Tối 3/7/2015, một thành viên có nickname Nguyễn Hải đã chia sẻ trên diễn đàn otofun.net về việc máy tính xách tay của thành viên này đã bị “dính” mã độc CTB-Locker (một biến thể của mã độc mã hóa dữ liệu đòi tiền chuộc CryptoLocker - PV). Thành viên Nguyễn Hải cho biết, toàn bộ dữ liệu trên laptop đã bị mã hóa và hacker đưa ra yêu cầu trong thời gian 60h phải nộp số tiền chuộc dữ liệu là 500 USD.

 

Virrus mã hóa dữ liệu đòi tiền chuộc CTB-Locker xâm nhập máy tính người dùng (Nguồn ảnh: Otofun.net)

Virrus mã hóa dữ liệu đòi tiền chuộc CTB-Locker xâm nhập máy tính người dùng (Nguồn ảnh: Otofun.net)

 

CryptoLocker là một loại Ransomeware, thuật ngữ chỉ những mã độc sử dụng hệ thống mật mã để mã hóa dữ liệu người dùng lưu trữ trên máy tính… sau đó yêu cầu người dùng trả tiền để lấy lại quyền truy cập vào máy hoặc khôi phục dữ liệu. Năm 2013 được các chuyên gia bảo mật đánh giá là năm “bùng nổ” mã độc đòi tiền chuộc, với khoảng 320.000 mã độc dạng Ransomeware được thống kê.

Tại Việt Nam, vào đầu tháng 1/2014, Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) đã đưa ra cảnh báo tới người dùng Internet về việc xuất hiện sự xuất hiện và lây lan của mã độc mã hoá dữ liệu Ransomware trên hệ điều hành Microsoft Windows tại Việt Nam. Tiếp đó, cuối tháng 1/2015, Công ty An ninh mạng Bkav đã ra thông báo cảnh báo người dùng trong nước về sự xuất hiện và phát tán mạnh mẽ của virus CTB-Locker, biến thể của dòng mã độc đòi tiền chuộc CryptoLocker.

Theo Bkav, đã có hàng loạt người dùng máy tính tại Việt Nam nhận được các email spam có đính kèm file “.zip” mà khi mở file này, máy tính của người dùng sẽ bị kiểm soát và các file dữ liệu (Word, Excel) sẽ bị mã hóa, không thể mở ra được. Dữ liệu của người dùng đã bị mã hóa sẽ không thể được khôi phục vì hacker sử dụng thuật mã hóa công khai và khóa bí mật dùng để giải mã chỉ được lưu giữ trên server của hacker. Thống kê của Bkav cho hay, chỉ trong khoảng 2 tuần, từ ngày 22/1 đến 5/2/2015, đã có tới 1.600 máy tính của người dùng trong nước bị nhiễm virus chuyên mã hóa dữ liệu để đòi tiền chuộc CTB-Locker.

 

Để có thể giải mã, khôi phục dữ liệu, người dùng sẽ phải trả tiền chuộc theo yêu cầu của hacker phát tán mã độc CTB-Locker. (Ảnh minh họa. Nguồn:Internet)

Để có thể giải mã, khôi phục dữ liệu, người dùng sẽ phải trả tiền chuộc theo yêu cầu của hacker phát tán mã độc CTB-Locker. (Ảnh minh họa. Nguồn:Internet)

 

Trao đổi với ICTnews vào ngày 4/7/2015, đại diện Công ty Bkav cho biết, mặc dù không bùng phát mạnh mẽ như hồi đầu năm nay, tuy nhiên thời gian gần đây đơn vị này vẫn nhận được thông tin về việc một số người dùng trong nước bị nhiễm mã độc mã hóa dữ liệu đòi tiền chuộc CTB-Locker. Về trường hợp máy tính của thành viên Nguyễn Hải trên diễn đàn otofun.net bị nhiễm mã độc CTB-Locker, đại diện Bkav cho rằng khó có thể khôi phục dữ liệu đã bị hacker mã hóa, bởi lẽ cho đến nay cách thức mã hóa dữ liệu này trên thế giới vẫn chưa có ai bẻ khóa được.

Đáng chú ý, mới đây, VNCERT đã tiếp tục có cảnh báo về virus đòi tiền chuộc - Ransomware. Theo VNCERT, thời gian gần đây, cơ quan này nhận được nhiều thông tin phản ánh về việc lây nhiễm các phiên bản mới của mã độc Ransomware như CTB Locker/Critroni hoặc Onion trong nhiều cơ quan tổ chức tại Việt Nam.

“Chúng tôi nhận thấy đây là loại mã độc rất nguy hiểm, có thể dẫn đến mất mát dữ liệu lớn trong các cơ quan, tổ chức và cá nhân, đặc biệt khi bị nhiễm mã độc và các tài liệu đã bị mã hóa thì không thể khôi phục dữ liệu. Một số trường hợp có thể thực hiện được nhưng tốn nhiều thời gian và chi phí và không thể khôi phục lại được toàn bộ dữ liệu. Do tình hình lây lan hiện nay rất phức tạp, đề nghị các cơ quan, tổ chức cần chú ý và tăng cường công tác phòng ngừa sự cố có thể xảy ra”, đại diện VNCERT nhấn mạnh.

Theo VNCERT, 2 phương pháp lây lan chủ yếu của virus mã hóa dữ liệu đòi tiền chuộc là: gửi tệp tin nhiễm mã độc kèm theo thư điện tử, khi người sử dụng kích hoạt tệp tin đính kèm thư điện tử sẽ làm lây nhiễm mã độc vào máy tính; gửi thư điện tử hoặc tin nhắn điện tử có chứa đường dẫn đến phần mềm bị giả mạo bởi mã độc Ransomware và đánh lừa người sử dụng truy cập vào đường dẫn này để vô ý tự cài đặt mã độc lên máy tính. Ngoài ra, máy tính còn có thể bị nhiễm thông qua các con đường khác như lây lan qua các thiết bị lưu trữ, lây qua cài đặt phần mềm, sao chép dữ liệu, phần mềm...

Mã độc mã hóa dữ liệu đòi tiền chuộc sau khi lây nhiễm vào máy tính của người bị hại, sẽ dò quét các tệp tin tài liệu có đuôi mở rộng như: .doc, .docx, .pdf, .xls, .xlsx, .jpg, .zip... trên tất cả các thiết bị lưu trữ trên máy nạn nhân và tự động mã hóa và đổi tên các tệp tin đó bằng cách sử dụng thuật toán mã hóa với khóa công khai, một số loại mã độc còn tiến hành khóa máy tính nạn nhân không cho sử dụng. Sau đó, mã độc sẽ yêu cầu người bị hại thanh toán qua mạng (thẻ tín dụng hoặc bitcoin) để lấy được mật khẩu giải mã các tệp tin đã bị mã hóa trái phép.

Hiện nay vẫn chưa có phần mềm hoặc dịch vụ thương mại nào cho phép giải mã các tệp tin đã bị mã độc Ransomware nếu không lấy được mật khẩu giải mã của hacker phát tán mã độc.

Trong tình hình hiện nay, để phòng ngừa các loại mã độc mã hóa dữ liệu đòi tiền chuộc, VNCERT khuyến cáo các đơn vị, bên cạnh việc thực hiện sao lưu định kỳ dữ liệu, cần đặc biệt chú ý phòng ngừa nhằm hạn chế tối đa khả năng bị nhiễm mã độc.

Cụ thể, các đơn vị cần thường xuyên cập nhật bản vá, phiên bản mới nhất cho hệ điều hành và phần mềm chống mã độc (Kaspersky, Synmatec, Avast, AVG, MSE, Bkav, CMC...). Khuyến khích các cơ quan, tổ chức sử dụng các phiên bản phần mềm phòng chống mã độc có chức năng đảm bảo an toàn khi truy cập mạng Internet và phát hiện mã độc trực tuyến.

Bên cạnh đó, các đơn vị cũng cần chú ý cảnh giác với các tệp tin đính kèm, các đường dẫn (link) được gửi đến qua thư điện tử hoặc tin nhắn, hạn chế tối đa việc truy cập vào các đường dẫn này vì tin tặc có thể đánh cắp hoặc giả mạo hòm thư điện tử người gửi phát tán các kết nối chứa mã độc; Tắt chế độ tự động mở, chạy các tệp tin đính kèm theo thư điện tử; và sử dụng phần mềm diệt virus để kiểm tra các tệp tin được gửi qua thư điện tử, tải từ trên mạng về trước khi kích hoạt. Nếu không cần thiết hoặc không rõ nguồn gốc thì không kích hoạt các tệp tin này.

Theo ICTNews