Trước đó, ngày 19/8, Bkav đã cảnh báo về biến thể của loại virus này được phát tán qua email có tệp tin đính kèm dạng “*.docm”.
Trong thông tin cảnh báo về việc tiếp tục xuất hiện một biến thể mới của loại mã độc mã hóa dữ liệu tống tiền Locky được gửi đi ngày 27/8, Bkav cho biết, thay vì đính kèm tệp tin có định dạng “*.docm” như các email phát tán mã độc mã hóa dữ liệu đã được phát hiện ngày 19/8, lần này các email đã chuyển sang dạng một tệp tin “.zip” với nội dung giả mạo log điện thoại, nhưng thực chất là một tệp tin Windows script “*.wsf”.
Email phát tán đính kèm mã độc mã hóa dữ liệu tống tiền Locky
Tệp tin mã chứa trong tệp tin .zip được đính kèm trong email
Theo chuyên gia Bkav, tệp tin mã độc chứa trong tệp tin nén .zip có phần đuôi mở rộng là “*.wsf”. Đây là một tệp tin dạng Windows Script File, cho phép thực thi các loại mã Script (ví dụ: JScript, VBScript…) theo nội dung của tệp tin. Trong trường hợp này, đoạn mã JScript độc hại trong tệp tin “.wsf” khi được thực thi sẽ tiến hành tải, cài đặt mã độc mã hóa dữ liệu Locky về máy để thực hiện hành vi mã hóa dữ liệu đòi tiền chuộc.
Thông báo mã hóa dữ liệu đòi tiền chuộc
Như vậy, chỉ trong thời gian 1 tuần đã có tới 2 biến thể của loại mã độc mã hóa dữ liệu Locky được phát hiện. Tuy cùng là hình thức phát tán qua email, nhưng việc tin tặc thay đổi liên tục các định dạng tệp tin đính kèm cho thấy loại mã độc này chưa có dấu hiệu dừng lại và ngày càng trở nên đa dạng hơn.
Chuyên gia nghiên cứu mã độc của Bkav khuyến cáo, để phòng tránh, người dùng tuyệt đối không mở tệp tin đính kèm từ các email không rõ nguồn gốc. Trong trường hợp bắt buộc phải mở để xem nội dung, người sử dụng có thể mở tệp tin trong môi trường cách ly an toàn Safe Run.