Cảnh báo mã độc nguy hiểm mã hóa dữ liệu

Kính gửi Quý Khách Hàng,
Thời gian gần đây mã độc mã hóa dữ liệu để tống tiền (ransomware) lại bùng phát với nhiều biến thể mới nguy hiểm hơn trên cả hệ thống máy chủ và máy trạm.
Công ty Nam Trường Sơn Hà Nội xin được thông báo tới Quý khách hàng chú ý hơn nữa trong việc phòng ngừa virus và bảo vệ dữ liệu.

• Thông tin và cách thức lây nhiễm : Mã độc lây nhiễm qua spam mail, chèn link độc hại trên web hay các chương trình nhắn tin , ẩn núp thông qua các ứng dụng download trên mạng và kích hoạt tải công cụ mã hóa sau đó…

Một số biến thể mới còn có khả năng vô hiệu hóa các phần mềm diệt virus.
Sau khi mã hóa dữ liệu trên máy tính nạn nhân , mã độc sẽ để lại những thông báo đòi tiền chuộc ở dạng hình ảnh hoặc .TXT , HTML, VBS. Các file dữ liệu bị mã hóa và đổi tên đuôi file thành các kí tự ngẫu nhiên hoặc tùy theo dòng mã độc như .xtbl, .cerber, .zepto, .9b9d, .40be …

• Một số nguyên nhân bị nhiễm mã độc:
• Phần mềm diệt virus chưa được cập nhật đầy đủ , bị tắt / gỡ bỏ hoặc không bật đầy đủ các tính năng bảo vệ (File Anti-virus, System Watcher,Mail Antivirus, Self-defense…)
• Sử dụng webmail, không tích hợp được các add-in scan file đính kèm như trên Outlook.
• Khi người dùng nhận được email có mã độc vô tình mở ra, có thể có thông báo nguy hiểm của hệ điều hành hay phần mềm diệt virus nhưng không để ý.
• Ransomware sinh ra nhiều dạng biến thể liên tục, cách thức hoạt động không giống virus thông thường, không tự nhân bản sao chép dữ liệu, can thiệp vào hệ thống hay lây lan sang các máy khác mà hoạt động như một chương trình độc lập bất kỳ, thực hiện lệnh mã hóa dữ liệu trên máy, nên các chương trình diệt virus rất khó phát hiện sớm và xử lý.

Khi chương trình mã hóa khởi chạy mới bị phần mềm diệt virus phân tích hành vi phát hiện nguy hiểm và chặn lại, tuy nhiên dữ liệu đã bị mã hóa rất nhanh.

• Mã độc gắn kèm theo các ứng dụng được người dùng download về, hoặc ứng dụng tự động tải ngầm về máy tính, đến thời điểm bất kỳ thì khởi chạy và kích hoạt tải công cụ mã hóa.
• Các dữ liệu bị ảnh hưởng trên máy tính : Toàn bộ dữ liệu trên các ổ đĩa và trên thư mục chia sẻ có quyền Write với các file âm thanh, hình ảnh, tài liệu pdf, word, excel …
• Các biện pháp xử lý khi bị virus mã hóa :
• Không làm theo các hướng dẫn của hacker để tránh mất tiền và lây nhiễm virus thêm.
• Xác định và ngắt máy tính bị lây nhiễm khỏi hệ thống mạng, update chương trình diệt virus và quét lại toàn bộ máy tính.
• Kiểm tra tính năng System Protection của Windows có được bật trên các ổ đĩa hay không, nếu có thì sử dụng chương trình ShadowExplorer hay tính năng Previous Versions trong thuộc tính file để khôi phục lại trạng thái file trước đó.
• Dữ liệu bị mã hóa sẽ không có cách nào giải mã được (do virus sử dụng thuật toán mã hóa bảo mật và phức tạp).

Hiện Kaspersky có ra mắt công cụ hỗ trợ việc giải mã, tuy nhiên chỉ hỗ trợ được một số trường hợp đã lấy được key giải mã trên máy chủ của hacker hoặc do người phát tán chủ động công bố key giải mã.
Các công cụ giải mã của Kaspersky được download tại đây: https://noransom.kaspersky.com/

• Các biện pháp ngăn chặn và phòng chống mã độc, bảo vệ dữ liệu :
• Đảm bảo các máy tính được cài đặt phần mềm diệt virus phiên bản mới hoạt động bình thường, update dữ liệu mới nhất. Đảm bảo enable các tính năng System Watcher, Mail Antivirus, Self-defensetrong chương trình phần mềm diệt virus Kaspersky.
• Cảnh báo cho người dùng tuyệt đối không click vào đọc những email lạ có chứa file đính kèm.
• Nên sử dụng Outlook thay vì dùng trực tiếp webmail, trên Outlook có add-in của phần mềm diệt virus sẽ quét và chặn mã độc đính kèm ngay khi chọn mở email.
• Bật tính năng System Protection của  Windows để có thể khôi phục file khi cần
• Nén các dữ liệu quan trọng và đổi đuôi file nén thành định dạng bất kỳ hoặc bỏ hẳn định dạng đuôi file để tránh nằm trong danh sách các định dạng file dữ liệu thông thường bị mã hóa, ví dụ rar.hung , data
• Trang bị các giải pháp Anti-spam cho máy chủ Mail server hoặc xử lý từ phía đơn vị cung cấp dịch vụ mail.
• Sử dụng các giải pháp Backup dữ liệu để sao lưu dự phòng thường xuyên. Ngoài dữ liệu trên hệ thống máy chủ cần thực hiện backup những dữ liệu quan trọng trên máy người dùng.
• Cấu hình việc chia sẻ dữ liệu cho từng cá nhân người dùng, hạn chế việc chia sẻ dữ liệu dùng chung full quyền nếu thực sự không cần thiết.