Hiện nay có khá nhiều ứng dụng hỗ trợ các thiết bị Android có thể tùy chỉnh việc thiết lập khóa màn hình Android, tuy nhiên khi các bạn thực hiện thiết lập các bước khóa màn hình Android bằng các ứng dụng này hãy lưu ý một loại Ransomware mang tên DoubleLocker.
Ransomware DoubleLocker không chỉ đơn giản là mã hóa dữ liệu của người dùng giống như các loại ransomware khác vẫn làm mà còn thay đổi mã PIN trên các thiết bị nạn nhân để đòi tiền chuộc.
Các nhà nghiên cứu bảo mật tại ESET đã phát hiện ra DoubleLocker. Theo các nhà nghiên cứu, ransomware này lợi dụng cài đặt khả năng truy cập trên thiết bị Android, và đây cũng là loại ransomware đầu tiên sử dụng phương pháp tiếp cận double-lock (khóa kép). Dựa trên phần mềm độc hại phát tán tại các ngân hàng trước đó, phiên bản thử nghiệm của DoubleLocker có thể đã xuất hiện kể từ tháng 5.
Mọi gốc rễ liên quan đến các thông tin, tài khoản ngân hàng người dùng, ransomware chỉ tập trung vào việc đòi các khoản tiền chuộc từ nạn nhân, nó không có khả năng truy cập các thông tin chi tiết tài khoản ngân hàng được lưu trữ trên các thiết bị điện thoại và máy tính bảng.
DoubleLocker phát tán dưới dạng phiên bản Adobe Flash Player giả mạo và sử dụng các thủ thuật thông minh để nó được kích hoạt - cho phép các dịch vụ trợ năng, sau đó tự cài đặt nó là nút Home mặc định.
Lukáš Štefanko, nhà nghiên cứu phần mềm độc hại của ESET và cũng là người phát hiện ra DoubleLocker, giải thích:
DoubleLocker tự cài đặt nó là nút Home mặc định, một launcher (trình khởi chạy) - đây là thủ thuật để cải thiện độ bền bỉ của phần mềm độc hại. Bất cứ khi nào người dùng nhấn vào nút Home, ransomware này sẽ được kích hoạt và thiết bị sẽ bị khóa lại. Nhờ sử dụng dịch vụ Accessibility (dịch vụ Trợ Năng) nên người dùng sẽ không biết được họ đang khởi chạy phần mềm độc hại khi nhấn nút Home.
Sau khi được kích hoạt, đầu tiên DoubleLocker sẽ thay đổi mã PIN của thiết bị thành các số ngẫu nhiên. Mật khẩu này không được lưu trữ trên thiết bị đích nên không có cách nào để xác định mật khẩu này là gì. Đây là động cơ đầu tiên để đòi tiền chuộc nạn nhân, và sau khi nạn nhân đã thanh toán tiền chuộc, mã PIN có thể được reset lại từ xa.
Mã hóa dữ liệu bằng thuật toán mã hóa AES, bổ sung phần mở rộng ".ryry" là động cơ thứ hai.
Štefanko cũng lưu ý người dùng:
- Việc mã hóa được thực hiện đúng cách, tức là nếu không may thiết bị của bạn là nạn nhân xấu số, không có cách nào để khôi phục lại các file, trừ khi nhận đã key mã hóa từ kẻ tấn công.
- Nếu đã dự trù một bản sao lưu dữ liệu trước đó, bạn có thể loại bỏ ransomware mà không cần phải thanh toán bất kỳ khoản tiền chuộc nào cho kẻ tấn công, như ESET chia sẻ:
Tùy chọn khả thi nhất để “dọn sạch” ransomware DoubleLocker trên thiết bị của bạn là thực hiện factory reset - khôi phục lại thiết bị Android của bạn trở về trạng thái ban đầu của nhà sản xuất.
Các bạn có thể xem lại bài viết hướng dẫn thực hiện khôi phục cài đặt gốc Android tại đây.
Đối với các thiết bị root, có một cách để pass mã PIN bị khóa mà không cần thực hiện factory reset. Với cách này, thiết bị của bạn phải được đưa vào chế độ Debugging Mode trước khi ransomware được kích hoạt.
Nếu điều kiện này được đáp ứng, người dùng có thể kết nối với thiết bị bằng ADB và xóa file hệ thống nơi mã PIN được lưu trữ trên thiết bị Android. Thao tác này sẽ mở một màn hình để người dùng có thể truy cập thiết bị của họ.
Sau đó truy cập chế độ Safe Mode, người dùng có thể tắt quyền quản trị thiết bị cho phần mềm độc hại và gỡ bỏ cài đặt nó. Trong một số trường hợp, thiết bị sẽ được yêu cầu khởi động lại.
Đối với dữ liệu được lưu trữ trên thiết bị, không có cách nào để khôi phục .
APPS LIÊN QUAN