ngay cả sau khi tất cả các tệp bị xóa, họ sẽ không từ bỏ hoạt động kinh doanh và sẽ gây hại cho toàn bộ công ty thông qua các cuộc tấn công DDoS và lây nhiễm ransomware trên máy tính của nhân viên công ty.
Phân tích ransomware, các chuyên gia của Kaspersky đã phát hiện ra một lỗ hổng cho phép nạn nhân giải mã các tập tin trên máy tính bị nhiễm. Để làm được điều này, người dùng cần phải có một hoặc nhiều tệp gốc và tải xuống một công cụ giải mã được thiết kế đặc biệt. Sau đó, người bị tấn công có thể giải mã độc lập các tệp bị nhiễm.
Nhà nghiên cứu bảo mật của Kaspersky Yanis Zinchenko cho biết: “Mặc dù Yanluowang không phải là mối đe dọa ransomware phổ biến nhưng nó vẫn tiếp tục gây hại cho người dùng. Mọi chương trình độc hại bị đánh bại trong cuộc chiến chống lại phần mềm tống tiền đều quan trọng đối với chúng tôi. Ransomware là mối đe dọa mang tính quốc tế nên việc cộng đồng mạng phải hợp tác trong cuộc chiến chống lại ransomware là điều cần thiết. Chúng tôi hy vọng rằng sự đóng góp của chúng tôi trong lĩnh vực này sẽ giúp ích cho các tổ chức bị Yanluowang tấn công.”
Giới thiệu về Yanluowang báo cáo đầy đủNó có thể được đọc từ.
Để bảo vệ khỏi các cuộc tấn công của ransomware, Kaspersky khuyến nghị:
- Các dịch vụ máy tính từ xa (chẳng hạn như RDP) không được tiếp xúc với các mạng công cộng trừ khi cần thiết và phải luôn sử dụng mật khẩu mạnh cho chúng.
- Các bản vá đã xuất bản cho các giải pháp VPN thương mại cung cấp quyền truy cập và cổng cho nhân viên từ xa phải được cài đặt ngay lập tức.
- Phần mềm trên tất cả các thiết bị được sử dụng phải luôn được cập nhật để ngăn chặn ransomware khai thác lỗ hổng.
- Chiến lược phòng thủ nên tập trung vào các chuyển động ngang và phát hiện rò rỉ dữ liệu trên Internet. Cần đặc biệt chú ý đến lưu lượng truy cập đi để phát hiện các kết nối của tội phạm mạng.
- Dữ liệu cần được sao lưu thường xuyên và đảm bảo dữ liệu có thể được truy cập nhanh chóng trong trường hợp khẩn cấp.
- Luôn cập nhật các TTP hiện tại được các tác nhân đe dọa sử dụng. Thông tin về mối đe dọa nên được sử dụng.
- Phát hiện và phản hồi điểm cuối của Kaspersky Và Phát hiện và phản hồi được quản lý của Kaspersky Nên sử dụng các giải pháp bảo mật để giúp phát hiện và ngăn chặn một cuộc tấn công như thế này ở giai đoạn đầu trước khi nó đạt được mục tiêu cuối cùng.
- Môi trường thể chế cần được bảo vệ bằng cách đào tạo nhân viên. Nền tảng nhận thức bảo mật tự động của KasperskyCác khóa đào tạo đặc biệt được cung cấp trong… sẽ giúp ích về mặt này.
- Kaspersky Endpoint Security dành cho doanh nghiệp Nên sử dụng giải pháp bảo mật điểm cuối đáng tin cậy được hỗ trợ bởi một công cụ khắc phục có khả năng ngăn chặn hành vi lạm dụng, phát hiện hành vi và đảo ngược các hành động độc hại. KESB cũng có các cơ chế bảo vệ độc đáo để ngăn chặn tội phạm mạng xóa nó khỏi hệ thống.
Đã thêm bộ giải mã Yanluowang vào công cụ “No Ransom Kaspersky Rannoh Decryptor”. Công cụ này là một dự án do Kaspersky khởi xướng nhằm chia sẻ các giải pháp và ngăn chặn tai họa ransomware. Không có tiền chuộc có thể được tải xuống từ trang web.
