(Internetvietnam) Theo chuyên gia an ninh mạng Nguyễn Minh Đức cho biết, khi bị mã hoá, chúng ta không có cách nào giải mã được các file nếu như không có khoá. Vì vậy, nhiều người đã bắt buộc phải trả tiền cho kẻ phát tán mã độc để lấy lại những file quan trọng. Trong trường hợp này, “phòng cháy hơn chữa cháy”.
Từ trưa ngày 21/1, tôi bắt đầu nhận được một số lời đề nghị trợ giúp về việc hệ thống mạng máy tính của một số cơ quan, trong đó có cả ngân hàng lớn, tại Việt Nam bị nhiễm một mã độc mới.
Khi lây nhiễm được vào máy tính của nạn nhân, mã độc quét toàn bộ ổ đĩa và tiến hành mã hoá các file bằng mã hoá khoá công khai (public key cryptography). Hầu hết các file quan trọng trên máy tính (định dạng .doc, pdf, xls, jpg, zip…) sẽ không thể mở được nữa. Việc này đi kèm với một thông báo trên desktop đòi tiền chuộc nếu muốn giải mã những file của nạn nhân. Để giải mã được các file này bắt buộc phải có khoá bí mật (private key) mà chỉ có kẻ phát tán mới có. Điều này có nghĩa là chúng ta không thể khôi phục lại được các file đã bị mã hoá trừ khi chấp nhận trả tiền cho chúng.
Các file trên máy đã bị mã hoá.
Xuất hiện thông báo đòi tiền chuộc trên desktop.
Câu chuyện bắt đầu khi nạn nhân nhận được một e-mail có chứa file đính kèm và người dùng tưởng là một file văn bản.
Bản chất file đính kèm là một file độc hại. Tuy nhiên nó không phải là con mã độc tống tiền CTBLocker, mà là một con downloader, có định dạng .scr (Screen Saver), và tên trùng với tên file được đính kèm trong mail.
Con downloader sẽ kích hoạt WordPad để hiển thị một file văn bản, đúng với nội dung trong e-mail. Điều này khiến người dùng nghĩ rằng file đính kèm này chứa văn bản thật.
Tuy nhiên, nhiệm vụ chính của downloader là tải các file độc hại khác xuống. Trong trường hợp này, nó kết nối tới máy chủ sẽ tải xuống 1 file .exe.
Con 24967891.exe tiếp tục “đẻ” ra 2 file là dvnoijl.job và qechhwi.exe (tên file có thể khác nhau trên các máy tính khác nhau).
Con qechhwi.exe mới là nhân vật chính của chúng ta, nhiệm vụ của nó là mã hoá tất cả các file .doc, pdf, xls, jpg, zip… trên máy tính của nạn nhân, sau đó hiển thị thông báo doạ nạt và tống tiền.
Mã độc mở các thư mục và mã hoá file.
Kẻ tống tiền sử dụng hệ thống TOR (The Onion Router) để kết nối máy nạn nhân với máy chủ điều khiển.
Vậy chúng ta nên làm gì?
Thực tế, khi bị mã hoá, chúng ta không có cách nào giải mã được các file nếu như không có khoá. Vì vậy, nhiều người đã bắt buộc phải trả tiền cho kẻ phát tán để lấy lại những file quan trọng của mình. Trong trường hợp này thì “phòng cháy hơn chữa cháy”.
Để không bị lây nhiễm những mã độc tống tiền, chúng ta nên:
– Trang bị cho mình một phần mềm diệt virus cập nhật thường xuyên. Chúng ta có thể sử dụng phần mềm miễn phí đủ tốt của Microsoft là Windows Defender (Windows 8) và Microsoft Security Essentials (Windows 7 trở xuống). Hoặc chúng ta có thể mua các phần mềm diệt virus khác để có thể hỗ trợ kỹ thuật.
– Cảnh giác với các file đính kèm trong e-mail. Tốt nhất là không mở file đối với e-mail gửi từ người lạ.
– Chỉ tải các file cài đặt từ website chính gốc.
– Không bấm vào các đường link nhận được qua chat hay e-mail.
– Thường xuyên back-up các file tài liệu của mình.
Trước đó, trong đánh giá công bố ngày 13/1/2015 về tình hình an ninh mạng thế giới năm 2014, chuyên gia bảo mật FPT Nguyễn Minh Đức cũng đã nhấn mạnh đến sự xuất hiện của nhiều loại mã độc nguy hiểm trong năm 2014. Theo AV-Test, có đến hơn 140 triệu loại mã độc mới xuất hiện trong năm 2014, nhiều hơn hẳn so với các năm trước. Bên cạnh sự vượt trội về số lượng, chúng ta cũng có thể thấy 2014 xuất hiện nhiều mã độc có đặc điểm khác biệt so với các mã độc khác. Đặc biệt, dự báo về an ninh mạng năm 2015, anh Đức cho rằng một trong 8 xu hướng lớn chính là: mã độc trên di động tiếp tục tăng nhanh và sẽ xuất hiện nhiều biến thể phần mềm mã hoá tống tiền (ransomware) trên di động.
Nguồn: https://internetvietnam.net