Cảnh báo hình thức lây nhiễm mới của mã độc mã hóa dữ liệu (Ransomware) và biện pháp xử lý khẩn cấp
Trong thời gian gần đây, mã độc mã hóa dữ liệu để
tông tiền người dùng hay còn gọi là mã độc Ransomware đang trở thành ác mộng
cho người dùng máy tính, riêng ở Việt nam đã có tới hàng chục nghìn nạn nhân bị
mất hoàn toàn dữ liệu, văn bản, số liệu, tư liệu mà dường như 99% không có cách
nào có thể khôi phục.
Vấn đề đặc biệt nghiêm trọng khi
các mã độc này đang hướng tới các tổ chức hoặc doanh nghiệp , những nơi mà các
dữ liệu,tài liệu có thể ảnh hưởng sống còn tới hoạt động của doanh nghiệp,
tổ chức. Các dữ liệu này nhiều khi quan trọng hơn nhiều dữ liệu trên các website,
hệ thống máy chủ v.v….
Rủi ro càng nhân cao khi qua khảo
sát của VNIST,hầu hết người dùng ở Việt nam không có các biện pháp lưu trữ dữ
liệu tốt nên khi bị mã độc tấn công sẽ hoàn toàn không có khả năng khôi
phục lại dữ liệu.
Trong thời gian gần đây, nguy cơ
phá huỷ dữ liệu người dùng máy tính do mã độc Ransomware đã xuất hiện trở lại
với những đe doạ mới nguy hiểm và khó phòng tránh hơn. Trước đây chỉ khi mã độc
Ransomware lây nhiễm vào máy tính mới có thể mã hóa để phá hủy các dữ liệu quan
trọng trong ổ cứng như: tệp tin văn bản, số liệu, hình ảnh, video, thiết kế CAD
v.v…để yêu cầu người sử dụng nộp tiền chuộc nếu muốn lấy lại dữ liệu nên mã độc
này còn được gọi là mã độc mã hóa để tống tiền.
Tuy nhiên biến thể mới đây có tên CryptoFortress cho phép mã hóa cả các dữ liệu
chia sẻ trong mạng nội bộ trên các máy tính khác mà không cần phải cài đặt mã
độc lên máy tính của người bị hại. Điều này làm cho nguy hiểm tăng cao và người
bị rất khó phát hiện ngay cả khi dữ liệu đã bị phá hủy hoàn toàn. Qua theo dõi
về tác hại virus này, nhiều máy tính đã bị phá hủy dữ liệu khi có máy tính lạ
bị nhiễm mã độc kết nối vào mạng nội bộ hoặc vô tình kết nối vào các mạng wifi
café, wifi công cộng không an toàn.
Gần đây đã liên tục có những biến
thể mới gây ra những đe dọa an toàn thông tin cho người dùng như:
- Mã độc tống tiền sử dụng các
phương thức phát tán qua email giả mạo để lợi dụng lòng tin, dễ dàng lừa
đảo người những người chưa có những kiến thức để phòng tránh ..;
- Điện thoại thông minh cũng
đang trở thành nạn nhân tiếp theo của mã độc Ransomware;
- Các nền tảng tưởng như an toàn
nhất là Mac OS cũng đã trở thành là nạn nhân của loại mã độc này.
Hiện tại, mã độc ransomware
xuất hiện biến thể mới để sẵn sàng quét sạch cả những dữ liệu vô tình chia sẻ
qua mạng nội bộ.
Mã độc ransomware mã hóa dữ liệu mạng nội bộ
Một loại mã độc ransomware mới rất
nguy hiểm có tên CryptoFortress vừa được phát hiện, mã độc này có
nhiều tính năng mới và nguy hiểm, chúng có thể quét và mã hóa cả những dữ liệu
vô tình được chia sẻ qua mạng nội bộ.
Thông thường khi một mã độc
Ransomware mã hóa dữ liệu, nó sẽ lấy danh sách các ổ đĩa trong máy tính và mã
hóa dữ liệu trên đó. Vì vậy các mạng chia sẻ trong mạng vẫn sẽ an toàn.
CryptoFortress sẽ liệt kê toàn bộ các mạng được chia sẻ trong mạng nội bộ qua
giao thức SMB để thực hiện mã hóa bất cứ thứ gì mà nó tìm thấy. Như ảnh phân
tích bên phía dưới, CryptoFortress đã mã hóa thành công tệp tin text.txt trong
một mạng chung thông qua giao thức SMB. Tính năng mới này thay đổi
cách nhìn về các mối đe dọa với quản trị mạng khi duy trì các hệ thống
mạng nội bộ doanh nghiệp.
Khi mã độc ransomware thực thi, nó
sẽ mã hóa dữ liệu thông qua thuật toán RSA và thêm phần mở rộng .frtrss
vào các têp tin mà nó đã mã hóa. Tất cả các thư mục đều chứa một tệp tin thông
điệp cảnh báo “READ IF YOU WANT YOUR FILES BACK.html”. Cảnh báo này chứa
đường dẫn đến máy chủ điều khiển và cho biết số tiền nạn nhân phải trả nếu muốn
lấy lại dữ liệu (1 Bitcoin) cũng như địa chỉ ngân hàng nạn nhân phải
chuyển đến.
1. Các phương thức lây lan chủ yếu của mã độc mã hóa
tài liệu:
- Gửi tập tin đính kèm thư đinẹ
tử, khi người dùng mở tập tin thì mã độc sẽ tự động lây nhiễm vào máy tính
người dùng;
- Gửi thư điện tử hoạc tin nhắn
điện tử có chứa đường dẫn đến mã độc và yêu cầu người dung tải về và cài đặt;
- Ngoài ra máy tính còn có thể lây
nhiễm thông qua đường khác như qua các thiết bị lưu trữ, qua quá trình cài đặt
phần mềm không rõ nguồn gốc, sao chép dữ liệu từ máy nhiễm,...
2. Các dấu hiệu bị nhiễm mã độc Ransomware
Theo các kết quả phân tích của các
chuyên gia VNIST, quá trình phá huỷ dữ liệu của mã độc Ransomware sẽ không thể
thực hiện ngay lập tức mà cần một khoảng thời gian nhất định và thường xuất
hiện một số dấu hiệu sau mà không rõ lý do:
- Máy tính xử lý chậm;
- Đèn báo ổ cứng hoạt động liên
tục;
- Xuất hiện một số thông báo tiếng
anh lạ trên màn hình máy tính;
- Một số tệp tin không thể mở được;
- Xuất hiện một số tệp tin có đuôi
lạ (ví dụ: .encrypted, .frtrss, , ) v.v…
3. Biện pháp xử lý khi phát hiện lây nhiễm mã độc:
Khi mã độc lây nhiễm vào máy tính,
mã độc sẽ tiến hành quét và mã hóa các tập tin trong một khoảng thời gian. Do
đó, việc phản ứng nhanh khi phát hiện ra sự cố có thể giúp giảm thiểu thiệt hại
cho dữ liệu trên máy tính và tăng khả năng khôi phục dữ liệu bị mã hóa. Cụ thể
cần thực hiện các thao tác sau:
- Nhanh chóng tắt máy tính bằng
cách ngắt nguồn điện;
- Không được khởi động lại máy
tính theo cách thông thường mà phải khởi động từ hệ điều hành sạch (khuyết nghị
điều hành Linux) bằng cách khởi động từ CD, USB,... sau đó thực hiện kiểm tra
các tập tin dữ liệu và sao lưu các dữ liệu chưa bị mã hóa;
- Các tập tin đã bị mã hóa tương
đối khó để giải mã. Tuy nhiên, trong một số trường hợp có thể sử dụng các phần
mềm khôi phục dữ liệu như FTK, EaseUs, R-STUDIO,... để khôi phục các tập tin
nguyên bản đã bị xóa;
- Cài đặt lại toàn bộ hệ thống,
cài đặt phần mềm diệt virus đồng thời thiết lập chế độ cập nhật phiên bản tự
động.
Lưu ý: Đối với người sử dụng không chuyên, không có khả năng xử lý
phải nhanh chóng ngắt nguồn điện hoặc tìm cách ngắt khẩn cấp máy tính đang sử
dụng để hạn chế tối đa việc mất dữ liệu. Sau đó, liên hệ với các chuyên gia để
được hỗ trợ kiểm tra, loại bỏ mã độc hoặc khôi phục dữ liệu.
4. Một số biện pháp phòng ngừa hiệu quả
Trên thực tế biện pháp bảo vệ dữ
liệu tốt nhất trước khả năng phá hủy của mã độc Ransomware là thực hiện đầy đủ
các biện pháp phòng ngừa nhằm ngăn chặn khả năng lây nhiễm, kiểm soát các cơ
chế chia sẻ dữ liệu và đặc biệt chú trọng sao lưu dữ liệu định kỳ. Dưới đây là
một số biện pháp phòng ngừa đơn giản nhưng khá hiệu quả :
- Sao lưu dữ liệu dự phòng theo
định kỳ, tùy mức độ quan trọng của dữ liệu có thể sao lưu trên nhiều phương
tiện khác nhau.
- Cài đặt và sử dụng các phần mềm
diệt virus có cập nhật thường xuyên;
- Không nên kết nối máy tính vào
mạng không an toàn, trong trường hợp bắt buộc phải kết nối thì cần bật chế độ bảo
vệ bằng tường lửa;
- Chỉ chia sẻ dữ liệu khi thực sự
cần thiết, khi cần chia sẻ dữ liệu thì cần đặt mật khẩu và phân quyền truy cập;
Phân quyền hợp lý cho các loại tài khoản người dùng, bảo vệ các tập tin không
cho phép xóa, sửa nội dung các tập tin quan trọng;
- Không cho máy tính của người lạ,
máy tính không an toàn kết nối vào mạng nội bộ;
- Không nên truy cập vào các đường
dẫn, website không tin cậy hoặc bạn không hiểu rõ;
- Không cài đặt tùy tiện các phần
mềm được chia sẻ tràn lan trên mạng, trên các website không đủ độ tin cậy; các
phần mềm crack, patch…;
- Cảnh giác với các tệp tin nén
gửi qua mạng kể cả từ người thân, người quen. Sử dụng phần mềm antivirus để kiểm
tra trước khi mở hoặc liên lạc trực tiếp với người gửi để xác minh thông tin;
- Cập nhật đầy đủ các bản vá cho
hệ điều hành Windows;
- Theo dõi thường xuyên các cảnh
báo từ các chuyên gia bảo mật để cập nhật tình hình.
HƯỚNG DẪN AN TOÀN CỦA TỪ SECURITYDAILY
Các mã độc ransomware ngày càng
trở nên nguy hiểm và tinh vi hơn, người dùng cần hết sức lưu ý trong các thói
quen sử dụng máy tính thông thường. Việc đảm bảo an toàn cho máy tính và
dữ liệu quan trọng trở nên khó khăn hơn bao giờ hết, đòi hỏi những kiến thức về
bảo mật nhất định đặc biệt là việc cần thiết phải thay đổi một số thói quen sử
dụng máy tính thông thường. Để bảo vệ dữ liệu, tài sản của mình, mỗi người dùng
nên tạo các thói quen này khi sử dụng máy tính:
- Không mở bất cứ tệp tin không
tin cậy nào mà bạn nhận được qua email, facebook, các phần mềm nhắn tin khác.
Mã độc hiện nay rất tinh vi, chúng có thể ẩn náu sau các tệp tin tài liệu
.doc(x), pdf, xls; các tệp tin thuyết trình powerpoint; các tệp tin ảnh; tệp
tin nén;…
- Với những người là chủ doanh
nghiệp, lãnh đạo cơ quan nhà nước cần thường xuyên kiểm tra an toàn cho máy
tính để phát hiện sớm các mã độc, lỗ hổng bảo mật có thể bị khai thác.
- Không nên truy cập vào các đường
dẫn, website không tin cậy hoặc bạn không hiểu rõ;
- Không cài đặt tùy tiện các phần
mềm được chia sẻ tràn lan trên mạng; các phần mềm crack, patch…;
- Cài đặt các phần mềm diệt virus
để phòng chống các mã độc thông thường;
- Thường xuyên thực hiện sao lưu
các dữ liệu quan trọng. Các dịch vụ lưu trữ đám mây là một lựa chọn
đáng chú ý vì độ an toàn và bảo mật cao.
(Tổng hợp từ các nguồn VNCERT, VNIST, Sercurity Daily)
Canh bao hinh thuc lay nhiem Ransomware.doc
253.pdf