Giải thích việc các tệp tin cũ bị phát hiện dưới dạng “Ghi chú đòi tiền chuộc” (Ransom Notes) bởi Trend Micro Security

  • Created:
  • / Author: PACISOFT Help 8
Lượt xem: 232

Tóm tắt

Bài viết này trả lời câu hỏi về thông báo Ransom Note:

  • Tại sao các tệp tin cũ từ máy / bản sao lưu của tôi đột nhiên bị phát hiện là ghi chú đòi tiền chuộc?

Chi tiết

Có một số trường hợp, các tệp Ransom Note cũ từ lần nhiễm Ransomware trước đó có thể vô tình bị khôi phục từ bản sao lưu hoặc đã tồn tại trên máy một thời gian mà không được quét bằng Manual Scan hay Scheduled Scan. Tuy nhiên, bên cạnh đó, cũng có những trường hợp như sau:

  • Ransom notes cũ từ các biến thể cũ của Ransomware chưa có hình mẫu cụ thể để quét được. Điều này thường xảy ra khi nhân tố đe dọa sử dụng mô hình Ransomware as a Service (RaaS) để nhắm và lây nhiễm cho nạn nhân của chúng. Các Chỉ số Thỏa hiệp (IOC) cho các loại tấn công này lẽ ra phải được Nhà cung cấp dịch vụ bảo mật phát hiện khi trường hợp trên xảy ra. Tuy nhiên, nội dung của Ransom Notes RaaS không phải lúc nào cũng trùng khớp với với nội dung do Người viết mã báo mối đe dọa (Threat Author) tạo ra. Do nó được sử dụng bởi một cá nhân khác đã mua/ đăng kí công cụ, cá nhân này có thể tạo Ransom Note với thông tin của họ. Trong trường hợp đó, các ghi chú này KHÔNG được gửi đến Nhà cung cấp bảo mật dưới dạng mẫu, thì mẫu hình để phát hiện Ransom Notes đã được điều chỉnh này có thể không được thiết kế đến khi đã có trường hợp được bị ảnh hưởng được phát hiện.
  • Việc này dẫn đến tâm lí hoảng sợ và gây hoang mang cho khách hàng đã từng là nạn nhân bị nhiễm Ransomware. Nếu họ đã từng gặp trường hợp như vậy cách đây 2 năm và đột nhiên nhận được thông báo Ransom Note cho cùng một biến thể của Ransomware, việc cẩn trọng là điều đương nhiên. Tuy nhiên, sau đây là một số cách để phát hiện lây nhiễm một cách nhanh chóng:
    1. Kiểm tra hành trình rà soát, hành động này giúp bạn biết được liệu rằng thư mục này có được khôi phục từ các bản sao lưu gần đây trước đó hay không, và bạn cũng có thể;
    2. Xác nhận xem các tệp được mã hóa có nằm trên cùng một thư mục với Ransom Notes không.
    3. Kiểm tra “ Date Created” trong Property để xác định thời điểm khởi tạo thư mục.

Biên dịch bởi Thanh Hiền – Help.pacisoft.com

Tagged: