VNCert cho biết đã nhận được nhiều thông tin phản ánh về việc lây nhiễm các phiên bản mới của mã độc Ransomware như CTB Locker/Critroni hoặc Onion trong nhiều cơ quan tổ chức tại Việt Nam.

Tống tiền bằng mã độc

Đây là loại mã độc rất nguy hiểm, có thể dẫn đến mất mát dữ liệu lớn trong các cơ quan, tổ chức và cá nhân, đặc biệt khi bị nhiễm mã độc và các tài liệu đã bị mã hóa thì không thể khôi phục dữ liệu. Một số trường hợp có thể thực hiện được nhưng tốn nhiều thời gian và chi phí và không thể khôi phục lại được toàn bộ dữ liệu.

Mã độc Ransomware tấn công máy tính người dùng đòi tiền chuộc - Ảnh: VNCert

Phương pháp lây lan chủ yếu của mã độc Ransomware là gửi tập tin nhiễm mã độc kèm theo thư điện tử, khi người sử dụng kích hoạt tập tin đính kèm thư điện tử sẽ làm lây nhiễm mã độc vào máy tính.

Hoặc kẻ tấn công có thể gửi thư điện tử hoặc tin nhắn điện tử có chứa đường dẫn đến phần mềm bị giả mạo bởi mã độc Ransomware và đánh lừa người sử dụng truy cập vào đường dẫn này để vô ý tự cài đặt mã độc lên máy tính.

Ngoài ra máy tính còn có thể bị nhiễm thông qua các con đường khác như lây lan qua các thiết bị lưu trữ, lây qua cài đặt phần mềm, sao chép dữ liệu, phần mềm...

Mã độc Ransomware sau khi lây nhiễm vào máy tính người bị hại sẽ dò quét các tập tin tài liệu có đuôi mở rộng như: .doc, .docx, .pdf, .xls, .xlsx, .jpg, .zip.. trên tất cả các thiết bị lưu trữ trên máy nạn nhân và tự động mã hóa và đổi tên các tập tin đó bằng cách sử dụng thuật toán mã hóa với khóa công khai, một số loại mã độc còn tiến hành khóa máy tính nạn nhân không cho sử dụng.

Sau đó mã độc sẽ yêu cầu người bị hại thanh toán qua mạng (thẻ tín dụng hoặc bitcoin) để lấy được mật khẩu giải mã các tập tin đã bị mã hóa trái phép. VNCert cho biết hiện nay vẫn chưa có phần mềm hoặc dịch vụ thương mại nào cho phép giải mã các tập tin đã bị mã độc Ransomware nếu không lấy được mật khẩu giải mã của tin tặc phát tán mã độc.

Làm gì khi bị nhiễm Ransomeware?

Khi mã độc Ransomware lây nhiễm vào máy tính bị hại, mã độc sẽ tiến hành mã hóa các tập tin dữ liệu, khóa máy tính của người dùng để người dùng không thể can thiệp nhằm tắt tiến trình đang chạy. Do quá trình mã hóa được thực hiện trong thời gian dài nên việc phản ứng nhanh chóng khi phát hiện ra sự cố sẽ giúp giảm thiểu thiệt hại cho các dữ liệu chứa trên máy bị nhiễm. Đồng thời làm giảm bớt sự khó khăn trong công tác khôi phục các dữ liệu bị mã hóa sau đó.

Theo hướng dẫn của VNCert, các máy tính cá nhân khi phát hiện ra dấu hiệu bị lây nhiễm mã độc Ransomware cần phải nhanh chóng thực hiện các thao tác sau:

- Nhanh chóng tắt máy tính (tắt nguồn điện, không sử dụng chức năng shutdown của hệ điều hành).

- Mặc dù không có khả năng giải mã các tập tin đã bị mã độc mã hóa nhưng trong một số trường hợp có thể sử dụng các phần mềm khôi phục dữ liệu (FTK, EaseUs, R-STUDIO) để khôi phục các tập tin nguyên bản đã bị xóa. Do vậy, nếu không có kinh nghiệm xử lý sự cố này cần yêu cầu sự hỗ trợ sớm của các chuyên gia an toàn thông tin để giảm thiểu các thiệt hại khi xảy ra sự cố.

- Phải sử dụng khởi động từ hệ thống sạch khi thực hiện sao lưu các dữ liệu chưa bị mã hóa.

- Cài đặt lại toàn bộ hệ thống, cài phần mềm diệt virus cập nhật phiên bản mới nhất và tiến hành quét toàn bộ dữ liệu trên máy tính trước khi sao chép lại các dữ liệu vào máy tính.