Eldorado sử dụng ngôn ngữ lập trình Golang để có thể mã hóa trên đa nền tảng, tấn công cả Windows và Linux. Virus này xuất hiện lần đầu hôm 16/3. Chỉ trong vòng 6 tháng, đã có 16 công ty thuộc nhiều lĩnh vực khác nhau bị Eldorado tấn công.
Eldorado sử dụng kết hợp 2 thuật toán Chacha20 + RSA để mã hóa file. Sự kết hợp này để đảm bảo tốc độ mã hóa nhanh đồng thời file sau khi bị mã hóa sẽ không thể giải mã. Nghiêm trọng hơn, mã độc này có thể mã hóa toàn bộ file chia sẻ (share folder) trong mạng. Điều đó có nghĩa là bất kỳ ai chia sẻ file cho nạn nhân, các file của người đó đều có thể bị virus mã hóa.
Bộ mã hóa cho Eldorado có bốn định dạng, bao gồm: esxi, esxi_64, win và win_64. Để xóa dấu vết triệt để, virus chạy lệnh powershell để ghi đè các dữ liệu ngẫu nhiên lên virus, trước khi xóa chính nó.
Eldorado là virus mã hóa dữ liệu mới nhất trong nhóm những ransomware tống tiền nổi lên thời gian gần đây, song cách thức hoạt động không giống với các dòng mã độc bị phát hiện trước đó như LockBit hoặc Babuk. Các chuyên gia khuyến cáo:
- Cài đặt và sử dụng phần mềm diệt virus chuyên nghiệp, có bản quyền để phát hiện sớm và tự động ngăn chặn ransomware xâm nhập vào hệ thống.
- Nên thường xuyên sao lưu (backup) các dữ liệu quan trọng và lưu trữ sang một nơi khác như USB/Ổ cứng gắn ngoài, Cloud Storage (Google Drive, One Drive, iCloud…) thay vì trên chính máy tính đó.
- Cài đặt bản cập nhật bảo mật cho hệ điều hành và phần mềm thường xuyên để vá các lỗ hổng bảo mật có thể bị kẻ tấn công khai thác.
- Nâng cao nhận thức về các mối đe dọa ransomware và cách thức nhận biết các email, tệp đính kèm và liên kết độc hại.
- Lập kế hoạch cụ thể xử lý các vụ tấn công ransomware, bao gồm các bước để khôi phục dữ liệu, giảm thiểu thiệt hại và truy tố kẻ tấn công.
Bkav