Phần mềm độc hại khóa việc khởi động máy tính

Malware blocks booting

14 April 2012, 18:30

Theo: http://www.h-online.com/security/news/item/Malware-blocks-booting-1525617.html

Bài được đưa lên Internet ngày: 14/04/2012

Phần mềm độc hại nhảy vào hành động trước khi hệ điều hành thậm chí bắt đầu tải lên. Nguồn: Trend Micro.

The malware springs into action before the operating system has even begun to load.
Source: Trend Micro.

Lời người dịch: Phần mềm độc hại đòi tiền chuộc ngăn không có người sử dụng khởi động máy và bật thông báo đòi tiền chuộc. Nếu trả tiền, người sử dụng sẽ nhận được một mã để mở khóa khởi động máy tính của mình. “Tuy nhiên, những người sử dụng có thể tự tiết kiệm được số tiền đó bằng việc tuân theo các chỉ dẫn của các chuyên gia cho việc loại bỏ lây nhiễm đó. Điều này về cơ bản gồm việc chạy bảng điều khiển phục hồi từ một đĩa DVD cài đặt Windows và phục hồi lại MBR ban đầu bằng việc sử dụng lệnh fixmbr”.

Các chuyên gia chống virus tại Trend Micro đã phát hiện ra phần mềm đòi tiền chuộc khóa các máy tính không cho khởi động. Đối nghịch lại với các trojan được giới hạn ở một vị trí, mà lan truyền nhanh khắp châu Âu, nó làm thế bằng việc chèn bản thân nó vào bản ghi chủ khởi động (master boot record - MBR). Sau đó nó khởi động lại máy và ra lệnh cho người sử dụng trả tiền chuộc 920 hryvnia tiền Ukrain (tương đương 90 euro) cho bọn tội phạm thông qua dịch vụ thanh toán QIWI.

Nếu các nạn nhân trả tiền, bọn tội phạm sẽ gửi cho họ một mã để mở khóa các máy tính của họ. Tuy nhiên, những người sử dụng có thể tự tiết kiệm được số tiền đó bằng việc tuân theo các chỉ dẫn của các chuyên gia cho việc loại bỏ lây nhiễm đó. Điều này về cơ bản gồm việc chạy bảng điều khiển phục hồi từ một đĩa DVD cài đặt Windows và phục hồi lại MBR ban đầu bằng việc sử dụng lệnh fixmbr.

Theo Trend Micro, virus này lan truyền qua các website rởm hoặc được tiêm vào các máy bằng các phần mềm độc hại khác. Phần mềm độc hại mà ghi đè lên MBR để ngăn cản việc khởi động máy đã bị phát hiện vào đầu năm 2010, dù nó đã không yêu cầu một khoản tiền chuộc. Có hàng tá các phiên bản của các trojan dạng BKA đang hoạt động, hầu hết chúng không làm hỏng MBR, thay vào đó dựa vào sự tự động khởi động hoặc các đầu vào đăng ký đặc biệt để tự móc chúng vào máy.

Anti-virus experts at Trend Micro have discovered ransomware which blocks systems from booting. In contrast to the localised trojans, which are widely spread around Europe, it does so by inserting itself into the master boot record (MBR). It then restarts the system and instructs the user to pay a ransom of 920 Ukrainian hryvnia (equivalent to about 90 euros) to the criminals via payment service QIWI.

If victims pay up, the criminals send them a code to unlock their computers. Users can, however, save themselves 920 hryvnia by following the experts' instructions for removing the infection. This essentially consists of running the recovery console from the Windows Installation DVD and restoring the original MBR using the fixmbr command.

According to Trend Micro, the virus is spread via crafted web sites or is injected onto systems by other malware. Malware which overwrites the MBR to prevent booting was discovered in early 2010, though it did not demand a ransom. There are dozens of versions of the BKA-style trojans in the wild, most of which do not corrupt the MBR, relying instead on autostart or special registry entries to hook themselves into the system.

(djwm)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com