Chuyên gia bảo mật FPT: "Một số cơ quan, ngân hàng của VN đã bị nhiễm virus tống tiền"

Chuyên gia bảo mật FPT: "Một số cơ quan, ngân hàng của VN đã bị nhiễm virus tống tiền"

Chuyên gia bảo mật FPT: Một số cơ quan, ngân hàng của VN đã bị nhiễm virus tống tiền

Ông Nguyễn Minh Đức, chuyên gia bảo mật FPT là cựu Phó Chủ tịch phụ trách An ninh mạng Công ty Bkav (Ảnh: Nghệ Nguyễn/ Chungta.vn)

Vào chiều ngày hôm qua (22/1/2015), Công ty An ninh mạng Bkav cũng đã ra thông báo cho biết hệ thống giám sát của công ty này đã phát hiện sự xuất biến thể mới của loại mã độc đòi tiền chuộc CryptoLocker (còn được gọi là mã độc tống tiền) đang phát tán mạnh tại Việt Nam.

Trong cảnh báo người dùng Việt Nam về sự xuất hiện của loại mã độc CTBLocker mới chuyên tống tiền, chuyên gia bảo mật FPT Nguyễn Minh Đức cho biết, từ trưa ngày 21/1/2015, ông bắt đầu nhận được một số lời đề nghị trợ giúp về việc hệ thống mạng máy tính của một số cơ quan trong đó có cả ngân hàng lớn tại Việt Nam bị nhiễm một mã độc mới.

Khi lây nhiễm được vào máy tính của nạn nhân, mã độc quét toàn bộ ổ đĩa của máy tính và tiến hành mã hoá các file bằng mã hoá khoá công khai (public key cryptography). Hầu hết các file quan trọng trên máy tính (định dạng .doc, pdf, xls, jpg, zip…) sẽ không thể mở được nữa. Việc này đi kèm với một thông báo trên Desktop đòi tiền chuộc nếu muốn giải mã những file của nạn nhân.

Để giải mã được các file này bắt buộc phải có khoá bí mật (private key) mà chỉ có kẻ phát tán mới có. Điều này có nghĩa là chúng ta không thể khôi phục lại được các file đã bị mã hoá trừ khi chấp nhận trả tiền cho chúng.

Chuyên gia bảo mật FPT: Một số cơ quan, ngân hàng của VN đã bị nhiễm virus tống tiền

Các file trên máy tính đã bị mã hóa.

Chuyên gia bảo mật FPT: Một số cơ quan, ngân hàng của VN đã bị nhiễm virus tống tiền

Xuất hiện thông báo đòi tiền chuộc trên Desktop

Hoạt động của mã độc

Lý giải rõ hơn về phương thức tấn công của loại mã độc mới chuyên tống tiền này, ông Đức cho biết, câu chuyện bắt đầu khi nạn nhân nhận được 1 email có chứa file đính kèm và người dùng tưởng là 1 file văn bản.

Chuyên gia bảo mật FPT: Một số cơ quan, ngân hàng của VN đã bị nhiễm virus tống tiền

Ông Đức nhận định “Bản chất file đính kèm là một file độc hại. Tuy nhiên nó không phải là con mã độc tống tiền CTBLocker, mà là 1 con downloader, có định dạng .scr (Screen Saver), và tên trùng với tên file được đính kèm trong mail”.

Chuyên gia bảo mật FPT: Một số cơ quan, ngân hàng của VN đã bị nhiễm virus tống tiền

Con mã độc downloader sẽ kích hoạt WordPad để hiển thị một file văn bản, đúng với nội dung trong email. Điều này khiến người dùng nghĩ rằng file đính kèm này chứa văn bản thật.

Chuyên gia bảo mật FPT: Một số cơ quan, ngân hàng của VN đã bị nhiễm virus tống tiền

Tuy nhiên, nhiệm vụ chính của downloader là tải các file độc hại khác xuống. Trong trường hợp này, nó kết nối tới máy chủ  sẽ tải xuống 1 file .exe

Chuyên gia bảo mật FPT: Một số cơ quan, ngân hàng của VN đã bị nhiễm virus tống tiền

Con 24967891.exe tiếp tục “đẻ” ra 2 file là dvnoijl.job và qechhwi.exe (Tên file có thể khác nhau trên các máy tính khác nhau).

Chuyên gia bảo mật FPT: Một số cơ quan, ngân hàng của VN đã bị nhiễm virus tống tiền

Con qechhwi.exe mới là nhân vật chính của chúng ta, nhiệm vụ của nó là mã hoá tất cả các file .doc, pdf, xls, jpg, zip… trên máy tính của nạn nhân, sau đó hiển thị thông báo doạ nạt và tống tiền.

Chuyên gia bảo mật FPT: Một số cơ quan, ngân hàng của VN đã bị nhiễm virus tống tiền

Mã độc mở các thư mục và mã hóa file.

Chuyên gia bảo mật FPT: Một số cơ quan, ngân hàng của VN đã bị nhiễm virus tống tiền

madoc-7.jpg

Kẻ tống tiền sử dụng hệ thống TOR (The Onion Router) để kết nối máy nạn nhân với máy chủ điều khiển.

Người dùng nên làm gì?

Ông Nguyễn Minh Đức cho biết, thực tế, khi bị mã hoá, chúng ta không có cách nào giải mã được các file nếu như không có khoá. Vì vậy, nhiều người đã bắt buộc phải trả tiền cho kẻ phát tán mã độc để lấy lại những file quan trọng của mình. Trong trường hợp này thì “phòng cháy hơn chữa cháy”. Để không bị lây nhiễm những mã độc tống tiền, ông Đức khuyến nghị người dùng nên trang bị cho mình một phần mềm diệt virus cập nhật thường xuyên. Cụ thể, người dùng có thể sử dụng phần mềm miễn phí đủ tốt của Microsoft là Windows Defender (Windows 8) và Microsoft Security Essentials (Windows 7 trở xuống); hoặc có thể mua các phần mềm diệt virus khác để có thể hỗ trợ kỹ thuật. Bên cạnh đó, người dùng cần cảnh giác với các file đính kèm trong email, tốt nhất là không mở file đối với email gửi từ người lạ và chỉ tải các file cài đặt từ website chính gốc. Ông Đức cũng khuyến nghị người dùng không bấm vào các đường link nhận được qua chat hay email và thường xuyên backup các file tài liệu của mình.

Trước đó, trong đánh giá công bố ngày 13/1/2015 về tình hình an ninh mạng thế giới năm 2014 và dự báo các xu hướng của năm 2015, chuyên gia bảo mật FPT Nguyễn Minh Đức cũng đã nhấn mạnh đến sự xuất hiện của nhiều loại mã độc nguy hiểm trong năm 2014. Theo AV-Test, có đến hơn 140 triệu loại mã độc mới xuất hiện trong năm 2014, nhiều hơn hẳn so với các năm trước. Bên cạnh sự vượt trội về số lượng, chúng ta cũng có thể thấy 2014 xuất hiện nhiều mã độc có đặc điểm khác biệt so với các mã độc khác. Đặc biệt, dự báo về an ninh mạng năm 2015, ông Đức cho rằng một trong 8 xu hướng lớn chính là: mã độc trên di động tiếp tục tăng nhanh và sẽ xuất hiện nhiều biến thể phần mềm mã hoá tống tiền (ransomware) trên di động.

Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống

Nguồn tin: Ictnews

 

Tham gia bình luận