Sở Thông tin và Truyền thông: Cảnh báo mã độc thuộc loại Ransomware mã hóa dữ liệu để tống tiền

                Tình trạng lây lan mã độc mã hóa dữ liệu Ransomware

Theo báo cáo của các đơn vị chuyên làm về bảo mật thì hiện nay đã và đang xuất hiện tình trạng lây lan mã độc mã hóa dữ liệu Ransomware trên Hệ điều hành Microsoft Windows tại Việt Nam. Sở Thông tin và Truyền thông nhận thấy đây là loại mã độc rất nguy hiểm, có thể dẫn đến mất dữ liệu lớn trong các cơ quan, tổ chức và cá nhân, đặc biệt khi bị nhiễm mã độc và các tài liệu đã bị mã hóa thì không thể khôi phục dữ liệu. Hiện nay, tình hình lây lan rất phức tạp, các cơ quan, tổ chức cần chú ý và tăng cường công tác phòng ngừa sự cố có thể xảy ra.

Hai phương pháp lây lan chủ yếu của mã độc Ransomware là: Gửi tập tin nhiễm mã độc kèm theo thư điện tử, khi người dùng kích hoạt tập tin đính kèm thư điện tử sẽ làm lây nhiễm mã độc vào máy tính và gửi thư điện tử hoặc tin nhắn điện tử có chứa đường dẫn đến phần mềm bị giả mạo bởi mã độc Ransomware và đánh lừa người sử dụng truy cập vào đường dẫn này để vô ý tự cài đặt mã độc lên máy tính.

Ngoài ra máy tính còn có thể bị nhiễm thông qua các con đường khác như lây lan qua các thiết bị lưu trữ, lây lan qua cài đặt phần mềm, sao chép dữ liệu, phần mềm…

Mã độc Ransomware sau khi lây nhiễm vào máy tính người bị hại sẽ dò quét các tập tin tài liệu có đuôi mở rộng như: .doc, .docx, .xls, .xlsx, .pdf, .jpg, .zip, .rar,…trên tất cả các thiết bị lưu trữ trên máy tính nạn nhân và tự động mã hóa, đổi tên các tập tin đó bằng cách sử dụng thuật toán mã hóa với khóa công khai, một số loại mã độc còn tiến hành khóa máy tính nạn nhân không cho sử dụng. Sau đó mã độc sẽ yêu cầu người bị hại thanh toán qua mạng (thẻ tín dụng hoặc bitcoin) để lấy được mật khẩu giải mã các tập tin đã bị mã hóa trái phép. Hiện nay vẫn chưa có phần mềm hoặc dịch vụ thương mại nào cho phép giải mã các tập tin đã bị mã độc Ransomware nếu không lấy được mật khẩu giải mã của tin tặc phát tán mã độc.

Cách phòng ngừa các loại mã độc Ransomware

Để phòng ngừa các loại mã độc Ransomware, Sở Thông tin và Truyền thông khuyến cáo các đơn vị thực hiện một số biện pháp sau:

Chú ý phòng ngừa để hạn chế tối đa khả năng bị nhiễm mã độc

Thiết lập quyền người sử dụng không ở chế độ quản trị hệ thống (admin) và thiết lập các cấu hình bảo vệ tập tin không cho xóa, sửa các tập tin dữ liệu quan trọng một cách tự động. Ngăn chặn thực thi ứng dụng từ các thư mục chứa dữ liệu. Thường xuyên cập nhật bản vá, phiên bản mới nhất cho Hệ điều hành và phần mềm chống mã độc (Kaspersky, Synmatec, Avast, Avira, AVG, BKAV,…). Khuyến khích các cơ quan, tổ chức sử dụng các phần mềm phòng chống mã độc có chức năng đảm bảo an toàn khi truy cập mạng Internet (phiên bản Internet sercurity) và phát hiện mã độc trực tuyến.

Thường xuyên sử dụng phần mềm diệt mã độc, virus kiểm tra máy tính, ổ lưu trữ để phát hiện sớm nếu xuất hiện mã độc trên thiết bị. Cần chú ý cảnh giác với các tập tin đính kèm, các đường dẫn (link) được gửi đến qua thư điện tử hoặc tin nhắn, hạn chế tối đa việc truy cập vào các đường dẫn này vì tin tặc có thể đánh cắp hoặc giả mạo hòm thư điện tử của người gửi phát tán các kết nối chứa mã độc.

Sử dụng phần mềm diệt virus kiểm tra các tập tin được gửi qua thư điện tử, tải từ mạng về trước khi kích hoạt (mở ra sử dụng). Nếu không cần thiết hoặc không rõ nguồn gốc thì không kích hoạt (mở ra sử dụng) các tập tin này. Tắt chế độ tự động mở, chạy các tập tin (autoruns) đính kèm theo thư điện tử, USB.

Thực hiện sao lưu định kỳ dữ liệu

Cần tiến hành sao lưu dữ liệu định kỳ, thường xuyên để có thể khôi phục dữ liệu khi máy tính bị Ransomware gây hại. Các đơn vị có thể sử dụng các ổ đĩa lưu trữ USB, ổ đĩa gắn ngoài, …để sao lưu dữ liệu. Tuy nhiên cần lưu ý dữ liệu trong các ổ lưu trữ này hoàn toàn có thể bị ảnh hưởng nếu kết nối vào máy tính đã bị nhiễm mã độc Ransomware. Do vậy, phải đảm bảo máy tính chưa bị nhiễm mã độc trước khi sao lưu hoặc khởi động máy tính từ ổ đĩa khởi động ngoài (USB Boot) khi thực hiện sao lưu để đảm bảo an toàn.

Sử dụng các công cụ, giải pháp chuyên dụng để sao lưu như: Các máy chủ quản lý tập tin (file server), máy chủ sao lưu dữ liệu từ xa, các công cụ lưu trữ đám mây cho phép khôi phục lịch sử thay đổi của tập tin mà khi xảy ra sự cố có thể khôi phục lại từ thời điểm trước đó, nghiên cứu, sử dụng những giải pháp mã nguồn mở như Owncloud để triển khai, đưa vào sử dụng.

Xử lý khi phát hiện bị lây nhiễm mã độc

Khi mã độc Ransomware lây nhiễm vào máy tính bị hại, mã độc sẽ tiến hành mã hóa các tập tin dữ liệu trong một khoảng thời gian, đồng thời khóa máy tính của người dùng để người dùng không can thiệp tắt các tiến trình đang chạy. Do đó, việc phản ứng nhanh chóng khi phát hiện ra sự cố có thể giúp giảm thiểu thiệt hại cho các dữ liệu chứa trên máy bị nhiễm và tăng khả năng khôi phục các dữ liệu đã bị mã hóa. Cụ thể, đối với các máy tính cá nhân khi phát hiện có dấu hiệu bị nhiễm mã độc Ransomware cần phải nhanh chóng thực hiện các thao tác sau:

Nhanh chóng tắt máy tính bằng cách ngắt nguồn điện (chức năng shutdown của Hệ điều hành Windows có thể không còn tác dụng). Cách ly máy tính ra khỏi mạng nội bộ nhằm ngăn ngừa trường hợp có thể lây nhiễm sang các máy tính khác trong hệ thống.

          Không được khởi động lại máy tính theo cách thông thường mà phải khởi động lại máy tính từ Hệ điều hành sạch (từ đĩa CD hoặc USB), hoặc tháo ổ cứng ra để kết nối vào máy tính sạch khác, khuyến cáo sử dụng các Hệ điều hành Linux. Sau đó thực hiện kiểm tra các tập tin dữ liệu và sao lưu các dữ liệu chưa bị mã hóa.

Theo Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam, Ransomeware là cách gọi tên của dạng mã độc mới nhất và có tính nguy hiểm cao độ đối với nhân viên văn phòng, bởi nó sẽ mã hóa toàn bộ các file word, excel và các tập tin khác trên máy tính bị nhiễm làm cho nạn nhân không thể mở được file do bị mã hóa và yêu cầu người nhiễm mã độc trả một số tiền nhất định.

HM