Theo ông Nguyễn Minh Đức, chuyên gia công nghệ tại công ty FPT, tại Việt Nam đă xuất hiện một mă độc CTBLocker mới - chuyên tống tiền và đă bị lây nhiễm tại một số cơ quan trong đó có cả các ngân hàng lớn.
Mă độc CTBLocker tống tiền như thế nào?
Ông Nguyễn Minh Đức, từng là Phó Tổng giám đốc công ty an ninh mạng Bkav và hiện tại là chuyên gia công nghệ của công ty FPT. Ông Đức cho biết mă độc CTBLocker mới chỉ xuất hiện tại Việt Nam. khi lây nhiễm vào máy tính của nạn nhân, nó sẽ quét toàn bộ ổ đĩa của máy tính đó và tiến hành mă hoá các tập tin bằng mă hoá khoá công khai. Sau khi đă mă hoá tất cả các tập tin trên máy tính, hầu hết các tập tin quan trọng có định dạng như *.doc, *.pdf, *.xls, *jpg… đều không thể mở được.
Đồng thời, máy tính của nạn nhân sẽ nhận kèm một thông báo trên Desktop đ̣i tiền chuộc nếu muốn giải mă những tập tin đă bị chúng mă hoá. Tức, để có thể giải mă được các tập tin này bắt buộc phải có khoá bí mật (private key) mà chỉ có kẻ phát tán mới có. Điều này có nghĩa là chúng ta không thể khôi phục lại được các file đă bị mă hoá trừ khi chấp nhận trả tiền cho chúng.
Theo chuyên gia bảo mật, việc lây nhiễm mă độc trên bắt nguồn từ câu chuyện khi nạn nhân nhận được 1 email có chứa tập tin đính kèm và người dùng tưởng đây là 1 tập tin văn bản.
Nhưng thực chất, đây là một tập tin độc hại, tuy nhiên tập tin này không phải là mă độc tống tiền CT-Blocker mà là mă độc downloader, có định dạng *.scr (Screen Saver), và tên trùng với tên tập tin được đính kèm trong mail.
Sau khi nạn nhân mở tập tin này lên, mă độc downloader sẽ kích hoạt WordPad để hiển thị một file văn bản, đúng với nội dung trong email. Điều này khiến người dùng nghĩ rằng file đính kèm này chứa văn bản thật. Tuy nhiên, nhiệm vụ chính của downloader là tải các file độc hại khác xuống. Trong trường hợp này, nó kết nối tới máy chủ sẽ tải xuống 1 tập tin *.exe.
Tiếp tục, tập tin 24967891.exe được tải về sẽ “đẻ” ra 2 file là dvnoijl.job và qechhwi.exe (Tên tập tin có thể khác nhau trên các máy tính khác nhau).
Thành phần quan trọng nhất, tập tin qechhwi.exe mới là nhân vật chính của chúng ta, nhiệm vụ của nó là mă hoá tất cả các file .doc, pdf, xls, jpg, zip… trên máy tính của nạn nhân, sau đó hiển thị thông báo đe doạ và tống tiền.
Ông Đức cho biết, kẻ tống tiền sử dụng hệ thống TOR (The Onion Router) để kết nối máy nạn nhân với máy chủ điều khiển để doạ nạt và tống tiền.
Cần làm ǵ để pḥng tránh?
Theo ông Đức, thực tế, khi đă bị mă hoá, chúng ta không có cách nào giải mă được các tập tin nếu như không có khoá. V́ vậy, nhiều người đă bắt buộc phải trả tiền cho kẻ phát tán để lấy lại những tập tin quan trọng của ḿnh.
Do đó, trước khi chưa bị lây nhiễm, người dùng cần nhận thức rơ ràng và tiến hành các biên pháp pḥng chống sau ngay lập tức, cụ thể:
- Trang bị cho ḿnh một phần mềm diệt virus cập nhật thường xuyên. Người dùng có thể sử dụng phần mềm miễn phí đủ tốt của Microsoft là Windows Defender (Windows 8) và Microsoft Security Essentials (Windows 7 trở xuống). Hoặc có thể mua các phần mềm diệt virus khác để có thể hỗ trợ kỹ thuật.
- Cảnh giác với các tập tin đính kèm trong email. Tốt nhất là không mở tập tin đối với email gửi từ người lạ.
- Chỉ tải các tập tin cài đặt từ website chính gốc.
- Không bấm vào các đường link nhận được qua chat hay email.
- Thường xuyên backup các file tài liệu của ḿnh.
Quốc Phan