Cảnh báo hình thức lây nhiễm mới của mã độc mã hóa dữ liệu (Ransomware) và biện pháp xử lý khẩn cấp

Trong thời gian gần đây, mã độc mã hóa dữ liệu để tông tiền người dùng hay còn gọi là mã độc Ransomware đang trở thành ác mộng cho người dùng máy tính, riêng ở Việt nam đã có tới hàng chục nghìn nạn nhân bị mất hoàn toàn dữ liệu, văn bản, số liệu, tư liệu mà dường như 99% không có cách nào có thể khôi phục.

Vấn đề đặc biệt nghiêm trọng khi các mã độc này đang hướng tới các tổ chức hoặc doanh nghiệp , những nơi mà các dữ liệu,tài liệu có thể ảnh hưởng sống còn tới hoạt động của doanh nghiệp, tổ chức. Các dữ liệu này nhiều khi quan trọng hơn nhiều dữ liệu trên các website, hệ thống máy chủ v.v…. 

Rủi ro càng nhân cao khi qua khảo sát của VNIST,hầu hết người dùng ở Việt nam không có các biện pháp lưu trữ dữ liệu tốt nên khi bị mã độc tấn công sẽ hoàn toàn không có khả năng khôi phục lại dữ liệu.

Trong thời gian gần đây, nguy cơ phá huỷ dữ liệu người dùng máy tính do mã độc Ransomware đã xuất hiện trở lại với những đe doạ mới nguy hiểm và khó phòng tránh hơn. Trước đây chỉ khi mã độc Ransomware lây nhiễm vào máy tính mới có thể mã hóa để phá hủy các dữ liệu quan trọng trong ổ cứng như: tệp tin văn bản, số liệu, hình ảnh, video, thiết kế CAD v.v…để yêu cầu người sử dụng nộp tiền chuộc nếu muốn lấy lại dữ liệu nên mã độc này còn được gọi là mã độc mã hóa để tống tiền.
    Tuy nhiên biến thể mới đây có tên CryptoFortress cho phép mã hóa cả các dữ liệu chia sẻ trong mạng nội bộ trên các máy tính khác mà không cần phải cài đặt mã độc lên máy tính của người bị hại. Điều này làm cho nguy hiểm tăng cao và người bị rất khó phát hiện ngay cả khi dữ liệu đã bị phá hủy hoàn toàn. Qua theo dõi về tác hại virus này, nhiều máy tính đã bị phá hủy dữ liệu khi có máy tính lạ bị nhiễm mã độc kết nối vào mạng nội bộ hoặc vô tình kết nối vào các mạng wifi café, wifi công cộng không an toàn.

Gần đây đã liên tục có những biến thể mới gây ra những đe dọa an toàn thông tin cho người dùng như:

- Mã độc tống tiền sử dụng các phương thức phát tán qua email giả mạo để lợi dụng lòng tin, dễ dàng lừa đảo người những người chưa có những kiến thức để phòng tránh ..;

- Điện thoại thông minh cũng đang trở thành nạn nhân tiếp theo của mã độc Ransomware;

- Các nền tảng tưởng như an toàn nhất là Mac OS cũng đã trở thành là nạn nhân của loại mã độc này.

 Hiện tại, mã độc ransomware xuất hiện biến thể mới để sẵn sàng quét sạch cả những dữ liệu vô tình chia sẻ qua mạng nội bộ.

Mã độc ransomware mã hóa dữ liệu mạng nội bộ

Một loại mã độc ransomware mới rất nguy hiểm có tên CryptoFortress vừa được phát hiện, mã độc này có nhiều tính năng mới và nguy hiểm, chúng có thể quét và mã hóa cả những dữ liệu vô tình được chia sẻ qua mạng nội bộ.

Thông thường khi một mã độc Ransomware mã hóa dữ liệu, nó sẽ lấy danh sách các ổ đĩa trong máy tính và mã hóa dữ liệu trên đó. Vì vậy các mạng chia sẻ trong mạng vẫn sẽ an toàn. CryptoFortress sẽ liệt kê toàn bộ các mạng được chia sẻ trong mạng nội bộ qua giao thức SMB để thực hiện mã hóa bất cứ thứ gì mà nó tìm thấy. Như ảnh phân tích bên phía dưới, CryptoFortress đã mã hóa thành công tệp tin text.txt trong một mạng chung thông qua giao thức SMB. Tính năng mới này thay đổi cách nhìn về các mối đe dọa với quản trị mạng khi duy trì các hệ thống mạng nội bộ doanh nghiệp.

Khi mã độc ransomware thực thi, nó sẽ mã hóa dữ liệu thông qua thuật toán RSA và thêm phần mở rộng .frtrss vào các têp tin mà nó đã mã hóa. Tất cả các thư mục đều chứa một tệp tin thông điệp cảnh báo “READ IF YOU WANT YOUR FILES BACK.html”. Cảnh báo này chứa đường dẫn đến máy chủ điều khiển và cho biết số tiền nạn nhân phải trả nếu muốn lấy lại dữ liệu (1 Bitcoin) cũng như địa chỉ ngân hàng nạn nhân phải chuyển đến.

1. Các phương thức lây lan chủ yếu của mã độc mã hóa tài liệu:

- Gửi tập tin đính kèm thư đinẹ tử, khi người dùng mở tập tin thì mã độc sẽ tự động lây nhiễm vào máy tính người dùng;

- Gửi thư điện tử hoạc tin nhắn điện tử có chứa đường dẫn đến mã độc và yêu cầu người dung tải về và cài đặt;

- Ngoài ra máy tính còn có thể lây nhiễm thông qua đường khác như qua các thiết bị lưu trữ, qua quá trình cài đặt phần mềm không rõ nguồn gốc, sao chép dữ liệu từ máy nhiễm,...

2. Các dấu hiệu bị nhiễm mã độc Ransomware

Theo các kết quả phân tích của các chuyên gia VNIST, quá trình phá huỷ dữ liệu của mã độc Ransomware sẽ không thể thực hiện ngay lập tức mà cần một khoảng thời gian nhất định và thường xuất hiện một số dấu hiệu sau mà không rõ lý do:

- Máy tính xử lý chậm;

- Đèn báo ổ cứng hoạt động liên tục;

- Xuất hiện một số thông báo tiếng anh lạ trên màn hình máy tính;

- Một số tệp tin không thể mở được;

- Xuất hiện một số tệp tin có đuôi lạ (ví dụ: .encrypted, .frtrss, , ) v.v…

3. Biện pháp xử lý khi phát hiện lây nhiễm mã độc:

Khi mã độc lây nhiễm vào máy tính, mã độc sẽ tiến hành quét và mã hóa các tập tin trong một khoảng thời gian. Do đó, việc phản ứng nhanh khi phát hiện ra sự cố có thể giúp giảm thiểu thiệt hại cho dữ liệu trên máy tính và tăng khả năng khôi phục dữ liệu bị mã hóa. Cụ thể cần thực hiện các thao tác sau:

- Nhanh chóng tắt máy tính bằng cách ngắt nguồn điện;

- Không được khởi động lại máy tính theo cách thông thường mà phải khởi động từ hệ điều hành sạch (khuyết nghị điều hành Linux) bằng cách khởi động từ CD, USB,... sau đó thực hiện kiểm tra các tập tin dữ liệu và sao lưu các dữ liệu chưa bị mã hóa;

- Các tập tin đã bị mã hóa tương đối khó để giải mã. Tuy nhiên, trong một số trường hợp có thể sử dụng các phần mềm khôi phục dữ liệu như FTK, EaseUs, R-STUDIO,... để khôi phục các tập tin nguyên bản đã bị xóa;

- Cài đặt lại toàn bộ hệ thống, cài đặt phần mềm diệt virus đồng thời thiết lập chế độ cập nhật phiên bản tự động.

Lưu ý: Đối với người sử dụng không chuyên, không có khả năng xử lý phải nhanh chóng ngắt nguồn điện hoặc tìm cách ngắt khẩn cấp máy tính đang sử dụng để hạn chế tối đa việc mất dữ liệu. Sau đó, liên hệ với các chuyên gia để được hỗ trợ kiểm tra, loại bỏ mã độc hoặc khôi phục dữ liệu.

4. Một số biện pháp phòng ngừa hiệu quả

Trên thực tế biện pháp bảo vệ dữ liệu tốt nhất trước khả năng phá hủy của mã độc Ransomware là thực hiện đầy đủ các biện pháp phòng ngừa nhằm ngăn chặn khả năng lây nhiễm, kiểm soát các cơ chế chia sẻ dữ liệu và đặc biệt chú trọng sao lưu dữ liệu định kỳ. Dưới đây là một số biện pháp phòng ngừa đơn giản nhưng khá hiệu quả :

- Sao lưu dữ liệu dự phòng theo định kỳ, tùy mức độ quan trọng của dữ liệu có thể sao lưu trên nhiều phương tiện khác nhau.

- Cài đặt và sử dụng các phần mềm diệt virus có cập nhật thường xuyên;

- Không nên kết nối máy tính vào mạng không an toàn, trong trường hợp bắt buộc phải kết nối thì cần bật chế độ bảo vệ bằng tường lửa;

- Chỉ chia sẻ dữ liệu khi thực sự cần thiết, khi cần chia sẻ dữ liệu thì cần đặt mật khẩu và phân quyền truy cập; Phân quyền hợp lý cho các loại tài khoản người dùng, bảo vệ các tập tin không cho phép xóa, sửa nội dung các tập tin quan trọng;

- Không cho máy tính của người lạ, máy tính không an toàn kết nối vào mạng nội bộ;

- Không nên truy cập vào các đường dẫn, website không tin cậy hoặc bạn không hiểu rõ;

- Không cài đặt tùy tiện các phần mềm được chia sẻ tràn lan trên mạng, trên các website không đủ độ tin cậy; các phần mềm crack, patch…;

- Cảnh giác với các tệp tin nén gửi qua mạng kể cả từ người thân, người quen. Sử dụng phần mềm antivirus để kiểm tra trước khi mở hoặc liên lạc trực tiếp với người gửi để xác minh thông tin;

- Cập nhật đầy đủ các bản vá cho hệ điều hành Windows;

- Theo dõi thường xuyên các cảnh báo từ các chuyên gia bảo mật để cập nhật tình hình.

 

HƯỚNG DẪN AN TOÀN CỦA TỪ SECURITYDAILY

Các mã độc ransomware ngày càng trở nên nguy hiểm và tinh vi hơn, người dùng cần hết sức lưu ý trong các thói quen sử dụng máy tính thông thường. Việc đảm bảo an toàn cho máy tính và dữ liệu quan trọng trở nên khó khăn hơn bao giờ hết, đòi hỏi những kiến thức về bảo mật nhất định đặc biệt là việc cần thiết phải thay đổi một số thói quen sử dụng máy tính thông thường. Để bảo vệ dữ liệu, tài sản của mình, mỗi người dùng nên tạo các thói quen này khi sử dụng máy tính:

- Không mở bất cứ tệp tin không tin cậy nào mà bạn nhận được qua email, facebook, các phần mềm nhắn tin khác. Mã độc hiện nay rất tinh vi, chúng có thể ẩn náu sau các tệp tin tài liệu .doc(x), pdf, xls; các tệp tin thuyết trình powerpoint; các tệp tin ảnh; tệp tin nén;…

- Với những người là chủ doanh nghiệp, lãnh đạo cơ quan nhà nước cần thường xuyên kiểm tra an toàn cho máy tính để phát hiện sớm các mã độc, lỗ hổng bảo mật có thể bị khai thác.

- Không nên truy cập vào các đường dẫn, website không tin cậy hoặc bạn không hiểu rõ;

- Không cài đặt tùy tiện các phần mềm được chia sẻ tràn lan trên mạng; các phần mềm crack, patch…;

- Cài đặt các phần mềm diệt virus để phòng chống các mã độc thông thường;

- Thường xuyên thực hiện sao lưu các dữ liệu quan trọng. Các dịch vụ lưu trữ đám mây là một lựa chọn đáng chú ý vì độ an toàn và bảo mật cao.

(Tổng hợp từ các nguồn VNCERT, VNIST, Sercurity Daily)

Canh bao hinh thuc lay nhiem Ransomware.doc

253.pdf
Tin mới nhất
Thống kê truy cập
  • Đang online: 14
  • Hôm nay: 1380
  • Trong tuần: 16068
  • Tất cả: 7284990