Email phát tán đính kèm mã độc. - Nguồn: Bkav

Theo Bkav, thay vì đính kèm tập tin *.docm, lần này email đã chuyển sang dạng một dạng tập tin nén .zip có nội dung giả mạo về điện thoại nhưng thực chất là một  tập tin mã hóa dạng *.wsf.

Đây là một tập tin dạng Windows Script File cho phép thực thi các loại mã Script (ví dụ: JScript, VBScript, …) theo nội dung của tập tin. Trong trường hợp này, đoạn mã JScript độc hại trong tập tin .wsf khi được thực thi sẽ tiến hành tải và cài đặt mã độc mã hóa dữ liệu Locky về máy nạn nhân để thực hiện hành vi mã hóa dữ liệu tống tiền đòi tiền chuộc.

Như vậy, chỉ trong vòng một tuần lễ đã có tới 2 biến thể của loại mã độc này được phát hiện. Tuy cùng là hình thức phát tán qua email, nhưng việc hacker thay đổi liên tục các định dạng tập tin đính kèm cho thấy loại mã độc này chưa có dấu hiệu dừng lại và đang ngày trở nên đa dạng hơn.

Ông Mai Văn Việt, chuyên gia nghiên cứu mã độc của Bkav cảnh báo: “Như chúng tôi đã nhận định từ đầu năm, mã độc mã hóa tống tiền có thể mang lại "lợi nhuận" trực tiếp khổng lồ cho hacker, vì thế đây sẽ là xu hướng chính của mã độc trong năm 2016.

Để phòng tránh, người dùng tuyệt đối không mở tập tin đính kèm từ các email không rõ nguồn gốc. Trong trường hợp bắt buộc phải mở để xem nội dung, người sử dụng có thể mở tập tin trong môi trường cách ly an toàn Safe Run".