Cảnh báo về hình thức lây nhiễm mới của mã độc mã hóa tài liệu

07:05 12/03/2016
Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), Bộ Thông tin và Truyền thông vừa gửi công văn tới các đơn vị chuyên trách về CNTT của các bộ, ngành để cảnh báo về hình thức lây nhiễm mới của mã độc mã hóa tài liệu.

Theo VNCERT, trong tuần đầu tháng 3-2016, Trung tâm ghi nhận cách thức tấn công mới của tin tặc nhằm vào các cơ quan tổ chức có sử dụng các hòm thư điện tử nội bộ. Với cách tấn công mới này, tin tặc sẽ giả mạo một địa chỉ điện tử có đuôi là @tencongty.com.vn để gửi thư điện tử có kèm mã độc đến các người dùng trong công ty đó.

Ảnh mang tính chất minh họa.

Để qua mặt các hệ thống dò quét mã độc, các mã độc thường được nén lại dưới định dạng “.zip” hoặc “.zar”. Qua phân tích của chuyên gia VNCERT với một sự cố cho thấy, tệp tin chứa mã độc “.zip” chứa bên trong các tệp tin thực thi như “.js” (một tệp tin Javascript) hoặc tệp tin văn bản như “.doc”, “.xls”…, khi người dùng mở tệp tin này mã độc sẽ được kích hoạt, tự động tải tập tin mã độc mã hóa tài liệu và tự thực thi trên máy.

Với trường hợp mã hóa tài liệu thì mã độc sẽ tiến hành mã hóa nội dung toàn bộ các dữ liệu trên máy nạn nhân với thuật toán mã hóa mạnh để không thể giải mã được với mục đích “bắt cóc” dữ liệu trên máy để tống tiền nạn nhân.

Cũng theo phân tích của các chuyên gia VNCERT, mã độc mã hóa tài liệu lây lan chủ yếu qua các phương thức: Gửi tập tin đính kèm thư điện tử, khi người dùng mở tập tin thì mã độc sẽ tự động lây nhiễm vào máy tính người dùng; gửi thư điện tử hoặc tin nhắn điện tử có chứa đường dẫn đến mã độc và yêu cầu người dùng tải về, cài đặt.

Ngoài ra, máy tính còn có thể lây nhiễm thông qua đường khác như qua thiết bị lưu trữ, qua quá trình cài đặt phần mềm không rõ nguồn gốc, sao chép dữ liệu từ máy nhiễm… Dấu hiệu nhận biết loại mã độc mã hóa dữ liệu sau khi máy tính bị nhiễm là các tài liệu, văn bản sẽ bị thay đổi nội dung và đổi tên phần mở rộng, phổ biến là các tệp tin có định dạng: .doc, .docx, .pdf, .xls, .xlsx, .jpg, .txt, .ppt, .pptx,.. một số loại còn khóa máy tính không cho sử dụng và đòi tiền chuộc.

Để phòng ngừa, hạn chế tối đa khả năng bị nhiễm mã độc mã hóa dữ liệu, VNCERT khuyến cáo các đơn vị thực hiện các biện pháp: Phân quyền hợp lý cho các loại tài khoản người dùng, bảo vệ các tệp tin không cho phép xóa, sửa nội dung các tệp tin quan trọng; cài đặt và thường xuyên cập nhật cho hệ điều hành, phần mềm chống mã độc như Kaspersky, Symantec, Avast, AVG, MSE, Bkav, CMC…; chú ý cảnh giác với các tệp tin đính kèm, các đường liên kết ẩn được gửi đến thư điện tử người dùng kể cả người gửi từ trong nội bộ; thực hiện các biện pháp kỹ thuật nhằm kiểm tra xác thực người dùng trên máy chủ gửi email của đơn vị, tránh bị giả mạo người gửi từ nội bộ; đồng thời tắt các chế độ tự động mở, chạy tập tin đính kèm theo thư điện tử.

Ngoài ra, để giúp các cơ quan chức năng theo dõi, phân tích và phản ứng nhanh chóng với các loại mã độc mới, VNCERT đề nghị: Ngay khi phát hiện xảy ra sự cố về mã độc Ramsomware, các đơn vị cần nhanh chóng thông báo về đầu mối điều phối ứng cứu quốc gia là Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam - VNCERT, 18 Nguyễn Du, Hai Bà Trưng, Hà Nội. Điện thoại: 0436404423; điện thoại di động: 0934424009; hòm thư điện tử tiếp nhận sự cố: ir@vncert.gov.vn.

Khi mã độc lây nhiễm vào máy tính, mã độc sẽ tiến hành quét và mã hóa các tập tin trong một khoảng thời gian. Do đó, việc phản ứng nhanh khi phát hiện ra sự cố có thể giúp giảm thiểu thiệt hại cho dữ liệu trên máy tính và tăng khả năng khôi phục dữ liệu bị mã hóa. Vì thế, “ngay sau khi phát hiện bị lây nhiễm mã độc mã hóa dữ liệu, cần thực hiện các thao tác: Nhanh chóng tắt máy tính bằng cách ngắt nguồn điện; không được khởi động lại máy tính theo cách thông thường mà phải khởi động từ hệ điều hành sạch khác (khuyến nghị hệ điều hành Linux) như từ ổ đĩa CD, USB… sau đó thực hiện kiểm tra các tập tin dữ liệu và sao lưu các dữ liệu chưa bị mã hóa”- VNCERT đưa ra khuyến nghị.
Huyền Thanh

Đến trưa 27/12, Công an TP Thủ Đức (TP Hồ Chí Minh) vẫn đang phong tỏa hiện trường vụ cháy xảy ra tại dãy nhà trọ cao 5 tầng trong hẻm 63, đường số 10, phường Tăng Nhơn Phú B, TP Thủ Đức để làm rõ nguyên nhân vụ cháy khiến 2 người tử vong, 8 người bị thương.

Ngày 27/12, Sở GD&ĐT TP Hồ Chí Minh cho biết, Trường Quốc tế Ngôi sao Sài Gòn (Saigon Star International School) gồm Trường Mẫu giáo Quốc tế Ngôi sao Sài Gòn và Trường tiểu học Quốc tế Ngôi sao Sài Gòn (phường Thạnh Mỹ Lợi (TP Thủ Đức, TP Hồ Chí Minh) chưa được Sở cấp phép hoạt động giáo dục.

Qua công tác nắm tình hình, Phòng Cảnh sát điều tra tội phạm về tham nhũng, kinh tế, buôn lậu và môi trường Công an tỉnh Thanh Hoá đã phối hợp với Công an TP Sầm Sơn phá Chuyên án sản xuất, buôn bán hàng giả là thực phẩm chức năng, bắt giữ 2 đối tượng: Nguyễn Hữu Nam (SN 2000, ở phường Trung Sơn, TP Sầm Sơn) và Triệu Y Tám (SN 2001, ở xã Hợp Sơn, huyện Ba Vì, TP Hà Nội).

Sự ủng hộ ngày một lớn đến từ giới mộ điệu tiếp thêm niềm tin nơi HLV Kim Sang-sik. Lần đầu tiên trước giới truyền thông, ông nhắc đến 2 từ vô địch cùng ĐT Việt Nam!

Khu đất rộng hơn 53 ha nằm cạnh Khu du lịch Bà Nà Hills được quy hoạch làm khu dân cư phục vụ nhu cầu ở của cán bộ, nhân dân địa phương, song thực tế sau đó lại được bán chác tùy tiện, đi rất xa với mục đích phê duyệt ban đầu của cấp thẩm quyền.

©2004. Bản quyền thuộc về Báo Công An Nhân Dân.
®Không sao chép dưới mọi hình thức khi chưa có sự đồng ý bằng văn bản của Báo Công An Nhân Dân.
English | 中文