Sở Thông tin và Truyền thông (TT&TT) tỉnh Tây Ninh vừa có văn bản gửi Văn phòng Ủy ban nhân dân tỉnh, Văn phòng Đoàn Đại biểu Quốc hội và Hội đồng nhân dân tỉnh; các sở, ban, ngành và UBND các huyện, thành phố nhằm cảnh báo mã độc thuộc loại mã độc mã hóa dữ liệu để đòi tiền chuộc (ransomware).

Nội dung đăng tải trên Cổng thông tin điện tử Sở TT&TT tỉnh Tây Ninh nêu rõ theo báo cáo của các đơn vị chuyên làm về bảo mật thì hiện nay đã và đang xuất hiện tình trạng lây lan ransomware trên hệ điều hành Microsoft Windows tại Việt Nam, và Sở TT&TT tỉnh nhận thấy đây là loại mã độc rất nguy hiểm, có thể dẫn đến mất dữ liệu lớn trong các cơ quan, tổ chức và cá nhân, đặc biệt khi bị nhiễm mã độc và các tài liệu đã bị mã hóa thì không thể khôi phục dữ liệu.

Z1-Tay-Ninh-canh-bao-ma-doc-ma-hoa-du-lieu-doi-tien-chuoc-ransomware.jpg

2 phương pháp lây lan chủ yếu của ransomware là gửi tập tin nhiễm mã độc kèm theo thư điện tử, khi người dùng kích hoạt tập tin đính kèm thư điện tử sẽ làm lây nhiễm mã độc vào máy tính, hoặc gửi thư điện tử hoặc tin nhắn điện tử có chứa đường dẫn đến phần mềm giả mạo và đánh lừa người sử dụng truy cập vào đường dẫn này để vô ý tự cài đặt mã độc lên máy tính. Ngoài ra máy tính còn có thể bị nhiễm thông qua các con đường khác như lây lan qua các thiết bị lưu trữ, lây lan qua cài đặt phần mềm, sao chép dữ liệu, phần mềm…

Mã độc Ransomware sau khi lây nhiễm vào máy tính người bị hại sẽ dò quét các tập tin tài liệu có đuôi mở rộng như .doc, .docx, .xls, .xlsx, .pdf, .jpg, .zip, .rar,… trên máy tính nạn nhân và tự động mã hóa, đổi tên các tập tin đó bằng cách sử dụng thuật toán mã hóa với khóa công khai. Một số loại mã độc còn tiến hành khóa máy tính nạn nhân không cho sử dụng. Sau đó mã độc sẽ yêu cầu người bị hại thanh toán qua mạng (thẻ tín dụng hoặc bitcoin) để lấy được mật khẩu giải mã các tập tin đã bị mã hóa trái phép.

Như ICTnews phản ánh thì tối 3/7/2015, một thành viên có nickname Nguyễn Hải đã chia sẻ trên diễn đàn otofun.net về việc máy tính xách tay của thành viên này đã bị “dính” chủng loại ransomware CTB-Locker. Thành viên Nguyễn Hải cho biết, toàn bộ dữ liệu trên laptop đã bị mã hóa và hacker đưa ra yêu cầu trong thời gian hơn 60 tiếng đồng hồ phải nộp số tiền chuộc dữ liệu là 500 USD nếu không sẽ nhân đôi tiền đòi chuộc.

Hiện nay vẫn chưa có phần mềm hoặc dịch vụ thương mại nào đảm bảo giải mã các tập tin đã bị mã độc ransomware nếu không lấy được mật khẩu giải mã của tin tặc phát tán mã độc, mặc dù Bkav cũng có công cụ miễn phí để dùng để quét ransomware định kỳ, nhất là CTB-Locker, phòng tránh trường hợp bị mã hóa hết dữ liệu trong máy thì đã quá muộn.

Để phòng ngừa các loại mã độc ransomware, Sở TT&TT tỉnh Tây Ninh khuyến cáo các đơn vị thực hiện một số biện pháp sau an toàn, an ninh mạng máy tính. Đầu tiên, các đơn vị cần thiết lập quyền người sử dụng không ở chế độ quản trị hệ thống (admin) và thiết lập các cấu hình bảo vệ tập tin không cho xóa, sửa các tập tin dữ liệu quan trọng một cách tự động. Đồng thời cần ngăn chặn thực thi ứng dụng từ các thư mục chứa dữ liệu, thường xuyên cập nhật bản vá, phiên bản mới nhất cho hệ điều hành và phần mềm chống mã độc (Kaspersky, Synmatec, Avast, Avira, AVG, BKAV,…), khuyến khích các cơ quan, tổ chức sử dụng các phần mềm phòng chống mã độc có chức năng đảm bảo an toàn khi truy cập mạng Internet và phát hiện mã độc trực tuyến.

Tất cả các đơn vị cũng cần thường xuyên sử dụng phần mềm diệt mã độc, virus kiểm tra máy tính, ổ lưu trữ để phát hiện sớm nếu xuất hiện mã độc trên thiết bị, cần chú ý cảnh giác với các tập tin đính kèm, các đường dẫn được gửi đến qua thư điện tử hoặc tin nhắn, hạn chế tối đa việc truy cập vào các đường dẫn này vì tin tặc có thể đánh cắp hoặc giả mạo hòm thư điện tử của người gửi phát tán các kết nối chứa mã độc.

Luôn cần sử dụng phần mềm diệt virus kiểm tra các tập tin được gửi qua thư điện tử, tải từ mạng về trước khi mở. Nếu không cần thiết hoặc không rõ nguồn gốc thì không mở các tập tin này, và tắt chế độ tự động mở, chạy các tập tin đính kèm theo thư điện tử, USB.

Sở TT&TT tỉnh cũng khuyến cáo cần tiến hành sao lưu dữ liệu định kỳ, thường xuyên để có thể khôi phục dữ liệu khi máy tính bị ransomware gây hại. Các đơn vị có thể sử dụng các ổ đĩa lưu trữ USB, ổ đĩa gắn ngoài, …để sao lưu dữ liệu, tuy nhiên cần lưu ý dữ liệu trong các ổ lưu trữ này hoàn toàn có thể bị ảnh hưởng nếu kết nối vào máy tính đã bị nhiễm ransomware. Do vậy, phải đảm bảo máy tính chưa bị nhiễm mã độc trước khi sao lưu hoặc khởi động máy tính từ ổ đĩa khởi động ngoài (USB Boot) khi thực hiện sao lưu để đảm bảo an toàn.

Một giải pháp sao lưu nữa là sử dụng các công cụ, giải pháp chuyên dụng như các máy chủ quản lý tập tin, máy chủ sao lưu dữ liệu từ xa, các công cụ lưu trữ đám mây cho phép khôi phục lịch sử thay đổi của tập tin để khi xảy ra sự cố có thể khôi phục lại từ thời điểm trước đó, nghiên cứu, sử dụng những giải pháp mã nguồn mở như ownCloud để triển khai, đưa vào sử dụng.

Khi ransomware lây nhiễm vào máy tính bị hại, việc phản ứng nhanh chóng khi phát hiện ra sự cố có thể giúp giảm thiểu thiệt hại cho các dữ liệu chứa trên máy bị nhiễm và tăng khả năng khôi phục các dữ liệu đã bị mã hóa. Cụ thể, đối với các máy tính cá nhân khi phát hiện có dấu hiệu bị nhiễm cần phải nhanh chóng thực hiện các thao tác như nhanh chóng tắt máy tính bằng cách ngắt nguồn điện vì chức năng của hệ điều hành Windows có thể không còn tác dụng, cách ly máy tính ra khỏi mạng nội bộ nhằm ngăn ngừa trường hợp có thể lây nhiễm sang các máy tính khác trong hệ thống. Mặt khác không được khởi động lại máy tính theo cách thông thường mà phải khởi động lại máy tính từ từ đĩa CD hoặc USB, hoặc tháo ổ cứng ra để kết nối vào máy tính sạch khác, khuyến cáo sử dụng các hệ điều hành Linux. Sau đó thực hiện kiểm tra các tập tin dữ liệu và sao lưu các dữ liệu chưa bị mã hóa.