CẢNH BÁO RANSOMWARE CRY36/NEMESIS ĐANG LÂY LAN RỘNG RÃI

Các chuyên gia phân tích mã độc của CMC Cyber Sercurity vừa ghi nhận có ít nhất 4 đơn vị bị nhiễm ransomware Cry36/Nemesis tất cả dữ liệu người dùng (ngoại trừ các file có thể gây lỗi cho hệ điều hành) bị mã hóa và đổi phần mở rộng thành “.[id]_WECANHELP”.

Mẫu ransomware có phần mở rộng “.[id]_WECANHELP” là biến thể mới nhất của Cry36/Nemesis được phát hiện lần đầu tiên vào 9/8/2019. Khi lây nhiễm vào máy tính nạn nhân nó bắt đầu quét nhanh tất cả phân vùng ổ đĩa, phân vùng chia sẻ để xác định dữ liệu người dùng và bỏ qua các file thực thi, file hệ thống. Cuối cùng, ransomware mã hóa dữ liệu, trong mỗi thư mục nó mã hóa đều được để lại một file chứa các thông tin để nạn nhân có thể conteac với kẻ tấn công và ID của nạn nhân. Biến thể của Cry36/Nemesis thường được gửi vào máy tính của nạn nhân thông qua các cổng RDP được bảo mật kém, spam email hoặc giả làm các phần mềm lừa người dùng tải về.

Hiện nay, chưa có phương pháp nào hiệu quả để phá mã khóa của Cry36/Nemesis. Tuy vậy, các nạn nhân tuyệt đối không được trả tiền chuộc cho kẻ tấn công. Đã có rất nhiều trường hợp được ghi nhận, sau khi trả tiền chuộc nạn nhân cũng không giải mã được dữ liệu hoặc dữ liệu giải mã ra bị lỗi. Đồng thời việc trả tiền cho kẻ tấn công sẽ thức đẩy hắn quay lại một lần nữa.

Để phòng ngừa nguy cơ trở thành nạn nhân của Cry36/Nemesis, người dùng nên ngắt các cổng dịch vụ RDP nếu không cần sử dụng đến, thiết lập các quy tắc cho tường lửa để giới hạn người sử dụng, truy cập từ xa đến server, đảm bảo nguồn gốc của phần mềm, email trước khi mở.