Sở Thông tin và Truyền thông cảnh báo hình thức lây nhiễm mới của mã độc thuộc loại Ransomware mã hóa dữ liệu để tống tiền lần 2.

Hiện nay, Sở Thông tin và Truyền thông đã ghi nhận nhiều trường hợp bị nhiễm mã độc thuộc loại Ransomware mã hóa dữ liệu để tống tiền từ các Sở, ngành, Khối Đảng và cả UBND cấp xã. Tình trạng lây nhiễm mã độc này đặc biệt nghiêm trọng và đang lây lan nhanh chóng, các máy tính đã bị lây nhiễm mã độc chủ yếu là qua hệ thống email, USB. Đây là loại virus đặc biệt nguy hiểm vì khi lây nhiễm sẽ mã hóa tất cả dữ liệu trong máy tính người dùng, hiện nay trên thế giới nói chung và Việt Nam nói riêng chưa có biện pháp để có thể khôi phục lại dữ liệu đã bị mã hóa.

          Để phòng ngừa các loại mã độc Ransomware, Sở Thông tin và Truyền thông khuyến cáo các đơn vị chú ý phòng ngừa để hạn chế tối đa khả năng bị nhiễm mã độc cụ thể thiết lập quyền người sử dụng không ở chế độ quản trị hệ thống (admin) và thiết lập các cấu hình bảo vệ tập tin không cho xóa, sửa các tập tin dữ liệu quan trọng một cách tự động. Ngăn chặn thực thi ứng dụng từ các thư mục chứa dữ liệu; thường xuyên cập nhật bản vá, phiên bản mới nhất cho Hệ điều hành và phần mềm chống mã độc (Kaspersky, Synmatec, Avast, Avira, AVG, BKAV,…). Khuyến khích các cơ quan, tổ chức sử dụng các phần mềm phòng chống mã độc có chức năng đảm bảo an toàn khi truy cập mạng Internet (internet sercurity) và phát hiện mã độc trực tuyến; thường xuyên sử dụng phần mềm diệt mã độc, virus kiểm tra máy tính, ổ lưu trữ để phát hiện sớm nếu xuất hiện mã độc trên thiết bị.

         Cần chú ý cảnh giác với các tập tin đính kèm, các đường dẫn (link) được gửi đến qua thư điện tử hoặc tin nhắn, hạn chế tối đa việc truy cập vào các đường dẫn này vì tin tặc có thể đánh cắp hoặc giả mạo hòm thư điện tử của người gửi phát tán các kết nối chứa mã độc; sử dụng phần mềm diệt virus kiểm tra các tập tin được gửi qua thư điện tử, tải từ trên mạng về trước khi kích hoạt. Nếu không cần thiết hoặc không rõ nguồn gốc thì không kích hoạt các tập tin này. Đồng thời tắt các chế độ tự động mở, chạy các tập tin (autoruns) đính kèm theo thư điện tử.

         Bên cạnh đó, thực hiện việc sao lưu định kỳ, thường xuyên dữ liệu để có thể khôi phục dữ liệu khi máy tính bị Ransomware gây hại. Các đơn vị có thể sử dụng các ổ đĩa lưu trữ USB, ổ đĩa gắn ngoài, …để sao lưu dữ liệu. Tuy nhiên cần lưu ý dữ liệu trong các ổ lưu trữ này hoàn toàn có thể bị ảnh hưởng nếu kết nối vào máy tính đã bị nhiễm mã độc Ransomware. Do vậy, phải đảm bảo máy tính chưa bị nhiễm mã độc trước khi sao lưu hoặc khởi động máy tính từ ổ đĩa khởi động ngoài (USB Boot) khi thực hiện sao lưu để đảm bảo an toàn.

Sử dụng các công cụ, giải pháp chuyên dụng để sao lưu như: các máy chủ quản lý tập tin (file server), máy chủ sao lưu dữ liệu từ xa, các công cụ lưu trữ đám mây cho phép khôi phục lịch sử thay đổi của tập tin mà khi xảy ra sự cố có thể khôi phục lại từ thời điểm trước đó, nghiên cứu, sử dụng những giải pháp mã nguồn mở như Owncloud để triển khai, đưa vào sử dụng.

          Khi mã độc Ransomware lây nhiễm vào máy tính bị hại, mã độc sẽ tiến hành mã hóa các tập tin dữ liệu trong một khoản thời gian, đồng thời khóa máy tính của người dùng để người dùng không can thiệp tắt các tiến trình đang chạy. Do đó, việc phản ứng nhanh chóng khi phát hiện ra sự cố có thể giúp giảm thiểu thiệt hại cho các dữ liệu chứa trên máy bị nhiễm và tăng khả năng khôi phục các dữ liệu đã bị mã hóa. Đối với các máy tính cá nhân khi phát hiện có dấu hiệu bị nhiễm mã độc Ransomware cần phải nhanh chóng tắt máy tính bằng cách ngắt nguồn điện (không sử dụng chức năng shutdown của Hệ điều hành Windows), cách ly máy tính ra khỏi mạng nội bộ nhằm ngăn ngừa trường hợp có thể lây nhiễm sang các máy tính khác trong hệ thống và không được khởi động lại máy tính theo cách thông thường mà phải khởi động lại máy tính từ Hệ điều hành sạch (từ đĩa CD hoặc từ USB), hoặc tháo ổ cứng ra để kết nối vào máy tính sạch khác, khuyến cáo sử dụng các Hệ điều hành Linux. Sau đó thực hiện kiểm tra các tập tin dữ liệu và sao lưu các dữ liệu chưa bị mã hóa.

         Hiện nay, Sở Thông tin và Truyền thông đã giao cho Đội phản ứng nhanh về an toàn thông tin của tỉnh (Tây Ninh CSIRT) thường xuyên theo dõi và kịp thời hỗ trợ các đơn vị trong tỉnh ứng phó với các vấn đề về an toàn an ninh thông tin. Do vậy, nếu không có kinh nghiệm xử lý sự cố này cần yêu cầu sự hỗ trợ sớm của các chuyên gia an toàn thông tin để giảm thiểu các thiệt hại khi xảy ra sự cố thông qua đầu mối: email: duythanh@tayninh.gov.vn hoặc số điện thoại: 0663 611 169, di động: 0932 62 44 62.

Thanh Thanh​