Theo VNCERT thì trong tuần đầu tháng 3-2016, Trung tâm đã ghi nhận cách thức tấn công mới của tin tặc nhằm vào các cơ quan tổ chức có sử dụng email nội bộ. Cụ thể, tin tặc sẽ giả mạo một địa chỉ email có phần mở rộng dưới tên công ty (xxxx@tencongty.com.vn) để gửi đính kèm mã độc bên trong đến người dùng.
Dấu hiệu nhận biết máy bị nhiễm loại mã độc mã hóa dữ liệu là các tài liệu, văn bản bị thay đổi nội dung và phần mở rộng tập tin (.docx, .pdf) bị đổi tên.
Mã độc mã hóa thường ẩn núp dưới các dạng file nén như “.zip” hoặc “.zar” dể có thể qua mặt hệ thống quét mã độc. Theo phát hiện của chuyên gia VNCERT thì các file này bên trong chứa các tập tin thực thi như “.js” (đoạn mã Javascript) hoặc “.doc”, “.xls”…. Một khi người dùng truy cập chúng, mã độc sẽ kích hoạt, tự động tải về máy tính.
Sau đó mã độc sẽ tiến hành mã hóa toàn bộ các dữ liệu có trên máy tính nạn nhân bằng một thuật toán mã hóa đủ mạnh để không thể giải mã được. Bằng cách này chúng sẽ tiến hành tống tiền nạn nhân để đổi lại phần dữ liệu đã bị mã hóa.
Theo VNCERT, ngoài việc gửi tập tin đính kèm file chứa mã độc trong thư điện tử giả mạo, người dùng cũng nên cẩn thận với các liên kết kèm theo trong các tin nhắn hoặc thư điện tử gửi đến. Vì cách này khiến người dùng khó phát hiện, dẫn đến số lượng các máy tính bị lây nhiễm mã độc mã hóa dữ liệu có thể tăng cao.
Theo VNCERT, khi mã độc lây nhiễm vào máy tính, mã độc sẽ tiến hành quét và mã hóa các tập tin trong một khoảng thời gian. Do đó, ngay sau khi phát hiện có dấu hiệu bị lây nhiễm, cần thực hiện các thao tác: nhanh chóng tắt máy tính bằng cách ngắt nguồn điện; không được khởi động lại máy tính theo cách thông thường mà phải khởi động từ hệ điều hành sạch khác (khuyến nghị hệ điều hành Linux) như từ ổ đĩa CD, USB… sau đó thực hiện kiểm tra các tập tin dữ liệu và sao lưu các dữ liệu chưa bị mã hóa.
Việc phản ứng nhanh khi phát hiện ra sự cố có thể giúp giảm thiểu thiệt hại cho dữ liệu trên máy tính và tăng khả năng khôi phục dữ liệu bị mã hóa. Hiện các tập tin đã bị mã hóa tương đối khó giải mã, tuy nhiên trong một số trường hợp vẫn có thể sử dụng một số phần mềm để khôi phục dữ liệu.
Để phòng ngừa, hạn chế tối đa khả năng bị nhiễm mã độc mã hóa dữ liệu, VNCERT khuyến cáo các đơn vị thực hiện các biện pháp: phân quyền hợp lý cho các loại tài khoản người dùng, bảo vệ các tệp tin không cho phép xóa, sửa nội dung các tệp tin quan trọng; cài đặt và thường xuyên cập nhật cho hệ điều hành, phần mềm chống mã độc; chú ý cảnh giác với các tệp tin đính kèm, các đường liên kết ẩn được gửi đến thư điện tử người dùng kể cả người gửi từ trong nội bộ; thực hiện các biện pháp kỹ thuật nhằm kiểm tra xác thực người dùng trên máy chủ gửi email của đơn vị, tránh bị giả mạo người gửi từ nội bộ; đồng thời tắt các chế độ tự động mở, chạy tập tin đính kèm theo thư điện tử.
và quét mã QR
Bình luận (0)