Virus đòi tiền chuộc hoành hành

Virus đòi tiền chuộc (ransomeware) là dạng mã độc sử dụng hệ thống mật mã để mã hóa dữ liệu người dùng lưu trữ trên máy tính… sau đó yêu cầu người dùng trả tiền để lấy lại quyền truy cập vào máy hoặc khôi phục dữ liệu. Vài năm nay ransomware bùng phát dữ dội và đến nay vẫn hoành hành ở các cơ quan, đơn vị, doanh nghiệp.

Tại Việt Nam, cuối tháng 1/2015 Bkav đã ra thông báo cảnh báo người dùng trong nước về sự xuất hiện và phát tán mạnh mẽ của biến thể mới nhất và nguy hiểm nhất của dòng mã độc đòi tiền chuộc ransomware, virus mang tên CTB-Locker. CTB-Locker sẽ mã hóa file trên máy tính nạn nhân, sau đó xóa file gốc chỉ còn file đã mã hóa, sau đó có thông báo đòi tiền chuộc...

Theo Bkav, đã có hàng loạt người dùng máy tính tại Việt Nam nhận được các email spam có đính kèm file “.zip” mà khi mở file này, máy tính của người dùng sẽ bị kiểm soát và các file dữ liệu (Word, Excel) sẽ bị mã hóa, không thể mở ra được. Dữ liệu của người dùng đã bị mã hóa sẽ không thể được khôi phục vì hacker sử dụng thuật mã hóa công khai và khóa bí mật dùng để giải mã chỉ được lưu giữ trên server của hacker. Thống kê của Bkav cho hay, chỉ trong khoảng 2 tuần, từ ngày 22/1 đến 5/2/2015, đã có tới 1.600 máy tính của người dùng trong nước bị nhiễm virus chuyên mã hóa dữ liệu để đòi tiền chuộc CTB-Locker này.

Ngoài ra, máy tính còn có thể bị nhiễm thông qua các con đường khác như lây lan qua các thiết bị lưu trữ, lây qua cài đặt phần mềm, sao chép dữ liệu, phần mềm...

Mới đây VNCERT đã tiếp tục có cảnh báo về virus đòi tiền chuộc. Theo VNCERT, thời gian gần đây, cơ quan này nhận được nhiều thông tin phản ánh về việc lây nhiễm các phiên bản mới của mã độc ransomware như CTB Locker/Critroni hoặc Onion trong nhiều cơ quan tổ chức tại Việt Nam.

“Chúng tôi nhận thấy đây là loại mã độc rất nguy hiểm, có thể dẫn đến mất mát dữ liệu lớn trong các cơ quan, tổ chức và cá nhân, đặc biệt khi bị nhiễm mã độc và các tài liệu đã bị mã hóa thì không thể khôi phục dữ liệu. Một số trường hợp có thể thực hiện được nhưng tốn nhiều thời gian và chi phí và không thể khôi phục lại được toàn bộ dữ liệu”, đại diện VNCERT nhấn mạnh.

Như ICTnews phản ánh thì tối 3/7/2015, một thành viên có nickname Nguyễn Hải đã chia sẻ trên diễn đàn otofun.net về việc máy tính xách tay của thành viên này đã bị “dính” mã độc CTB-Locker. Thành viên Nguyễn Hải cho biết, toàn bộ dữ liệu trên laptop đã bị mã hóa và hacker đưa ra yêu cầu trong thời gian hơn 60 tiếng đồng hồ phải nộp số tiền chuộc dữ liệu là 500 USD nếu không sẽ nhân đôi tiền đòi chuộc.

Trong tình hình hiện nay, để phòng ngừa các loại mã độc mã hóa dữ liệu đòi tiền chuộc, VNCERT luôn khuyến cáo các đơn vị, bên cạnh việc thực hiện sao lưu định kỳ dữ liệu, cần đặc biệt chú ý phòng ngừa nhằm hạn chế tối đa khả năng bị nhiễm mã độc. Cụ thể, các đơn vị cần thường xuyên cập nhật bản vá, phiên bản mới nhất cho hệ điều hành và phần mềm chống mã độc (Kaspersky, Synmatec, Avast, AVG, MSE, Bkav, CMC...). VNCERT luôn khuyến khích các cơ quan, tổ chức sử dụng các phiên bản phần mềm phòng chống mã độc có chức năng đảm bảo an toàn khi truy cập mạng Internet và phát hiện mã độc trực tuyến.

Bkav có công cụ quét virus đòi tiền chuộc miễn phí

Điều hay là trong tình trạng ransomware hoành hành như hiện nay, nếu chưa có tiền hoặc vì một lý do nào đó mà chúng ta chưa thể trang bị phần mềm diệt virus trả phí chuyên nghiệp thì Bkav cũng cung cấp riêng công cụ Bkav Ransomware Scan miễn phí. Bkav Ransomware Scan dùng để quét ransomware định kỳ, nhất là CTB-Locker, phòng tránh trường hợp bị mã hóa hết dữ liệu trong máy thì đã quá muộn.

Đại diện Bkav chia sẻ: “Công cụ này chỉ quét khi ransomware mới lây vào, chưa kịp thực hiện mã hóa , chứ mã hóa rồi thì không có phần mềm nào có thể giải mã dữ liệu đã mã hóa”

Nguyên lý là do quá trình mã hóa sẽ được thực hiện trong thời gian dài, vì vậy việc phản ứng nhanh chóng khi phát hiện ra sự cố sẽ giúp giảm thiểu thiệt hại cho các dữ liệu chứa trên máy bị nhiễm và giúp các chuyên gia có thể khôi phục dữ liệu bị mã hóa. Ngay cả cách ngắt nguồn điện máy tính khi phát hiện ra dấu hiệu bị lây nhiễm virus mã hóa dữ liệu để đòi tiền chuộc cũng sẽ ngăn chặn hậu quả do ransomware gây ra.

Vì thế khi phát hiện dấu hiệu nhiễm như không mở được một file nào đó như bình thường, chúng ta có thể tải về Bkav Ransomware Scan miễn phí ở đây (tốt nhất nên tải trước dự phòng), và bật file chạy BkavRS.exe ngay không cần cài đặt, tiếp đó chọn ổ và bấm Quét. Hướng dẫn chi tiết hơn của Bkav người dùng có thể xem ở đây.

A1-Virus-doi-tien-chuoc-Bkav-Ransomware-Scan.jpg
B1-Virus-doi-tien-chuoc-Bkav-Ransomware-Scan.jpg

Về vấn đề phục hồi, theo VNCERT mặc dù không có khả năng giải mã các tệp tin đã bị virus mã hóa nhưng trong một số trường hợp có thể sử dụng các phần mềm khôi phục dữ liệu như FTK, EaseUs, R-STUDIO hay ShadowExplorer để khôi phục các tệp tin nguyên bản đã bị xóa. Do đó, nếu không có kinh nghiệm xử lý sự cố này cần yêu cầu sự hỗ trợ sớm của các chuyên gia an toàn thông tin để giảm thiểu thiệt hại khi xảy ra sự cố.

Ngoài ra, người dùng cần sử dụng khởi động từ hệ thống sạch khi thực hiện sao lưu các dữ liệu chưa bị mã hóa, đồng thời tiến hành cài đặt lại toàn bộ hệ thống, cài phần mềm diệt virus cập nhật phiên bản mới nhất và tiến hành quét toàn bộ dữ liệu trên máy tính trước khi sao chép lại các dữ liệu vào máy tính…