Mã độc mã hoá dữ liệu & tống tiền

(PCWorldVN) Ransomware là một loại mã độc tống tiền người dùng bằng cách xâm nhập vào máy tính, điện thoại thông minh và mã hoá dữ liệu của nạn nhân, buộc họ phải nộp tiền chuộc để nhận lại dữ liệu đã bị mã hoá.

Trong thời gian vừa qua hàng loạt điện thoại thông minh, máy tính tại Việt Nam bị nhiễm một loại mã độc tống tiền. Loại mã độc này tìm cách xâm nhập vào thiết bị của người dùng và mã hoá dữ liệu trên đó, sau đó buộc nạn nhân phải nộp tiền chuộc để nhận lại dữ liệu đã bị mã hoá. Dữ liệu đã bị mã hoá không thể khôi phục lại vì hacker đã dùng các thuật toán bí mật để mã hoá, công cụ giải mã lại lưu trữ tại máy chủ do hacker quản lý.

Theo hãng bảo mật Trend Micro đến từ Nhật Bản, thì loại mã độc này thuộc dòng Ransomware (một loại mã độc khoá dữ liệu tống tiền người dùng) mang tên Critroni hay còn gọi là CTB Locker (Curve-Tor-Bitcoin Locker) xuất hiện từ tháng 7-2014.

Màn hình của một nạn nhân của CTB Locker tại Việt Nam

Cho đến nay, CTB Locker đã có thêm nhiều biến thể mới với các tính năng như “giải mã miễn phí một số file” nhằm thuyết phục nạn nhân chi trả tiền là cách hiệu quả để cứu dữ liệu; cho gia hạn thời hạn chuộc dữ liệu và tuỳ chọn ngôn ngữ thông báo tống tiền.

“Biến thể mới của CTB Locker yêu cầu nạn nhân nộp tiền chuộc với số tiền 3 Bitcoin (loại tiền ảo, tương đương 630 USD với tỷ giá thời điểm hiện tại) và cho nạn nhân 96 giờ để thực hiện việc chi trả và nhận lại dữ liệu, so với phiên bản cũ CTB Locker chỉ đòi 0,2 Bitcoin (tương đương 24 USD) và cho nạn nhân 72 giờ để thanh toán”.

Hãng bảo mật Trend Micro cho biết CTB Locker mới này đã và đang đe doạ người dùng ở nhiều quốc gia trên thế giới từ Châu Âu, Trung Đông, Châu Phi, Trung Quốc, Mỹ Latinh và Ấn Độ và thời gian gần đây là Việt Nam.

CTB Locker tác động lên máy tính của nạn nhân thế nào?

Theo chuyên gia của Trend Micro thì quá trình bị nhiễm mã độc CTB Locker thông qua các bước sau:

Đầu tiên, CTB Locker được kẻ xấu phát tán qua Spam Mail (thư rác), được gửi bằng nhiều ngôn ngữ khác nhau nên thư có cả tiếng Việt và thường giả mạo là thông báo những nội dung quan trọng, nhằm lừa người nhận mở file đính kèm được nén dưới dạng file .ZIP.

Mẫu Spam Mail thường được gửi đến nạn nhân đính kèm một file .ZIP

Sau đó, tập tin đính kèm trong email giả mạo là TROJ_CRYPCTB.SMD - một phần mềm chịu trách nhiệm tải các mã độc khác (downloader), cụ thể nó sẽ tải CTB Locker về máy nạn nhân. Theo Trend Micro, mã độc tống tiền CTB-Locker được phát hiện là TROJ_CRYPCTB.SME. Sau khi kiểm tra các đường dẫn URL, Trend Micro xác định chúng đều độc hại bắt nguồn tại Pháp. Phần mềm downloader sử dụng phương pháp phân phối xoay vòng (round-robin) chọn ra đường dẫn URL để tải về mã độc CTB-Locker nhằm tránh sự phát hiện của các công cụ bảo mật. 

Dưới đây là sơ đồ giải thích chu trình tấn công của phần mềm tống tiền bắt đầu từ Spam Mail có đính kèm tập tin.ZIP độc hại.

Các bước tấn công nạn nhân của CTB Locker

Cách để phòng tránh CTB Locker

Theo các chuyên gia, người dùng cần hiểu rõ về các loại mã độc khoá dữ liệu đòi tiền chuộc dòng Ransomware này cũng như cách phát tán và các mối nguy hại của nó gây ra khi nhiễm vào máy tính để phòng tránh cho bản thân.

1. Bỏ ngay những thư rác hay email đáng nghi

Người dùng cần nhận biết các email nào là nguy hiểm. Một số email trông có vẻ thật nhưng “thận trọng là không thừa”, bạn luôn phải kiểm tra địa chỉ người gởi, tiêu đề và nội dung trong email có gì đủ tin cậy hay không.

Tránh các email “giật gân” nhằm đánh vào tâm lý người đọc vì hacker thường tận dụng những tin tức đang gây “xôn xao dư luận”. Chẳng hạn trong năm 2014 đã có những vụ tin tặc tận dụng những tin tức về tai nạn máy bay của Hãng Malaysia Airlines MH370 và MH17 hay sự kiện ra mắt iPhone 6 cũng bị tin tặc lợi dụng để phát tán tin rác,…

2. Tuân thủ quy tắc 3-2-1 của các chuyên gia

• Trend Micro đã khuyến cáo người dùng phải thường xuyên sao lưu dữ liệu của mình. Trong đó có nguyên tác 3-2-1 là có 3 bản sao, hai phương tiện lưu trữ khác nhau và một nơi lưu trữ tách biệt.

• Cụ thể, người dùng có thể sao lưu dữ liệu bằng cách chép ra các ổ cứng ngoài hoặc đưa chúng lên “mây” như các công cụ lưu trữ là Google Drive, Microsoft OneDrive, Dropbox…

• Thường xuyên cập nhật bản lưu mới cho dữ liệu quan trọng, không chép đè lên mà tạo các bản sao để đối chiếu thay đổi khi cần.

Công cụ nhận dạng và chống thư rác của Trend Micro

3. Nên dùng phần mềm Internet Security của các hãng bảo mật uy tín

Các chương trình bảo mật luôn cần thiết đối với người dùng máy tính. Nên chọn những phiên bản có tính năng cao cấp như phần mềm bảo mật phiên bản Internet Security có các tính năng như tường lửa, lọc email rác… để bảo vệ bạn tốt nhất khi sử dụng Internet hay giao dịch trực tuyến.

Chú ý những thông báo từ phần mềm bảo mật khi phát hiện những tập tin đáng nghi.

4. Đừng mong mỏi dữ liệu quay về

Đừng đợi đến lúc mã độc mã hoá tất cả các dữ liệu của mình rồi sau đó mới thấy chúng đáng quý như thế nào. Một điều chắc chắn là bạn không thể cứu vãn những dữ liệu đã bị mã hoá và bạn cũng đừng trong mong một phép thần kỳ nào kể cả các chuyên gia cũng không thể giúp bạn lấy lại chúng. Không ai ngoài chủ nhân của mã độc mới có thể giải mã và đây là hung thủ tống tiền bạn.

Bạn có trả cho chúng 630 USD để chuộc lại dữ liệu và nộp tiền xong bạn có được “giải thoát”? Hãy nghĩ đến viễn cảnh này và sao lưu ngay dữ liệu quan trọng của bạn.

Đối với doanh nghiệp, tổn thất sẽ nặng nề hơn rất nhiều so với người dùng cá nhân, khi máy tính trong mạng lưới bị CTB Locker tấn công và gây trì trệ công việc đến toàn bộ hệ thống làm việc của bạn.

Người dùng cần thường xuyên hoặc tốt nhất nên mở chế độ cập nhật tự động cho chương trình bảo mật của mình. Cuối cùng, điểm yếu lớn nhất của một hệ thống bảo mật hoàn hảo vẫn là yếu tố con người. Bạn cần tập thói quen cảnh giác trước rất nhiều nguy cơ từ mã độc, mạng Internet hiện có. Hiểu về chúng, để biết cách phòng tránh và ngăn chặn trước khi quá muộn.

PC World VN, 03/2015

Tin cùng chuyên mục

10 trò đùa thú vị ngày cá tháng tư dành cho dân công nghệ

10 trò đùa thú vị ngày cá tháng tư dành cho dân công nghệ


'You're Playing God with the Internet!' Republican Shouts at FCC Chief

'You're Playing God with the Internet!' Republican Shouts at FCC Chief


Microsoft phát triển phiên bản Office miễn phí cho PC và máy tính bảng

Microsoft phát triển phiên bản Office miễn phí cho PC và máy tính bảng


Người dùng Facebook trước nguy cơ bị lộ thư viện ảnh cá nhân

Người dùng Facebook trước nguy cơ bị lộ thư viện ảnh cá nhân


Cách tắt mở flash linh hoạt khi lướt web trên Firefox và Chrome

Cách tắt mở flash linh hoạt khi lướt web trên Firefox và Chrome



Windows lậu sau khi nâng cấp lên Windows 10 thì vẫn là Windows lậu

Windows lậu sau khi nâng cấp lên Windows 10 thì vẫn là Windows lậu


15 ứng dụng nguồn mở sáng giá cho Microsoft Windows

15 ứng dụng nguồn mở sáng giá cho Microsoft Windows


Microsoft có kế hoạch biến smartphone Android thành Windows 10

Microsoft có kế hoạch biến smartphone Android thành Windows 10


Windows 10 sẽ được phát hành trong dịp Hè 2015

Windows 10 sẽ được phát hành trong dịp Hè 2015


Microsoft sẽ để Internet Explorer 'chết' dần

Microsoft sẽ để Internet Explorer 'chết' dần


Windows 10 cho phép tải bản cập nhật từ nhiều nguồn

Windows 10 cho phép tải bản cập nhật từ nhiều nguồn


Nguy cơ lộ tài khoản từ website tích hợp tính năng đăng nhập Facebook

Nguy cơ lộ tài khoản từ website tích hợp tính năng đăng nhập Facebook


Gỡ bỏ tận gốc OneDrive trên Windows 8

Gỡ bỏ tận gốc OneDrive trên Windows 8


Hàng trăm triệu máy tính Windows có nguy cơ dính lỗ hổng bảo mật Freak

Hàng trăm triệu máy tính Windows có nguy cơ dính lỗ hổng bảo mật Freak