Buzz
Hiện nay, trên thị trường có nhiều ứng dụng hỗ trợ việc tùy chỉnh màn hình khóa Android. Tuy nhiên, khi bạn thực hiện các bước này, hãy lưu ý đến một loại ransomware độc đáo có tên là DoubleLocker.
DoubleLocker không chỉ đơn giản mã hóa dữ liệu người dùng như các ransomware khác, mà còn thay đổi mã PIN trên các thiết bị nạn nhân để đòi tiền chuộc.
Nhóm nghiên cứu bảo mật tại ESET đã phát hiện ra DoubleLocker. Theo họ, ransomware này tận dụng quyền truy cập trên thiết bị Android và đây cũng là loại ransomware đầu tiên sử dụng phương pháp tiếp cận double-lock (khóa kép). Dựa trên phần mềm độc hại đã lan truyền tại các ngân hàng trước đó, phiên bản thử nghiệm của DoubleLocker có thể đã xuất hiện từ tháng 5.
Trong khi tập trung chỉ vào việc đòi tiền chuộc từ nạn nhân mà không xâm phạm thông tin tài khoản ngân hàng, DoubleLocker vẫn đáng gờm.
DoubleLocker lan truyền dưới hình thức giả mạo Adobe Flash Player và ứng dụng các chiêu thuật tinh vi để kích hoạt, tận dụng các tính năng hữu ích trước khi tự cài đặt nó làm nút Home mặc định.
Lukáš Štefanko, chuyên gia nghiên cứu phần mềm độc hại tại ESET và cũng là người phát hiện ra DoubleLocker, giải thích:
DoubleLocker tự cài đặt nó làm nút Home mặc định, một ứng dụng khởi động - đây là một chiêu thuật nhằm cải thiện độ ổn định của phần mềm độc hại. Mỗi khi người dùng nhấn nút Home, ransomware này sẽ kích hoạt và khóa thiết bị ngay lập tức. Sử dụng dịch vụ Trợ Năng, người dùng sẽ không nhận ra rằng họ đang chạy một ứng dụng độc hại khi nhấn nút Home.
Sau khi được kích hoạt, DoubleLocker đầu tiên sẽ thay đổi mã PIN của thiết bị thành các số ngẫu nhiên. Mật khẩu này không được lưu trữ trên thiết bị, không có cách nào xác định mật khẩu này là gì. Đây là động cơ đầu tiên để đòi tiền chuộc từ nạn nhân, và sau khi nạn nhân thanh toán tiền chuộc, mã PIN có thể được reset từ xa.
Dữ liệu bị mã hóa bằng thuật toán AES, với phần mở rộng '.ryry' là động cơ thứ hai.
Štefanko cũng chú ý đến người dùng:
- Quá trình mã hóa diễn ra đúng cách, có nghĩa là nếu điện thoại của bạn trở thành nạn nhân không may mắn, không có cách nào khôi phục lại các tập tin trừ khi bạn có key mã hóa từ kẻ tấn công.
- Nếu bạn đã chuẩn bị một bản sao lưu dữ liệu trước đó, bạn có thể loại bỏ ransomware mà không cần phải thanh toán bất kỳ khoản tiền chuộc cho hacker, theo chia sẻ từ ESET:
Phương án khả thi nhất để 'dọn sạch' ransomware DoubleLocker trên điện thoại của bạn là thực hiện khôi phục cài đặt gốc - đưa điện thoại Android về trạng thái như lúc mới mua.
Bạn có thể xem lại hướng dẫn thực hiện khôi phục cài đặt gốc Android tại đây.
Đối với các thiết bị đã root, có một cách để vượt qua mã PIN bị khóa mà không cần thực hiện khôi phục cài đặt gốc. Trong trường hợp này, điện thoại của bạn cần được đưa vào chế độ Debugging Mode trước khi ransomware bắt đầu tác động.
Nếu điều kiện này được đáp ứng, người dùng có thể kết nối với điện thoại thông qua ADB và xóa các tệp hệ thống nơi mã PIN được lưu trữ trên điện thoại Android. Bước này sẽ mở ra một cửa sổ để người dùng có thể truy cập điện thoại của họ.
Sau đó, bật chế độ An toàn, người dùng có thể vô hiệu hóa quyền quản trị cho phần mềm độc hại và loại bỏ cài đặt nó. Trong một số trường hợp, thiết bị có thể yêu cầu khởi động lại.
https://Mytour.vn/ransomware-doublelocker-21862n.aspx
Đối với dữ liệu được lưu trữ trên thiết bị, không có phương tiện nào để khôi phục.
