Làm gì khi bị nhiễm virus đòi tiền chuộc CTB-Locker?

Theo VNCERT, để giảm thiểu thiệt hại cho các dữ liệu chứa trên máy bị nhiễm, một thao tác người dùng máy tính cá nhân cần thực hiện ngay khi phát hiện ra dấu hiệu bị lây nhiễm mã độc mã hóa dữ liệu đòi tiền chuộc là nhanh chóng tắt nguồn điện máy tính.
Virus mã hóa dữ liệu đòi tiền chuộc từng phát tán mạnh mẽ tại Việt Nam hồi đầu năm nay, với số lượng máy tính bị lây nhiễm virus lên tới 1.600 máy (Ảnh minh họa. Nguồn: Internet)
Virus mã hóa dữ liệu đòi tiền chuộc từng phát tán mạnh mẽ tại Việt Nam hồi đầu năm nay, với số lượng máy tính bị lây nhiễm virus lên tới 1.600 máy (Ảnh minh họa. Nguồn: Internet)

Như ICTnews đã đưa tin, theo phản ánh của các chuyên gia an ninh mạng, thời gian gần đây nhiều người dùng máy tính tại Việt Nam bị lây nhiễm các phiên bản mới của virus “đòi tiền chuộc” Ransomware như CTB Locker/Critroni hoặc Onion trong nhiều cơ quan, tổ chức tại Việt Nam.

Ransomeware là thuật ngữ chỉ những mã độc sử dụng hệ thống mật mã để mã hóa dữ liệu người dùng lưu trữ trên máy tính… sau đó yêu cầu người dùng trả tiền để lấy lại quyền truy cập vào máy hoặc khôi phục dữ liệu. 

Tại Việt Nam, sự xuất hiện và lây lan của mã độc mã hoá dữ liệu Ransomware trên hệ điều hành Microsoft Windows đã được Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), đơn vị thuộc Bộ TT&TT, cảnh báo từ đầu tháng 1/2014. Đặc biệt, vào khoảng cuối tháng 1, đầu tháng 2/2015, các chuyên gia an ninh mạng Việt Nam cũng ghi nhận về xuất hiện và phát tán mạnh mẽ của virus CTB-Locker, biến thể của dòng mã độc đòi tiền chuộc CryptoLocker, một loại Ransomeware.

Trong cảnh báo mới đây về tình trạng nhiều cơ quan, tổ chức tại Việt Nam tiếp tục bị lây nhiễm các phiên bản mới của mã độc Ransomware như CTB Locker/Critroni hoặc Onion, VNCERT nhận định, mã độc mã hóa dữ liệu để đòi tiền chuộc là loại mã độc rất nguy hiểm, có thể dẫn đến mất mát dữ liệu lớn trong các cơ quan, tổ chức và cá nhân, đặc biệt khi bị nhiễm mã độc và các tài liệu đã bị mã hóa thì không thể khôi phục dữ liệu. Một số trường hợp có thể thực hiện được nhưng tốn nhiều thời gian và chi phí và không thể khôi phục lại được toàn bộ dữ liệu. “Do tình hình lây lan rất phức tạp, đề nghị các cơ quan, tổ chức cần chú ý và tăng cường công tác phòng ngừa sự cố có thể xảy ra”, VNCERT nhấn mạnh.

Cũng trong cảnh báo này, bên cạnh việc đề xuất biện pháp để phòng ngừa các loại mã độc mã hóa dữ liệu đòi tiền chuộc, đã khuyến nghị các đơn vị về cách thức xử lý khi phát hiện bị lây nhiễm mã độc mã hóa dữ liệu để đòi tiền chuộc.

Cụ thể, theo giải thích VNCERT, khi mã độc Ransomware lây nhiễm vào máy tính bị hại, mã độc sẽ tiến hành mã hóa các tệp tin dữ liệu, khóa máy tính của người dùng để người dùng không can thiệp để tắt tiến trình đang chạy.

Do quá trình mã hóa sẽ được thực hiện trong thời gian dài, vì vậy việc phản ứng nhanh chóng khi phát hiện ra sự cố sẽ giúp giảm thiểu thiệt hại cho các dữ liệu chứa trên máy bị nhiễm và giúp các chuyên gia có thể khôi phục dữ liệu bị mã hóa. Vì vậy, đối với các máy tính cá nhân khi phát hiện ra dấu hiệu bị lây nhiễm mã độc mã hóa dữ liệu để đòi tiền chuộc thì phải nhanh chóng tắt máy tính (tắt nguồn điện, không sử dụng chức năng Shut down của hệ điều hành).

Cũng theo VNCERT, mặc dù không có khả năng giải mã các tệp tin đã bị mã độc mã hóa, nhưng trong một số trường hợp có thể sử dụng các phần mềm khôi phục dữ liệu như FTK, EaseUs, R-STUDIO để khôi phục các tệp tin nguyên bản đã bị xóa. Do đó, nếu không có kinh nghiệm xử lý sự cố này cần yêu cầu sự hỗ trợ sớm của các chuyên gia an toàn thông tin để giảm thiểu thiệt hại khi xảy ra sự cố.

Ngoài ra, người dùng cần sử dụng khởi động từ hệ thống sạch khi thực hiện sao lưu các dữ liệu chưa bị mã hóa; đồng thời tiến hành cài đặt lại toàn bộ hệ thống, cài phần mềm diệt virus cập nhật phiên bản mới nhất và tiến hành quét toàn bộ dữ liệu trên máy tính trước khi sao chép lại các dữ liệu vào máy tính.

Hai phương pháp lây lan chủ yếu của virus mã hóa dữ liệu đòi tiền chuộc là: gửi tệp tin nhiễm mã độc kèm theo thư điện tử, khi người sử dụng kích hoạt tệp tin đính kèm thư điện tử sẽ làm lây nhiễm mã độc vào máy tính; gửi thư điện tử hoặc tin nhắn điện tử có chứa đường dẫn đến phần mềm bị giả mạo bởi mã độc Ransomware và đánh lừa người sử dụng truy cập vào đường dẫn này để vô ý tự cài đặt mã độc lên máy tính. Ngoài ra, máy tính còn có thể bị nhiễm thông qua các con đường khác như lây lan qua các thiết bị lưu trữ, lây qua cài đặt phần mềm, sao chép dữ liệu, phần mềm... 

Theo: ITCNew