-Mã độc mới chuyên tống tiền xuất hiện tại Việt NamSau khi lây nhiễm, phần mềm CTBLocker sẽ quét ổ đĩa máy tính và mã hóa các file để người sử dụng không thể mở được nữa.
Ông Nguyễn Minh Đức, chuyên gia bảo mật thuộc Ban Công nghệ FPT, cho biết từ trưa ngày 21/1, ông nhận được lời đề nghị trợ giúp về việc hệ thống mạng máy tính của một số cơ quan, trong đó có cả ngân hàng lớn tại Việt Nam, bị nhiễm một loại mã độc mới.
Khi thâm nhập được vào máy tính của nạn nhân, mã độc quét toàn bộ ổ đĩa của máy tính và mã hoá các file bằng mã hoá khoá công khai (public key cryptography). Hầu hết các tệp tin quan trọng trên máy tính với định dạng .doc, pdf, xls, jpg, zip… sẽ không thể mở được. Để giải mã bắt buộc phải có khoá bí mật (private key) mà chỉ có kẻ phát tán mới có và nạn nhân sẽ nhận được thông báo trên desktop đòi tiền chuộc nếu muốn giải mã file.
Ông Đức cho hay, mọi chuyện bắt đầu khi người sử dụng nhận được một e-mail có chứa file đính kèm giả như một file văn bản. File này thực chất là một downloader có định dạng .scr (Screen Saver) với tên trùng với tên file đính kèm trong e-mail.
Downloader sẽ kích hoạt WordPad để hiển thị một file văn bản đúng với nội dung trong e-mail, khiến người dùng nghĩ tệp tin đính kèm này chứa văn bản thật. Tuy nhiên, nhiệm vụ của downloader là tải các file độc hại khác xuống và trong trường hợp này, nó kết nối tới máy chủ để tải xuống một file .exe. File .exe này tiếp tục sinh ra 2 file .job và .exe khác và tệp .exe sau này mới là "nhân vật chính" với khả năng mã hoá tất cả các file .doc, pdf, xls, jpg, zip… trên máy tính nạn nhân rồi hiển thị thông báo doạ nạt, tống tiền.
Nạn nhân nhận được e-mail với file chứa mã độc giả là file văn bản thông thường.
Sau khi thâm nhập, mã độc sẽ mã hóa các file. Trong ảnh là những file đã bị mã hóa.
Sau đó, nạn nhân nhận được thông báo phải nộp tiền chuộc trong vòng 96 giờ, nếu không file sẽ bị mã hóa vĩnh viễn. Kẻ tấn công yêu cầu nạn nhân thanh toán số tiền chuộc là 3 bitcoin, tương đương 630 USD, trong khi các phiên bản mã độc trước chỉ đòi khoảng 100 USD.
Chúng còn giải mã "demo" 5 tệp tin để nạn nhân tin tưởng.
"Khi bị mã hóa, chúng ta không có cách nào giải mã được file nếu không có khoá. Vì vậy, nhiều người đã buộc phải trả tiền cho kẻ phát tán để lấy lại những file quan trọng của mình. Trong trường hợp này thì phòng cháy hơn chữa cháy", ông Đức nhận định.
Để tránh bị lây nhiễm, người sử dụng nên sử dụng các phần mềm diệt virus được cập nhật thường xuyên, cảnh giác với các file đính kèm trong e-mail và tốt nhất là không mở file khi nhận được từ người lạ và chỉ tải các file cài đặt từ website chính gốc. Bên cạnh đó, họ cũng không nên bấm vào những đường link nhận được qua chat hay e-mail và thường xuyên sao lưu file tài liệu của mình.
Công ty công nghệ Bkav cũng cho biết, hệ thống giám sát của họ đã phát hiện biến thể mới của dòng mã độc chuyên tống tiền đang phát tán mạnh tại Việt Nam.
"Theo dõi cho thấy hàng loạt người dùng trong nước đã nhận được các e-mail spam có đính kèm file .zip mà khi mở file này, máy tính của người dùng sẽ bị kiểm soát, các file dữ liệu (Word, Excel) bị mã hóa, không thể mở ra được. Theo phân tích của Bkav, dữ liệu đã bị mã hóa sẽ không thể được khôi phục vì hacker sử dụng thuật mã hóa công khai và khóa bí mật dùng để giải mã chỉ được lưu trên server của hacker", Bkav cho hay.
Công ty này đã cập nhật phương án xử lý virus này vào phiên bản diệt virus mới nhất còn khách hàng sử dụng phiên bản Bkav Pro sẽ được tự động bảo vệ nhờ tính năng phát hiện thông minh Anti Ransomware. "Trong trường hợp bắt buộc phải mở để xem nội dung, người sử dụng có thể mở file trong môi trường cách ly an toàn Safe Run", chuyên gia của Bkav khuyến cáo.
(KHPT Online) Trong những ngày gần đây, Kaspersky Lab đã nhận được nhiều yêu cầu hỗ trợ từ người dùng Việt Nam liên quan đến việc dữ liệu trong máy tính bị lây nhiễm mã độc Ransomware (loại mã độc mã hóa file), dẫn đến trình trạng không thể phục hồi các file đã bị mã hóa. Ransomware chỉ có thể hoạt động sau khi được cài đặt trên một máy tính. Các sản phẩm của Kaspersky Lab đã ngăn chặn khá nhiều các lây lan.
Trước khả năng có thể lây lan rộng rãi của loại mã độc này, Kaspersky Lab vừa đưa ra một số khuyến cáo để người dùng máy tính lưu ý và cẩn trọng:
1. Không mở các file đính kèm từ những email chưa rõ danh tính.
2. Luôn đảm bảo hệ điều hành, phần mềm, các ứng dụng và phần mềm diệt virus được cập nhật thường xuyên và không tắt chương trình Kaspersky trong mọi thời điểm
3. Đảm bảo tính năng System Watcher (giám sát hệ thống) của Kaspersky đã được bật.
4. Thường xuyên sao lưu dữ liệu và bảo vệ dữ liệu bằng các thiết bị rời; cấu hình hạn chế truy cập đến các thư mục chia sẻ trong mạng.
5. Bật tính năng System Protection (System Restore) cho tất cả các ổ đĩa.
Người dùng có thể tham khảo thêm cách “cấu hình thiết lập KES” tại http://support.kaspersky.co.uk/10905#block1
Trong trường hợp file đã bị mã hóa, người dùng hãy:
1. Tắt tính năng tự động xóa các file bị nhiễm mã độc và đảm bảo rằng file bị nhiễm nằm trong khu vực cách ly của chương trình Kaspersky.
2. Nén (đặt password trong file nén) các file đáng ngờ rồi gửi file nén đến các chuyên gia Kaspersky qua email newvirus@kaspersky.com.
3. Thử khôi phục các file bị ảnh hưởng từ Windows (nếu dùng Windows 8 thì vào http://windows.microsoft.com/en-MY/windows-8/how-use-file-history; hoặc vào http://windows.microsoft.com/en-my/windows7/recover-lost-or-deleted-files nếu đang dùng Widnos 7); thử dùng các công cụ giải mã của Kaspersky như RectorDecryptor, XoristDecryptor, RakhniDecryptor.
. Ransomware và những điều cần biết
Đây là cách gọi tên của dạng mã độc mới nhất và có tính nguy hiểm cao độ đối với nhân viên văn phòng, bởi nó sẽ mã hóa toàn bộ các file word, excel và các file khác trên máy tính bị nhiễm làm cho nạn nhân không thể mở được file.
Theo nhận dạng của các chuyên gia của Kaspersky Lab, tại Việt Nam, các trường hợp bị nhiễm là do một thành viên của Ransomware - Trojan-Ransom.Win32.Onion gây nên.
Các thành viên của Ransomware sử dụng công nghệ mã hóa “Public-key”, vốn là một phương pháp đáng tin cậy nhằm bảo vệ các dữ liệu nhạy cảm. Tội phạm mạng đã lợi dụng công nghệ này và tạo ra những chương trình độc hại để mã hóa dữ liệu của người dùng. Một khi dữ liệu đã bị mã hóa thì chỉ có một chìa khóa đặc biệt bí mật mới có thể giải mã được. Và bọn chúng thường tống tiền người dùng để trao đổi chìa khóa bí mật này. Nguy hiểm ở chỗ, chỉ duy nhất chìa khóa bí mật này mới có thể giải mã được và phục hồi dữ liệu.
Các chuyên gia của Kaspersky Lab đã nghiên cứu không ngừng để chống lại các phần mềm độc hại này. “Trong một số trường hợp cụ thể, chúng tôi có thể phân tích được loại mật mã được sử dụng để lập trình nên mã độc. Tuy nhiên, cũng có một số Ransomware tuyệt nhiên không để lộ bất kỳ thông tin quan trọng nào. Thêm vào đó, một số Ransomware được tạo ra với mục đích là dữ liệu sẽ không bao giờ được phục hồi dù có tìm ra được chìa khóa đi chăng nữa”, một chuyên gia của Kaspersky Lab, cho biết.
