VNCERT cảnh báo hình thức lây nhiễm mới của mã độc Ransomware

11:40, Thứ Năm, 10/03/2016 (GMT+7)

VNCERT vừa phát đi cảnh báo về hình thức lây nhiễm mới của mã độc mã hóa tài liệu (Ramsomware).

Theo đó, trong tuần đầu tháng 03/2016, Trung tâm VNCERT ghi nhận cách thức tấn công mới của tin tặc nhằm vào các cơ quan tổ chức có sử dụng các hòm thư điện tử nội bộ. Với cách tấn công mới này, tin tặc sẽ giả mạo một địa chỉ điện tử có đuôi là @tencongty.com.vn để gửi thư điện tử có kèm mã độc đến các người dùng trong công ty đó.

Để qua mặt các hệ thống dò quét mã độc, các mã độc thường được nén lại dưới định dạng .zip hoặc .zar. Qua phân tích của chuyên gia VNCERT với một sự cố cho thấy, tệp tin chứa mã độc .zip chứa bên trong các tệp tin thực thi như .js (đây là một tệp tin Javascript) hoặc tệp tin văn bản như  .doc, .xls..., khi người dùng mở tập tin này mã độc sẽ được kích hoạt và tự động tải tập tin mã độc mã hóa tài liệu và tự thực thi trên máy. Với trường hợp mã độc mã hóa tài liệu, mã độc sẽ tiến hành mã hoá nội dung toàn bộ các dữ liệu trên máy nạn nhân với thuật toán mã hóa mạnh để không thể giải mã được với mục đích bắt cóc dữ liệu trên máy để tống tiền nạn nhân. Với việc giả mạo chính các địa chỉ thư điện tử của đơn vị sẽ làm cho người dùng khó phát hiện các thư giả mạo dẫn đến số lượng các máy tính bị lây nhiễm mã độc mã hóa dữ liệu có thể tăng cao.

Phương thức lây nhiễm chủ yếu của mã độc này là gửi tệp tin đính kèm thư điện tử, khi người dùng mở tệp tin thì mã độc sẽ tự động lây nhiễm vào máy tính người dùng. Gửi thư điện tử, hoặc tin nhắn điện tử có chứa đường dẫn đến mã độc và yêu cầu người dùng tải về và cài đặt. Ngoài ra máy tính còn có thể bị lây nhiễm thông qua đường khác như qua các thiết bị lưu trữ, qua quá trình cài đặt phần mềm không rõ nguồn gốc, sao chép dữ liệu từ máy nhiễm...

Theo VNCERT, dấu hiệu nhận biết loại mã độc này sau khi bị nhiễm là các tài liệu, văn bản sẽ bị thay đổi nội dung và đổi tên phần mở rộng, phổ biến là các tệp tin có định dạng: .doc, .docx, .pdf, .xls, .jpg, .txt, .ppt, .pptx...một số loại còn khóa máy tính không cho sử dụng và đòi tiền chuộc.

Để phòng ngừa các loại mã độc này lây nhiễm, VNCERT khuyến có người dùng nên cài đặt và thường xuyên cập nhật hệ điều hành, phần mềm chống mã độc như Kaspersky, Symantec..., cảnh giác với các đường link gửi kèm, tắt ccs chế độ tự động mở, chạy tệp tin đính kèm theo thư điện tử...

Còn khi đã bị nhiễm mã độc, người dùng cần tiến hành quét và mã hóa các tệp tin, nhanh chóng tắt máy tính bằng cách ngắt nguồn điện, không khởi động lại máy tính theo cách thông thường mà phải khởi động từ hệ điều hành sạch khác như từ ổ đĩa CD, USB...sau đó thực hiện kiểm tra các tệp tin dữ liệu và sao lưu các dữ liệu chưa bị mã hóa.

P.V

.
.
.

.
.
.