Mã độc mã hoá dữ liệu & tống tiền
Ransomware là một loại mã độc tống tiền người dùng bằng cách xâm nhập vào máy tính, điện thoại thông minh và mã hoá dữ liệu của nạn nhân, buộc họ phải nộp tiền chuộc để nhận lại dữ liệu đã bị mã hoá.
Màn hình của một nạn nhân của CTB Locker tại Việt Nam.
Trong thời gian vừa qua hàng loạt điện thoại thông minh, máy tính tại Việt Nam bị nhiễm một loại mã độc tống tiền. Loại mã độc này tìm cách xâm nhập vào thiết bị của người dùng và mã hoá dữ liệu trên đó, sau đó buộc nạn nhân phải nộp tiền chuộc để nhận lại dữ liệu đã bị mã hoá. Dữ liệu đã bị mã hoá không thể khôi phục lại vì hacker đã dùng các thuật toán bí mật để mã hoá, công cụ giải mã lại lưu trữ tại máy chủ do hacker quản lý.
Theo hãng bảo mật Trend Micro đến từ Nhật Bản, thì loại mã độc này thuộc dòng Ransomware (một loại mã độc khoá dữ liệu tống tiền người dùng) mang tên Critroni hay còn gọi là CTB Locker (Curve-Tor-Bitcoin Locker) xuất hiện từ tháng 7-2014.
Cho đến nay, CTB Locker đã có thêm nhiều biến thể mới với các tính năng như “giải mã miễn phí một số file” nhằm thuyết phục nạn nhân chi trả tiền là cách hiệu quả để cứu dữ liệu; cho gia hạn thời hạn chuộc dữ liệu và tuỳ chọn ngôn ngữ thông báo tống tiền.
“Biến thể mới của CTB Locker yêu cầu nạn nhân nộp tiền chuộc với số tiền 3 Bitcoin (loại tiền ảo, tương đương 630 USD với tỷ giá thời điểm hiện tại) và cho nạn nhân 96 giờ để thực hiện việc chi trả và nhận lại dữ liệu, so với phiên bản cũ CTB Locker chỉ đòi 0,2 Bitcoin (tương đương 24 USD) và cho nạn nhân 72 giờ để thanh toán”.
Hãng bảo mật Trend Micro cho biết CTB Locker mới này đã và đang đe doạ người dùng ở nhiều quốc gia trên thế giới từ Châu Âu, Trung Đông, Châu Phi, Trung Quốc, Mỹ Latinh và Ấn Độ và thời gian gần đây là Việt Nam.
CTB Locker tác động lên máy tính của nạn nhân thế nào?
Theo chuyên gia của Trend Micro thì quá trình bị nhiễm mã độc CTB Locker thông qua các bước sau:
- Đầu tiên, CTB Locker được kẻ xấu phát tán qua Spam Mail (thư rác), được gửi bằng nhiều ngôn ngữ khác nhau nên thư có cả tiếng Việt và thường giả mạo là thông báo những nội dung quan trọng, nhằm lừa người nhận mở file đính kèm được nén dưới dạng file .ZIP.
Mẫu Spam Mail thường được gửi đến nạn nhân đính kèm một file .ZIP |
- Sau đó, tập tin đính kèm trong email giả mạo là TROJ_CRYPCTB.SMD - một phần mềm chịu trách nhiệm tải các mã độc khác (downloader), cụ thể nó sẽ tải CTB Locker về máy nạn nhân. Theo Trend Micro, mã độc tống tiền CTB-Locker được phát hiện là TROJ_CRYPCTB.SME. Sau khi kiểm tra các đường dẫn URL, Trend Micro xác định chúng đều độc hại bắt nguồn tại Pháp. Phần mềm downloader sử dụng phương pháp phân phối xoay vòng (round-robin) chọn ra đường dẫn URL để tải về mã độc CTB-Locker nhằm tránh sự phát hiện của các công cụ bảo mật.
Dưới đây là sơ đồ giải thích chu trình tấn công của phần mềm tống tiền bắt đầu từ Spam Mail có đính kèm tập tin.ZIP độc hại.
Cách để phòng tránh CTB Locker
Theo các chuyên gia, người dùng cần hiểu rõ về các loại mã độc khoá dữ liệu đòi tiền chuộc dòng Ransomware này cũng như cách phát tán và các mối nguy hại của nó gây ra khi nhiễm vào máy tính để phòng tránh cho bản thân.
Các bước tấn công nạn nhân của CTB Locker |
1. Bỏ ngay những thư rác hay email đáng nghi
Người dùng cần nhận biết các email nào là nguy hiểm. Một số email trông có vẻ thật nhưng “thận trọng là không thừa”, bạn luôn phải kiểm tra địa chỉ người gởi, tiêu đề và nội dung trong email có gì đủ tin cậy hay không.
Tránh các email “giật gân” nhằm đánh vào tâm lý người đọc vì hacker thường tận dụng những tin tức đang gây “xôn xao dư luận”. Chẳng hạn trong năm 2014 đã có những vụ tin tặc tận dụng những tin tức về tai nạn máy bay của Hãng Malaysia Airlines MH370 và MH17 hay sự kiện ra mắt iPhone 6 cũng bị tin tặc lợi dụng để phát tán tin rác,…
2. Tuân thủ quy tắc 3-2-1 của các chuyên gia
• Trend Micro đã khuyến cáo người dùng phải thường xuyên sao lưu dữ liệu của mình. Trong đó có nguyên tác 3-2-1 là có 3 bản sao, hai phương tiện lưu trữ khác nhau và một nơi lưu trữ tách biệt.
• Cụ thể, người dùng có thể sao lưu dữ liệu bằng cách chép ra các ổ cứng ngoài hoặc đưa chúng lên “mây” như các công cụ lưu trữ là Google Drive, Microsoft OneDrive, Dropbox…
• Thường xuyên cập nhật bản lưu mới cho dữ liệu quan trọng, không chép đè lên mà tạo các bản sao để đối chiếu thay đổi khi cần.
Công cụ nhận dạng và chống thư rác của Trend Micro |
3. Nên dùng phần mềm Internet Security của các hãng bảo mật uy tín
Các chương trình bảo mật luôn cần thiết đối với người dùng máy tính. Nên chọn những phiên bản có tính năng cao cấp như phần mềm bảo mật phiên bản Internet Security có các tính năng như tường lửa, lọc email rác… để bảo vệ bạn tốt nhất khi sử dụng Internet hay giao dịch trực tuyến.
Chú ý những thông báo từ phần mềm bảo mật khi phát hiện những tập tin đáng nghi.
4. Đừng mong mỏi dữ liệu quay về
Đừng đợi đến lúc mã độc mã hoá tất cả các dữ liệu của mình rồi sau đó mới thấy chúng đáng quý như thế nào. Một điều chắc chắn là bạn không thể cứu vãn những dữ liệu đã bị mã hoá và bạn cũng đừng trong mong một phép thần kỳ nào kể cả các chuyên gia cũng không thể giúp bạn lấy lại chúng. Không ai ngoài chủ nhân của mã độc mới có thể giải mã và đây là hung thủ tống tiền bạn.
Bạn có trả cho chúng 630 USD để chuộc lại dữ liệu và nộp tiền xong bạn có được “giải thoát”? Hãy nghĩ đến viễn cảnh này và sao lưu ngay dữ liệu quan trọng của bạn.
Đối với doanh nghiệp, tổn thất sẽ nặng nề hơn rất nhiều so với người dùng cá nhân, khi máy tính trong mạng lưới bị CTB Locker tấn công và gây trì trệ công việc đến toàn bộ hệ thống làm việc của bạn.
Người dùng cần thường xuyên hoặc tốt nhất nên mở chế độ cập nhật tự động cho chương trình bảo mật của mình. Cuối cùng, điểm yếu lớn nhất của một hệ thống bảo mật hoàn hảo vẫn là yếu tố con người. Bạn cần tập thói quen cảnh giác trước rất nhiều nguy cơ từ mã độc, mạng Internet hiện có. Hiểu về chúng, để biết cách phòng tránh và ngăn chặn trước khi quá muộn.
PC World VN, 03/2015