ATCK Ransomware

Sau khi điều tra, các nhà phân tích bảo mật đã xác định rằng phần mềm độc hại ATCK hoạt động như một phần mềm ransomware. Các nhà nghiên cứu chuyên về bảo mật thông tin lần đầu tiên xác định ATCK khi kiểm tra các mối đe dọa phần mềm độc hại tiềm ẩn. Sau khi xâm nhập thành công vào hệ thống, ATCK sẽ tiến hành mã hóa nhiều tệp. Ngoài ra, nó còn đưa ra hai thông báo đòi tiền chuộc cho nạn nhân—một tệp văn bản có tên 'info.txt' và một cửa sổ bật lên chứa thông báo tương tự.

ATCK sửa đổi tên tệp gốc trong quá trình mã hóa tệp bằng cách thêm mã định danh duy nhất, địa chỉ email và phần mở rộng '.ATCK' của nạn nhân. Ví dụ: tệp có tên '1.doc' sẽ được thay đổi thành '1.doc.id-9ECFA74E.[Attack attack@tutamail.com].ATCK' và tương tự, '2.pdf' sẽ trở thành '2.pdf. id-9ECFA74E.[Attack attack@tutamail.com].ATCK,' v.v.

Hơn nữa, người ta đã xác minh rằng ATCK Ransomware thuộc họ phần mềm độc hại Dharma , một nhóm phần mềm độc hại đã biết.

Mã độc tống tiền ATCK khóa dữ liệu của nạn nhân và tống tiền họ

Thông báo đòi tiền chuộc mà ATCK Ransomware để lại bắt đầu bằng việc thông báo cho nạn nhân rằng tất cả các tệp của họ đã được mã hóa, sau đó là lời đảm bảo rằng các tệp này có thể được khôi phục. Ghi chú cung cấp địa chỉ email của kẻ tấn công, attack attack@tutamail.com, cho mục đích liên lạc, cùng với ID cụ thể được gán cho trường hợp của nạn nhân. Nếu không nhận được phản hồi trong vòng 12 giờ, ghi chú khuyên bạn nên sử dụng một địa chỉ email khác, attack attack@cock.li, để liên lạc thêm.

Ngoài việc phác thảo quá trình liên lạc, thông báo đòi tiền chuộc còn đề nghị giải mã tối đa ba tệp, miễn là mỗi tệp có kích thước dưới 3 MB và không chứa dữ liệu quan trọng như cơ sở dữ liệu hoặc bản sao lưu.

Hơn nữa, ghi chú còn bao gồm hướng dẫn về cách nhận Bitcoin để thanh toán và cảnh báo không nên đổi tên các tệp được mã hóa hoặc cố gắng giải mã bằng phần mềm của bên thứ ba. Làm như vậy có thể dẫn đến mất dữ liệu vĩnh viễn, tăng chi phí tiền chuộc hoặc các chiến thuật tiềm ẩn.

Ngoài các hướng dẫn đòi tiền chuộc, ATCK Ransomware còn thể hiện các khả năng nâng cao, bao gồm khả năng mã hóa cả tệp cục bộ và tệp chia sẻ trên mạng, vô hiệu hóa tường lửa, xóa Shadow Volume Copies (một phương pháp được sử dụng để khôi phục dữ liệu), thiết lập cơ chế bền vững để duy trì quyền truy cập và thu thập dữ liệu vị trí đồng thời có khả năng loại trừ các vị trí cụ thể khỏi quá trình mã hóa của nó. Các chức năng này nâng cao tác động của ransomware và khiến việc phục hồi trở nên khó khăn hơn đối với người dùng bị ảnh hưởng.

Làm cách nào để bảo vệ dữ liệu và thiết bị của bạn tốt hơn khỏi các mối đe dọa từ ransomware?

Bảo vệ dữ liệu và thiết bị khỏi các mối đe dọa từ ransomware đòi hỏi sự kết hợp của các biện pháp chủ động và cảnh giác liên tục. Dưới đây là một số bước chính mà người dùng có thể thực hiện để tăng cường khả năng phòng vệ trước phần mềm tống tiền:

• Luôn cập nhật phần mềm : Đảm bảo rằng tất cả các hệ điều hành, ứng dụng phần mềm và chương trình chống phần mềm độc hại đều được cập nhật thường xuyên bằng cách đưa vào sử dụng các bản vá và cập nhật bảo mật mới nhất. Nhiều cuộc tấn công ransomware khai thác các lỗ hổng đã biết có thể được giảm thiểu bằng cách cập nhật các bản cập nhật phần mềm.
• Sử dụng phần mềm bảo mật mạnh : Cài đặt phần mềm chống phần mềm độc hại có uy tín trên tất cả các thiết bị và luôn cập nhật chúng. Phần mềm này có thể giúp phát hiện và chặn các mối đe dọa ransomware trước khi chúng có thể thực thi.
• Bật Bảo vệ Tường lửa : Kích hoạt tường lửa trên thiết bị của bạn để giúp ngăn chặn truy cập trái phép và chặn các mối đe dọa sắp đến tiếp cận hệ thống của bạn.
• Luôn thận trọng với các tệp đính kèm và liên kết email : Hãy thận trọng khi truy cập các tệp đính kèm email hoặc nhấp vào liên kết, đặc biệt là từ những người gửi không xác định hoặc đáng ngờ. Ransomware thường lây lan qua các email lừa đảo có chứa các tệp đính kèm hoặc liên kết độc hại.
• Sao lưu dữ liệu thường xuyên : Thường xuyên sao lưu dữ liệu và tệp quan trọng vào ổ cứng ngoài, dịch vụ lưu trữ đám mây hoặc vị trí an toàn khác mà thiết bị chính của bạn không thể truy cập trực tiếp. Bằng cách này, nếu hệ thống của bạn bị ransomware xâm phạm, bạn có thể khôi phục dữ liệu của mình mà không phải trả tiền chuộc.
• Sử dụng mật khẩu mạnh, độc đáo : Khuyến khích sử dụng mật khẩu phức tạp và xác thực đa yếu tố (MFA) để truy cập các thiết bị và tài khoản trực tuyến. Điều này tối đa hóa bảo mật chống lại truy cập trái phép.
• Luôn cập nhật : Luôn cập nhật các xu hướng ransomware và phương thức tấn công mới nhất. Hiểu cách thức hoạt động của ransomware có thể giúp người dùng nhận ra các mối đe dọa có thể xảy ra và thực hiện hành động thích hợp để bảo vệ thiết bị và dữ liệu của họ.

Việc áp dụng các biện pháp phòng ngừa này và duy trì tư thế bảo mật chủ động có thể giảm nguy cơ trở thành nạn nhân của ransomware và giảm tác động của các cuộc tấn công tiềm ẩn đối với dữ liệu và thiết bị của họ.

Thông báo đòi tiền chuộc chính của ATCK Ransomware là:

'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: attackattack@tutamail.com YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:attackattack@cock.li
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Tin nhắn được gửi dưới dạng tệp văn bản là:

'all your data has been locked us

You want to return?

write email attackattack@tutamail.com or attackattack@cock.li'