Theo ông Nguyễn Minh Đức, chuyên gia công nghệ tại công ty FPT, tại Việt Nam đã xuất hiện một mã độc CTBLocker mới - chuyên tống tiền và đã bị lây nhiễm tại một số cơ quan trong đó có cả các ngân hàng lớn.
Mã độc CTBLocker tống tiền như thế nào?
Ông Nguyễn Minh Đức, từng là Phó Tổng giám đốc công ty an ninh mạng Bkav và hiện tại là chuyên gia công nghệ của công ty FPT. Ông Đức cho biết mã độc CTBLocker mới chỉ xuất hiện tại Việt Nam. khi lây nhiễm vào máy tính của nạn nhân, nó sẽ quét toàn bộ ổ đĩa của máy tính đó và tiến hành mã hoá các tập tin bằng mã hoá khoá công khai. Sau khi đã mã hoá tất cả các tập tin trên máy tính, hầu hết các tập tin quan trọng có định dạng như *.doc, *.pdf, *.xls, *jpg… đều không thể mở được.
Đồng thời, máy tính của nạn nhân sẽ nhận kèm một thông báo trên Desktop đòi tiền chuộc nếu muốn giải mã những tập tin đã bị chúng mã hoá. Tức, để có thể giải mã được các tập tin này bắt buộc phải có khoá bí mật (private key) mà chỉ có kẻ phát tán mới có. Điều này có nghĩa là chúng ta không thể khôi phục lại được các file đã bị mã hoá trừ khi chấp nhận trả tiền cho chúng.
Theo chuyên gia bảo mật, việc lây nhiễm mã độc trên bắt nguồn từ câu chuyện khi nạn nhân nhận được 1 email có chứa tập tin đính kèm và người dùng tưởng đây là 1 tập tin văn bản.
Nhưng thực chất, đây là một tập tin độc hại, tuy nhiên tập tin này không phải là mã độc tống tiền CT-Blocker mà là mã độc downloader, có định dạng *.scr (Screen Saver), và tên trùng với tên tập tin được đính kèm trong mail.
Sau khi nạn nhân mở tập tin này lên, mã độc downloader sẽ kích hoạt WordPad để hiển thị một file văn bản, đúng với nội dung trong email. Điều này khiến người dùng nghĩ rằng file đính kèm này chứa văn bản thật. Tuy nhiên, nhiệm vụ chính của downloader là tải các file độc hại khác xuống. Trong trường hợp này, nó kết nối tới máy chủ sẽ tải xuống 1 tập tin *.exe.
Tiếp tục, tập tin 24967891.exe được tải về sẽ “đẻ” ra 2 file là dvnoijl.job và qechhwi.exe (Tên tập tin có thể khác nhau trên các máy tính khác nhau).
Thành phần quan trọng nhất, tập tin qechhwi.exe mới là nhân vật chính của chúng ta, nhiệm vụ của nó là mã hoá tất cả các file .doc, pdf, xls, jpg, zip… trên máy tính của nạn nhân, sau đó hiển thị thông báo đe doạ và tống tiền.
Ông Đức cho biết, kẻ tống tiền sử dụng hệ thống TOR (The Onion Router) để kết nối máy nạn nhân với máy chủ điều khiển để doạ nạt và tống tiền.
Cần làm gì để phòng tránh?
Theo ông Đức, thực tế, khi đã bị mã hoá, chúng ta không có cách nào giải mã được các tập tin nếu như không có khoá. Vì vậy, nhiều người đã bắt buộc phải trả tiền cho kẻ phát tán để lấy lại những tập tin quan trọng của mình.
Do đó, trước khi chưa bị lây nhiễm, người dùng cần nhận thức rõ ràng và tiến hành các biên pháp phòng chống sau ngay lập tức, cụ thể:
- Trang bị cho mình một phần mềm diệt virus cập nhật thường xuyên. Người dùng có thể sử dụng phần mềm miễn phí đủ tốt của Microsoft là Windows Defender (Windows 8) và Microsoft Security Essentials (Windows 7 trở xuống). Hoặc có thể mua các phần mềm diệt virus khác để có thể hỗ trợ kỹ thuật.
- Cảnh giác với các tập tin đính kèm trong email. Tốt nhất là không mở tập tin đối với email gửi từ người lạ.
- Chỉ tải các tập tin cài đặt từ website chính gốc.
- Không bấm vào các đường link nhận được qua chat hay email.
- Thường xuyên backup các file tài liệu của mình.
Mã độc CTBLocker tống tiền như thế nào?
Ông Nguyễn Minh Đức, từng là Phó Tổng giám đốc công ty an ninh mạng Bkav và hiện tại là chuyên gia công nghệ của công ty FPT. Ông Đức cho biết mã độc CTBLocker mới chỉ xuất hiện tại Việt Nam. khi lây nhiễm vào máy tính của nạn nhân, nó sẽ quét toàn bộ ổ đĩa của máy tính đó và tiến hành mã hoá các tập tin bằng mã hoá khoá công khai. Sau khi đã mã hoá tất cả các tập tin trên máy tính, hầu hết các tập tin quan trọng có định dạng như *.doc, *.pdf, *.xls, *jpg… đều không thể mở được.
Đồng thời, máy tính của nạn nhân sẽ nhận kèm một thông báo trên Desktop đòi tiền chuộc nếu muốn giải mã những tập tin đã bị chúng mã hoá. Tức, để có thể giải mã được các tập tin này bắt buộc phải có khoá bí mật (private key) mà chỉ có kẻ phát tán mới có. Điều này có nghĩa là chúng ta không thể khôi phục lại được các file đã bị mã hoá trừ khi chấp nhận trả tiền cho chúng.
Theo chuyên gia bảo mật, việc lây nhiễm mã độc trên bắt nguồn từ câu chuyện khi nạn nhân nhận được 1 email có chứa tập tin đính kèm và người dùng tưởng đây là 1 tập tin văn bản.
Nhưng thực chất, đây là một tập tin độc hại, tuy nhiên tập tin này không phải là mã độc tống tiền CT-Blocker mà là mã độc downloader, có định dạng *.scr (Screen Saver), và tên trùng với tên tập tin được đính kèm trong mail.
Sau khi nạn nhân mở tập tin này lên, mã độc downloader sẽ kích hoạt WordPad để hiển thị một file văn bản, đúng với nội dung trong email. Điều này khiến người dùng nghĩ rằng file đính kèm này chứa văn bản thật. Tuy nhiên, nhiệm vụ chính của downloader là tải các file độc hại khác xuống. Trong trường hợp này, nó kết nối tới máy chủ sẽ tải xuống 1 tập tin *.exe.
Tiếp tục, tập tin 24967891.exe được tải về sẽ “đẻ” ra 2 file là dvnoijl.job và qechhwi.exe (Tên tập tin có thể khác nhau trên các máy tính khác nhau).
Thành phần quan trọng nhất, tập tin qechhwi.exe mới là nhân vật chính của chúng ta, nhiệm vụ của nó là mã hoá tất cả các file .doc, pdf, xls, jpg, zip… trên máy tính của nạn nhân, sau đó hiển thị thông báo đe doạ và tống tiền.
Ông Đức cho biết, kẻ tống tiền sử dụng hệ thống TOR (The Onion Router) để kết nối máy nạn nhân với máy chủ điều khiển để doạ nạt và tống tiền.
Cần làm gì để phòng tránh?
Theo ông Đức, thực tế, khi đã bị mã hoá, chúng ta không có cách nào giải mã được các tập tin nếu như không có khoá. Vì vậy, nhiều người đã bắt buộc phải trả tiền cho kẻ phát tán để lấy lại những tập tin quan trọng của mình.
Do đó, trước khi chưa bị lây nhiễm, người dùng cần nhận thức rõ ràng và tiến hành các biên pháp phòng chống sau ngay lập tức, cụ thể:
- Trang bị cho mình một phần mềm diệt virus cập nhật thường xuyên. Người dùng có thể sử dụng phần mềm miễn phí đủ tốt của Microsoft là Windows Defender (Windows 8) và Microsoft Security Essentials (Windows 7 trở xuống). Hoặc có thể mua các phần mềm diệt virus khác để có thể hỗ trợ kỹ thuật.
- Cảnh giác với các tập tin đính kèm trong email. Tốt nhất là không mở tập tin đối với email gửi từ người lạ.
- Chỉ tải các tập tin cài đặt từ website chính gốc.
- Không bấm vào các đường link nhận được qua chat hay email.
- Thường xuyên backup các file tài liệu của mình.
Dân trí