Cảnh báo mã độc nguy hiểm mã hóa dữ liệu

Hiện tại đang xuất hiện một dạng mã độc gây mã hóa dữ liệu rất nguy hiểm, đã có một số máy tính bị nhiễm và mất dữ liệu.

•  Thông tin và cách thức lây nhiễm : Mã độc lây nhiễm qua spam mail, chèn link độc hại trên web, các chương trình nhắn tin như Skype..

Các tập tin đính kèm trong mail spam hay trong link mã độc tải về sẽ trực tiếp mã hóa dữ liệu trên máy tính hoặc gián tiếp tải chương trình mã hóa dữ liệu về.
Sau khi mã hóa dữ liệu trên máy tính nạn nhân , mã độc sẽ để lại những thông báo đòi tiền chuộc ở dạng .TXT , HTML và VBS. Các file dữ liệu bị mã hóa và đổi tên đuôi file thành các kí tự ngẫu nhiên hoặc tùy theo dòng mã độc như .xtbl, .cerber, .zepto …

• Một số nguyên nhân bị nhiễm mã độc:

– Không bật đầy đủ các tính năng của phần mềm diệt virus, đặc biệt là tính năng System Watcher,Mail Antivirus, Self-defense.
– Sử dụng mail trên web, không tích hợp được các công cụ scan file đính kèm như trên Outlook
– Máy chủ mail bị spam quá nhiều.
– Phần mềm diệt virus chưa được cập nhật đầy đủ hoặc bị thoát ra hoặc đã bị gỡ bỏ.
– Khi người dùng nhận được email có mã độc vô tình mở ra, có thể có thông báo nguy hiểm của hệ điều hành hay phần mềm diệt virus nhưng không để ý.
– Mã độc sinh ra nhiều dạng biến thể liên tục , khi chương trình khởi chạy bị phần mềm diệt virus phân tích hành vi phát hiện nguy hiểm và chặn lại, tuy nhiên mã độc lúc đó đã khởi chạy trước và dữ liệu bị mã hóa rất nhanh.
– Do cách thức hoạt động của dòng mã độc này không giống virus, không nhân bản, sao chép dữ liệu, can thiệp vào hệ thống hay lây lan sang các máy khác mà hoạt động như một chương trình thông thường có tác dụng mã hóa dữ liệu trên máy nên các chương trình diệt virus rất khó phát hiện và xử lý.

• Các dữ liệu bị ảnh hưởng trên máy tính : Toàn bộ dữ liệu trên các ổ đĩa và trên thư mục chia sẻ có quyền Write với các file âm thanh, hình ảnh, tài liệu pdf, word, excel …
• Các biện pháp xử lý khi bị virus mã hóa :

– Không làm theo các hướng dẫn của hacker để tránh mất tiền và lây nhiễm virus thêm.
– Xác định và ngắt máy tính bị lây nhiễm khỏi hệ thống mạng, update chương trình diệt virus và quét lại toàn bộ máy tính.
– Kiểm tra tính năng System Protection của Windows có được bật trên các ổ đĩa hay không, nếu có thì sử dụng chương trình ShadowExplorer hay tính năng Previous Versions trong thuộc tính file để khôi phục lại trạng thái file trước đó.
– Dữ liệu bị mã hóa sẽ không có cách nào giải mã được (do virus sử dụng thuật toán mã hóa bảo mật và phức tạp).
Hiện Kaspersky có ra mắt công cụ hỗ trợ việc giải mã, tuy nhiên chỉ hỗ trợ được một số trường hợp đã lấy được key giải mã trên máy chủ của hacker hoặc do người phát tán chủ động công bố key giải mã.

Các công cụ giải mã của Kaspersky được download tại đây: https://noransom.kaspersky.com/
• Các biện pháp ngăn chặn và phòng chống mã độc, bảo vệ dữ liệu :
– Đảm bảo các máy tính được cài đặt phần mềm diệt virus phiên bản mới hoạt động bình thường, update dữ liệu mới nhất. Khuyến cáo không nên sử dụng phiên bản cũ.
– Cảnh báo cho người dùng tuyệt đối không click vào đọc những email lạ có chứa file đính kèm, thường là có tên người gửi và subject tiếng nước ngoài.
– Nên sử dụng Outlook thay vì dùng trực tiếp web mail, trên Outlook có add-in của phần mềm diệt virus sẽ quét và chặn file đính kèm ngay khi mở mail.
– Bật tính năng System Protection của Windows để có thể khôi phục file khi cần
– Đảm bảo endable các tính năng System Watcher, Mail Antivirus, Self-defense trong chương trình phần mềm diệt virus Kaspersky.
– Trang bị các giải pháp Anti-spam cho máy chủ Mail server hoặc xử lý từ phía đơn vị cung cấp dịch vụ mail.
– Nén các dữ liệu quan trọng và đổi đuôi file nén thêm vào tên bất kỳ để tránh nằm trong danh sách các định dạng file dữ liệu thông thường bị mã hóa, ví dụ data.rar.hung
– Backup lại dữ liệu thường xuyên để dự phòng. Ngoài dữ liệu trên hệ thống máy chủ cần thực hiện backup những dữ liệu quan trọng trên máy người dùng.
– Cấu hình việc chia sẻ dữ liệu cho từng cá nhân người dùng, ngăn cấm việc chia sẻ dữ liệu dùng chung full quyền nếu thực sự không cần thiết.
– Cấu hình chính sách sử dụng tính năng Application Control, chỉ cho phép sử dụng các ứng dụng trong danh sách tin cậy (Trust group), các ứng dụng không có trong danh sách sẽ bị hạn chế quyền can thiệp vào hệ thống.
Khuyến cáo nên cấu hình thiết lập chính sách bảo vệ dữ liệu trên phần mềm diệt virus của Kaspersky. Chi tiết hướng dẫn tại link:
Bản doanh nghiệp: http://support.kaspersky.co.uk/10905#block1
Bản cá nhân: http://support.kaspersky.com/11151