Ông Nguyễn Minh Đức, chuyên gia bảo mật FPT - người đã từng giữ chức Phó chủ tịch Bkav vừa cảnh báo người dùng về loại virus CTBLocker mới chuyên tống tiền xuất hiện và khẳng định hệ thống mạng máy tính của một số cơ quan trong đó có cả ngân hàng lớn tại Việt Nam bị nhiễm một mã độc mới.
Ông Nguyễn Minh Đức, chuyên gia bảo mật FPT - người đã từng giữ chức Phó chủ tịch Bkav vừa cảnh báo người dùng về loại virus CTBLocker mới chuyên tống tiền xuất hiện và khẳng định hệ thống mạng máy tính của một số cơ quan trong đó có cả ngân hàng lớn tại Việt Nam bị nhiễm một mã độc mới.
 |
| Ông Nguyễn Minh Đức, chuyên gia bảo mật FPT là cựu Phó Chủ tịch phụ trách An ninh mạng Công ty Bkav (Ảnh: Nghệ Nguyễn/ Chungta.vn) |
Vào chiều ngày hôm qua (22/1/2015), Công ty An ninh mạng Bkav cũng đã ra thông báo cho biết hệ thống giám sát của công ty này đã phát hiện sự xuất biến thể mới của loại mã độc đòi tiền chuộc CryptoLocker (còn được gọi là mã độc tống tiền) đang phát tán mạnh tại Việt Nam.
Trong cảnh báo người dùng Việt Nam về sự xuất hiện của loại mã độc CTBLocker mới chuyên tống tiền, chuyên gia bảo mật FPT Nguyễn Minh Đức cho biết, từ trưa ngày 21/1/2015, ông bắt đầu nhận được một số lời đề nghị trợ giúp về việc hệ thống mạng máy tính của một số cơ quan trong đó có cả ngân hàng lớn tại Việt Nam bị nhiễm một mã độc mới.
Khi lây nhiễm được vào máy tính của nạn nhân, mã độc quét toàn bộ ổ đĩa của máy tính và tiến hành mã hoá các file bằng mã hoá khoá công khai (public key cryptography). Hầu hết các file quan trọng trên máy tính (định dạng .doc, pdf, xls, jpg, zip…) sẽ không thể mở được nữa. Việc này đi kèm với một thông báo trên Desktop đòi tiền chuộc nếu muốn giải mã những file của nạn nhân.
Để giải mã được các file này bắt buộc phải có khoá bí mật (private key) mà chỉ có kẻ phát tán mới có. Điều này có nghĩa là chúng ta không thể khôi phục lại được các file đã bị mã hoá trừ khi chấp nhận trả tiền cho chúng.
 |
| Các file trên máy tính đã bị mã hóa. |
 |
| Xuất hiện thông báo đòi tiền chuộc trên Desktop |
Hoạt động của mã độc
Lý giải rõ hơn về phương thức tấn công của loại mã độc mới chuyên tống tiền này, ông Đức cho biết, câu chuyện bắt đầu khi nạn nhân nhận được 1 email có chứa file đính kèm và người dùng tưởng là 1 file văn bản.
 |
Ông Đức nhận định “Bản chất file đính kèm là một file độc hại. Tuy nhiên nó không phải là con mã độc tống tiền CTBLocker, mà là 1 con downloader, có định dạng .scr (Screen Saver), và tên trùng với tên file được đính kèm trong mail”.
 |
Con mã độc downloader sẽ kích hoạt WordPad để hiển thị một file văn bản, đúng với nội dung trong email. Điều này khiến người dùng nghĩ rằng file đính kèm này chứa văn bản thật.
 |
Tuy nhiên, nhiệm vụ chính của downloader là tải các file độc hại khác xuống. Trong trường hợp này, nó kết nối tới máy chủ sẽ tải xuống 1 file .exe
 |
Con 24967891.exe tiếp tục “đẻ” ra 2 file là dvnoijl.job và qechhwi.exe (Tên file có thể khác nhau trên các máy tính khác nhau).
 |
| Mã độc mở các thư mục và mã hóa file. |
Con qechhwi.exe mới là nhân vật chính của chúng ta, nhiệm vụ của nó là mã hoá tất cả các file .doc, pdf, xls, jpg, zip… trên máy tính của nạn nhân, sau đó hiển thị thông báo doạ nạt và tống tiền.
Kẻ tống tiền sử dụng hệ thống TOR (The Onion Router) để kết nối máy nạn nhân với máy chủ điều khiển.
Người dùng nên làm gì?
Ông Nguyễn Minh Đức cho biết, thực tế, khi bị mã hoá, chúng ta không có cách nào giải mã được các file nếu như không có khoá. Vì vậy, nhiều người đã bắt buộc phải trả tiền cho kẻ phát tán mã độc để lấy lại những file quan trọng của mình. Trong trường hợp này thì “phòng cháy hơn chữa cháy”. Để không bị lây nhiễm những mã độc tống tiền, ông Đức khuyến nghị người dùng nên trang bị cho mình một phần mềm diệt virus cập nhật thường xuyên. Cụ thể, người dùng có thể sử dụng phần mềm miễn phí đủ tốt của Microsoft là Windows Defender (Windows 8) và Microsoft Security Essentials (Windows 7 trở xuống); hoặc có thể mua các phần mềm diệt virus khác để có thể hỗ trợ kỹ thuật. Bên cạnh đó, người dùng cần cảnh giác với các file đính kèm trong email, tốt nhất là không mở file đối với email gửi từ người lạ và chỉ tải các file cài đặt từ website chính gốc. Ông Đức cũng khuyến nghị người dùng không bấm vào các đường link nhận được qua chat hay email và thường xuyên backup các file tài liệu của mình.
| Trước đó, trong đánh giá công bố ngày 13/1/2015 về tình hình an ninh mạng thế giới năm 2014 và dự báo các xu hướng của năm 2015, chuyên gia bảo mật FPT Nguyễn Minh Đức cũng đã nhấn mạnh đến sự xuất hiện của nhiều loại mã độc nguy hiểm trong năm 2014. Theo AV-Test, có đến hơn 140 triệu loại mã độc mới xuất hiện trong năm 2014, nhiều hơn hẳn so với các năm trước. Bên cạnh sự vượt trội về số lượng, chúng ta cũng có thể thấy 2014 xuất hiện nhiều mã độc có đặc điểm khác biệt so với các mã độc khác. Đặc biệt, dự báo về an ninh mạng năm 2015, ông Đức cho rằng một trong 8 xu hướng lớn chính là: mã độc trên di động tiếp tục tăng nhanh và sẽ xuất hiện nhiều biến thể phần mềm mã hoá tống tiền (ransomware) trên di động. |
Theo M.T (Ictnews.vn)
