Ransomware Alpha865qqz được thiết kế để mã hóa và khóa các tệp trên máy tính. Giống như các biến thể ransomware khác, đòi hỏi phải trả tiền để đổi lấy việc mở khóa các tệp bị mã hóa. Thực thể Ransomware Alpha865qqz này không chọn tệp cụ thể nào để mã hóa thay vào đó là mã hóa tất cả các loại tệp và gắn phần mở rộng .Alpha865qqz vào chúng. Sau khi điều này xảy ra, các tệp sẽ hoàn toàn không thể truy cập được.
Ransomware Alpha865qqz là gì?
Ransomware Alpha865qqz là phần mềm độc hại bắt chước Ransomware Globeimposter, tuy nhiên, đây là một dạng của Maoloa Ransomware. Các hệ thống bị nhiễm phần mềm độc hại này có dữ liệu bị mã hóa và người dùng sẽ nhận được yêu cầu tiền chuộc cài trong các công cụ/phần mềm giải mã.
Trong quá trình Ransomware Alpha865qqz mã hóa, tất cả các tệp bị ảnh hưởng đều được thêm vào phần mở rộng “.globeimposter-alpha865qqz“. Ví dụ: một tệp ban đầu được đặt tên là “1.jpg” sẽ xuất hiện dưới dạng “1.jpg.globeimposter-alpha865qqz” sau khi mã hóa. Sau khi quá trình này hoàn tất, các tin nhắn tiền chuộc trong các tệp “Cách sao lưu tệp của bạn.exe” được thả vào mọi thư mục bị xâm phạm.
Thông báo yêu cầu ransom từ Ransomware Alpha865qqz (“HOW TO BACK YOUR FILES.exe“) thông báo cho nạn nhân rằng dữ liệu của họ đã bị mã hóa. Để khôi phục tệp, người dùng phải làm theo các hướng dẫn được liệt kê trong tin nhắn này. Ngoài ra, thông điệp tiền chuộc nói rằng chỉ những tên tội phạm mạng đằng sau mã độc mới có khả năng giải mã dữ liệu.
Để phục hồi tệp đã bị Ransomware Alpha865qqz mã hóa đòi hỏi các công cụ/phần mềm giải mã hợp lệ được sở hữu bởi những kẻ tội phạm. Chi phí của các công cụ này không được đề cập trong tin nhắn, nhưng thay vào đó được cung cấp sau khi liên hệ được thực hiện qua email. Tin nhắn của nạn nhân sẽ có chứa ID được gán cho họ (được liệt kê trong tin nhắn).
Để kiểm tra giải mã, một hình ảnh hoặc tệp văn bản được mã hóa có thể được đính kèm vào các email. Với điều kiện tệp không chứa thông tin có giá trị, nó được giải mã và trả về. Thông điệp được kết thúc bằng các cảnh báo rằng chạy các công cụ chống vi-rút và/hoặc cố gắng giải mã thủ công các tệp sẽ dẫn đến mất dữ liệu vĩnh viễn.
Hơn nữa, khóa mã hóa của từng nạn nhân là duy nhất và do đó các công cụ giải mã của những người dùng bị ảnh hưởng khác sẽ không tương thích và không thể được sử dụng thay thế cho nhau.
Thật không may, trong hầu hết các trường hợp tấn công Ransomware Alpha865qqz, việc giải mã không thể không liên quan đến tội phạm mạng, trừ khi chương trình mã độc vẫn đang được phát triển hoặc có lỗi đáng kể.
Mặc dù đáp ứng các yêu cầu tiền chuộc, nạn nhân thường không nhận được các công cụ/phần mềm giải mã như đã hứa. Do đó, họ vừa phải chịu tổn thất về tài chính mà dữ liệu của họ thì vẫn bị mã hóa.
Để ngăn chặn Ransomware Alpha865qqz từ mã hóa kép, mã độc này phải được loại bỏ khỏi hệ điều hành, tuy nhiên, việc loại bỏ sẽ không khôi phục các tệp đã bị xâm phạm. Giải pháp duy nhất là phục hồi dữ liệu là từ một bản sao lưu, bản sao lưu này nên được tạo ra trước khi dữ liệu bị nhiễm mã độc và hay được lưu trữ ở một vị trí riêng biệt.
Hat, .666 (NJKwe Raas), Kuus, [tors@tuta.io] và Josephnull là một số ví dụ về các chương trình Ransomware khác. Các chương trình này mã hóa dữ liệu và yêu cầu thanh toán để giải mã các dữ liệu. Có hai sự khác biệt chính giữa các chương trình/mã độc này:
- Các thuật toán mật mã được sử dụng (đối xứng hoặc không đối xứng)
- Quy mô của tiền chuộc.
Quy mô tiền chuộc có xu hướng dao động từ ba đến bốn số chữ số tính bằng USD. Các loại tiền kỹ thuật số (ví dụ: tiền điện tử, chứng từ trả trước, v.v.) thường được sử dụng cho các khoản tiền chuộc, vì sẽ gây khó khăn hoặc không thể theo dõi, kiểm soát. Để tránh mất dữ liệu người dùng nên giữ bản sao lưu trên các máy chủ từ xa và/hoặc các thiết bị lưu trữ không dây (tốt nhất là ở các vị trí khác nhau).
Ransomware Alpha865qqz đã lây nhiễm vào máy tính của bạn như thế nào?
Ransomware Alpha865qqz và các phần mềm mã độc khác chủ yếu được lây nhiễm thông qua Trojans, các chiến dịch spam, công cụ kích hoạt bất hợp pháp (“cracks”), các trình cập nhật giả và các kênh tải xuống không đáng tin cậy. Trojans là các chương trình độc hại, một số trong đó có khả năng lây nhiễm các mã độc (nghĩa là tải xuống/cài đặt phần mềm độc hại bổ sung).
Các email lừa đảo được gửi bởi hàng loạt, trong các hoạt động quy mô lớn gọi là “Chiến dịch spam”. Những thông điệp này có các tệp truyền nhiễm được đính kèm hoặc chứa các liên kết tải xuống có nội dung nguy hiểm.
Các tệp độc hại có thể ở các định dạng khác nhau như tài liệu Microsoft Office và PDF, Lưu trữ (Zip, RAR, v.v.) và thực thi (.exe, .run, v.v.), JavaScript,…. Các công cụ “Cracking” có thể dễ tải xuống/ đính kèm phần mềm độc hại hơn các sản phẩm được cấp phép.
Những kẻ tội phạm mạng đưa các mã độc Ransomware Alpha865qqz vào hệ thống bằng cách khai thác điểm yếu của sản phẩm lỗi thời hoặc cài đặt phần mềm độc hại. Phần mềm độc hại thường được tải xuống vô ý từ các nguồn không đáng tin cậy như các trang web lưu trữ tệp miễn phí nhưng không chính thức, mạng chia sẻ P2P (Bittorrent, Gnutella, Emule, v.v.) và những người tải xuống bên thứ ba khác.
Cách phòng tránh dữ liệu doanh nghiệp khỏi mã độc Ransomware Alpha865qqz
Không được mở các email đáng ngờ hoặc không liên quan, đặc biệt là những email có bất kỳ tệp đính kèm hoặc liên kết nào trong đó, vì điều này có thể dẫn đến nguy cơ lây nhiễm cao.
Chỉ sử dụng các kênh tải xuống chính thức và xác minh. Bạn nên kích hoạt và cập nhật sản phẩm với các công cụ/chức năng được cung cấp bởi các nhà phát triển chính hãng. Các công cụ kích hoạt bất hợp pháp (“Cracks”) và các nhà cập nhật bên thứ ba nên tránh, vì chúng thường được sử dụng để truyền nhiễm các chương trình độc hại.
Để đảm bảo an toàn cho thiết bị và người dùng, điều quan trọng là phải cài đặt và cập nhật phần mềm chống virus hoặc chống phần mềm độc hại có uy tín thường xuyên. Sử dụng các phần mềm này để quét hệ thống thông thường và để loại bỏ các mối đe dọa được phát hiện hay có tiềm năng gây Ransomware Alpha865qqz.
Ngoài ra việc thực hiện chống thất thoát dữ liệu (Data Loss Prevention – DLP) hoặc Backup dữ liệu định kỳ cũng là thói quen mà các doanh nghiệp hiện nay nên bắt tay vào thực hiện trước khi quá muộn.