Phần mềm độc hại khóa việc khởi động máy tính

14 April 2012, 18:30

Theo:http://www.h-online.com/security/news/item/Malware-blocks-booting-1525617.html

Bài được đưa lênInternet ngày: 14/04/2012

Phầnmềm độc hại nhảy vào hành động trước khi hệ điềuhành thậm chí bắt đầu tải lên. Nguồn: Trend Micro.

The malware springs intoaction before the operating system has even begun to load.
Source:Trend Micro.

Lờingười dịch: Phần mềm độc hại đòi tiền chuộcngăn không có người sử dụng khởi động máy và bậtthông báo đòi tiền chuộc. Nếu trả tiền, người sửdụng sẽ nhận được một mã để mở khóa khởi độngmáy tính của mình. “Tuy nhiên, những người sử dụngcó thể tự tiết kiệm được số tiền đó bằng việctuân theo các chỉdẫn của các chuyên gia cho việc loại bỏ lây nhiễm đó.Điều này về cơ bản gồm việc chạy bảng điều khiểnphục hồi từ một đĩa DVD cài đặt Windows và phục hồilại MBR ban đầu bằng việc sử dụng lệnh fixmbr”.

Các chuyên gia chốngvirus tại Trend Micro đã phát hiện ra phần mềm đòi tiềnchuộc khóa các máy tính không cho khởi động. Đốinghịch lại với các trojan được giới hạn ở một vịtrí, mà lan truyền nhanh khắp châu Âu, nó làm thế bằngviệc chèn bản thân nó vào bản ghi chủ khởi động(master boot record - MBR). Sau đó nó khởi động lại máy vàra lệnh cho người sử dụng trả tiền chuộc 920 hryvniatiền Ukrain (tương đương 90 euro) cho bọn tội phạm thôngqua dịch vụ thanh toán QIWI.

Nếu các nạn nhântrả tiền, bọn tội phạm sẽ gửi cho họ một mã đểmở khóa các máy tính của họ. Tuynhiên, những người sử dụng có thể tự tiết kiệmđược số tiền đó bằng việc tuân theo các chỉ dẫncủa các chuyên gia cho việc loại bỏ lây nhiễm đó. Điềunày về cơ bản gồm việc chạy bảng điều khiển phụchồi từ một đĩa DVD cài đặt Windows và phục hồi lạiMBR ban đầu bằng việc sử dụng lệnh fixmbr.

Theo Trend Micro, virusnày lan truyền qua các website rởm hoặc được tiêm vàocác máy bằng các phần mềm độc hại khác. Phần mềmđộc hại mà ghi đè lên MBR để ngăn cản việc khởiđộng máy đã bị phát hiện vào đầu năm 2010, dù nó đãkhông yêu cầu một khoản tiền chuộc. Có hàng tá cácphiên bản của các trojan dạng BKA đang hoạt động, hầuhết chúng không làm hỏng MBR, thay vào đó dựa vào sựtự động khởi động hoặc các đầu vào đăng ký đặcbiệt để tự móc chúng vào máy.

Anti-virusexperts at Trend Micro have discoveredransomware which blocks systems f-rom booting. In contrast to thelocalisedtrojans, which are widely spread around Europe, it does so byin-serting itself into the master boot record (MBR). It then restartsthe system and instructs the user to pay a ransom of 920 Ukrainianhryvnia (equivalent to about 90 euros) to the criminals via paymentservice QIWI.

Ifvictims pay up, the criminals send them a code to unlock theircomputers. Users can, however, save themselves 920 hryvnia byfollowing the experts' instructionsfor removing the infection. This essentially consists of runningthe recovery console f-rom the Windows Installation DVD and restoringthe original MBR using the fixmbrcommand.

Accordingto Trend Micro, the virus is spread via crafted web sites or isinjected onto systems by other malware. Malware which overwrites theMBR to prevent booting was discoveredin early 2010, though it did not demand a ransom. There are dozens ofversions of the BKA-style trojans in the wild, most of which do notcorrupt the MBR, relying instead on autostart or special registryentries to hook themselves into the system.

(djwm)

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com