Cảnh báo mã độc mã hóa dữ liệu tống tiền - Ransomware

Thứ hai - 21/03/2016 09:00 83 0
Trong tuần đầu tháng 3/2016, Trung tâm ứng cứu khẩn cấp máy tính Việt Nam VNCERT đã ghi nhận cách thức tấn công mới của tin tặc nhằm vào các cơ quan, tổ chức có sử dụng hòm thư điện tử nội bộ. Với cách tấn công mới này, tin tặc sẽ giả mạo một địa chỉ thư điện tử có đuôi là @tencoquan.gov.vn để gửi thư điện tử có kèm mã độc đến các người dùng trong cơ quan đó. Để qua mặt các hệ thống dò quét virus, các virus thường được nén lại dưới dạng .zip hoặc .rar.

maodc.png 

​Qua phân tích của các chuyên gia VNCERT với một sự cố cho thấy tập tin chứa virus .zip chứa bên trong các tập tin thực thi như .js (đây là một tập tin javascript) hoặc tập tin văn bản như .doc, .xls …, khi người dùng mở tập tin này, virus sẽ được kích hoạt và tự động tải tập tin mã độc mã hóa tài liệu và tự thực thi trên máy. Với trường hợp mã độc mã hóa tài liệu thì mã độc sẽ tiến hành mã hóa nội dung toàn bộ các dữ liệu trên máy nạn nhân với thuật toán mã hóa mạnh để không thể giải mã được với mục đích bắt cóc dữ liệu trên máy để tống tiền nạn nhân. Với việc giả mạo chính các thư điện tử của đơn vị sẽ làm cho người dùng khó phát hiện các thư giả mạo dẫn đến số lượng các máy tính bị lây nhiễm mã độc mã hóa dữ liệu có thể tăng cao.

Hiện nay, tình trạng lây nhiễm mã độc này đặc biệt nghiêm trọng và đang lây lan nhanh chóng, hiện đã có một số máy tính của Sở, ngành ở tỉnh bị lây nhiễm mà độc này gửi qua hệ thống email. Để phòng ngừa các loại mã độc Ransomware, Sở Thông tin và Truyền thông khuyến cáo các đơn vị thực hiện một số biện pháp sau:

1. Chú ý phòng ngừa để hạn chế tối đa khả năng bị nhiễm mã độc:

- Thiết lập quyền người sử dụng không ở chế độ quản trị hệ thống (admin) và thiết lập các cấu hình bảo vệ tập tin không cho xóa, sửa các tập tin dữ liệu quan trọng một cách tự động. Ngăn chặn thực thi ứng dụng từ các thư mục chứa dữ liệu.

- Thường xuyên cập nhật bản vá, phiên bản mới nhất cho Hệ điều hành và phần mềm chống mã độc (Kaspersky, Synmatec, Avast, Avira, AVG, BKAV,…). Khuyến khích các cơ quan, tổ chức sử dụng các phần mềm phòng chống mã độc có chức năng đảm bảo an toàn khi truy cập mạng Internet (internet sercurity) và phát hiện mã độc trực tuyến.

- Thường xuyên sử dụng phần mềm diệt mã độc, virus kiểm tra máy tính, ổ lưu trữ để phát hiện sớm nếu xuất hiện mã độc trên thiết bị.

- Cần chú ý cảnh giác với các tập tin đính kèm, các đường dẫn (link) được gửi đến qua thư điện tử hoặc tin nhắn, hạn chế tối đa việc truy cập vào các đường dẫn này vì tin tặc có thể đánh cắp hoặc giả mạo hòm thư điện tử của người gửi phát tán các kết nối chứa mã độc.

- Sử dụng phần mềm diệt virus kiểm tra các tập tin được gửi qua thư điện tử, tải từ trên mạng về trước khi kích hoạt. Nếu không cần thiết hoặc không rõ nguồn gốc thì không kích hoạt các tập tin này.

- Tắt chế độ tự động mở, chạy các tập tin (autoruns) đính kèm theo thư điện tử.

2. Thực hiện sao lưu định kỳ dữ liệu

- Cần tiến hành sao lưu dữ liệu định kỳ, thường xuyên để có thể khôi phục dữ liệu khi máy tính bị Ransomware gây hại.

- Các đơn vị có thể sử dụng các ổ đĩa lưu trữ USB, ổ đĩa gắn ngoài, …để sao lưu dữ liệu. Tuy nhiên cần lưu ý dữ liệu trong các ổ lưu trữ này hoàn toàn có thể bị ảnh hưởng nếu kết nối vào máy tính đã bị nhiễm mã độc Ransomware. Do vậy, phải đảm bảo máy tính chưa bị nhiễm mã độc trước khi sao lưu hoặc khởi động máy tính từ ổ đĩa khởi động ngoài (USB Boot) khi thực hiện sao lưu để đảm bảo an toàn.

- Sử dụng các công cụ, giải pháp chuyên dụng để sao lưu như: các máy chủ quản lý tập tin (file server), máy chủ sao lưu dữ liệu từ xa, các công cụ lưu trữ đám mây cho phép khôi phục lịch sử thay đổi của tập tin mà khi xảy ra sự cố có thể khôi phục lại từ thời điểm trước đó, nghiên cứu, sử dụng những giải pháp mã nguồn mở như Owncloud để triển khai, đưa vào sử dụng.

3. Xử lý khi phát hiện bị lây nhiễm mã độc

- Khi mã độc Ransomware lây nhiễm vào máy tính bị hại, mã độc sẽ tiến hành mã hóa các tập tin dữ liệu trong một khoản thời gian, đồng thời khóa máy tính của người dùng để người dùng không can thiệp tắt các tiến trình đang chạy. Do đó, việc phản ứng nhanh chóng khi phát hiện ra sự cố có thể giúp giảm thiểu thiệt hại cho các dữ liệu chứa trên máy bị nhiễm và tăng khả năng khôi phục các dữ liệu đã bị mã hóa. Cụ thể, đối với các máy tính cá nhân khi phát hiện có dấu hiệu bị nhiễm mã độc Ransomware cần phải nhanh chóng thực hiện các thao tác sau:

- Nhanh chóng tắt máy tính bằng cách ngắt nguồn điện (không sử dụng chức năng shutdown của Hệ điều hành Windows). Cách ly máy tính ra khỏi mạng nội bộ nhằm ngăn ngừa trường hợp có thể lây nhiễm sang các máy tính khác trong hệ thống.

- Không được khởi động lại máy tính theo cách thông thường mà phải khởi động lại máy tính từ Hệ điều hành sạch (từ đĩa CD hoặc từ USB), hoặc tháo ổ cứng ra để kết nối vào máy tính sạch khác, khuyến cáo sử dụng các Hệ điều hành Linux. Sau đó thực hiện kiểm tra các tập tin dữ liệu và sao lưu các dữ liệu chưa bị mã hóa.

D.T

Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây