Cảnh báo hình thức lây nhiễm mới của mã độc mã hóa tài liệu (Ransomware)
Sign In
Giao ban giải ngân đầu tư công và Ban Chỉ đạo 57 Bộ Tư pháp Giao ban Ban Chỉ đạo 57 của Bộ Tư pháp về đổi mới sáng tạo, chuyển đổi số Cần tập trung đầu tư xây dựng các cơ sở dữ liệu trọng yếu của ngành Tư pháp Giao ban Ban Chỉ đạo Bộ Tư pháp về phát triển khoa học, công nghệ, đổi mới sáng tạo, chuyển đổi số và Đề án 06 Chú trọng hoàn thiện khung pháp lý về bảo vệ quyền con người, quyền công dân trên môi trường số

An toàn thông tin

Cảnh báo hình thức lây nhiễm mới của mã độc mã hóa tài liệu (Ransomware)

Trong tuần đầu tháng 03/2016, Trung tâm VNCERT ghi nhận cách thức tấn công mới của tin tặc nhằm vào các cơ quan tổ chức có sử dụng các hòm thư điện tử nội bộ. Với cách tấn công mới này, tin tặc sẽ giả mạo một địa chỉ điện tử có đuôi là @tencongty.com.vn để gửi thư điện tử có kèm mã độc đến các người dùng trong công ty đó. Để qua mặt các hệ thống dò quét mã độc, các mã độc thường được nén lại dưới định dạng .zip hoặc .zar. Qua phân tích của chuyên gia VNCERT với một sự cố cho thấy, tệp tin chứa mà độc .zip chứa bên trong các tệp tin thực thi như .js (đây là một tệp tin Javascript) hoặc tệp tin vãn bản như .doc, .xls..., khi người dùng mở tập tin này mã độc sẽ dược kích hoạt và tự động tải tập tin mã độc mã hóa tài liệu và tự thực thi trên máy. Với trường họp mã độc mã hóa tài liệu thì mã độc sẽ tiến hành mã hóa nội dung toàn bộ các dữ liệu trên máy nạn nhân với thuật toán mã hóa mạnh để không thể giải mã được với mục đích bắt cóc dữ liệu trên máy để tống tiền nạn nhân. Với việc giả mạo chính các địa chỉ thư điện tử của đơn vị sẽ làm cho người dùng khó phát hiện các thư giả mạo dẫn đến số lượng các máy tính bị lây nhiễm mã độc mã hóa dữ liệu có thể tăng cao.

 Các phương pháp lây lan chủ yếu của mã độc mã hóa tài liệu là:
1.    Gửi tập tin đính kèm thư điện tử, khi người dùng mở tập tin thì mã độc sẽ tự động lây nhiễm vào máy tính người dùng;
2.    Gửi thư điện tử hoặc tin nhắn điện tử có chứa đường dẫn đến mã độc và yêu cầu người dùng tải về và cài đặt;
Ngoài ra máy tính còn có thể bị lây nhiễm thông qua đường khác như qua các thiết bị lưu trữ, qua quá trình cài đặt phần mềm không rõ nguồn gốc, sao chép dữ liệu từ máy nhiễm,...
Dấu hiệu nhận biết của loại mã độc sau khi máy tính bị nhiễm là các tài liệu, văn bản sẽ bị thay đổi nội dung và đổi tên phần mở rộng, phổ biến là các tập tin có định dạng: .doc, .docx, .pdf, .xls, .xlsx, jpg, .txt, .ppt, .pptx,...một số loại còn khóa máy tính không cho sử dụng và đòi tiền chuộc.

Để phòng ngừa các loại mã độc Ransomware trong tình hình hiện nay, Trung tâm VNCERT khuyến cáo các đơn vị xử lý một số biện pháp sau:
1. Phòng ngừa để hạn chế tối đa khả năng bị nhiễm mã độc:
   -   Phân quyền hợp lý cho các loại tài khoản người dùng, bảo vệ các tập tin không cho phép xóa, sửa nội dung các tập tin quan trọng.
   -   Cài đặt và thường xuyên cập nhật cho hệ điều hành, phần mềm chống mã độc như Kaspersky, Symantec, Avast, AVG, McAfee, Bkav, CMC,...
   -   Chú ý cảnh giác với các tập tin đính kèm, các đường liên kết ẩn được gửi đến thư điện tử người dùng, kể cả người gửi từ trong nội bộ.
   -   Thực hiện các biện pháp kỹ thuật nhằm kiểm tra xác thực người dùng trên máy chủ gửi email của đơn vị, tránh bị giả mạo người gửi từ nội bộ.
   -  Tắt các chế độ tự động mở, chạy tập tin đính kèm theo thư điện tử.
2. Thực hiện sao lưu dữ liệu định kỳ:
   -    Sừ dụng các ổ đĩa lưu trữ như Ổ cứng cắm ngoài, Ồ đĩa USB để lưu trữ các dữ liệu quan trọng trong máy tính. Sau khi sao lưu xong đưa ra cất giữ riêng.
   -    Sử dụng các công cụ, giải pháp chuyên dụng để sao lưu dữ liệu như: các máy chủ quản lý tập tin, máy chủ sao lưu từ xa, các công cụ lưu trữ đám mây cho phép khôi phục lịch sử thay đổi của tập tin.
3. Xử lý khi phát hiện lây nhiêm mã độc:
Khi mã độc lây nhiễm vào máy tính, mã độc sẽ tiến hành quét và mã hóa các tập tin trong một khoảng thời gian. Do đó, việc phản ứng nhanh khi phát hiện ra sự cố có thể giúp giảm thiểu thiệt hại cho dữ liệu trên máy tính và tăng khả năng khôi phục dữ liệu bị mã hóa. Cụ thể cần thực hiện các thao tác sau:
   -   Nhanh chóng tắt máy tính bằng cách ngắt nguồn điện.
   -   Không được khởi động lại máy tính theo cách thông thường mà phải khởi động từ hệ điều hành sạch khác (khuyến nghị hệ điều hành Linux) như từ ổ đĩa CD, USB,...sau đó thực hiện kiếm tra các tập tin dữ liệu và sao lưu các dữ liệu chưa bị mã hóa.
   -   Các tập tin đã bị mã hóa tương đối khó để giải mã, tuy nhiên trong một số trường hợp có thể sử dụng các phần mềm khôi phục dữ liệu như FTK, EaseUs, R-STUDIO,...để khôi phục các tập tin nguyên bản đã bị xóa.
   -   Cài đặt lại toàn bộ hệ thống, cài đặt phần mềm diệt virus đồng thời thiết lập chế độ cập nhật phiên bản tự động.
Để giúp việc theo dõi, phân tích và phản ứng nhanh chóng với các loại mã độc mới, ngay khi phát hiện xảy ra sự cố về mã độc Ransomware người dùng cần nhanh chóng thông báo theo số điện thoại: 04 62739717 Phòng Hạ tầng kỹ thuật và đảm bảo an toàn thông tin – Cục Công nghệ thông tin.
Nguồn : TBT - VNCERT

Các tin khác

HỘI THẢO – TRIỂN LÃM QUỐC GIA VỀ AN NINH BẢO MẬT 2016 - SECURITY WORLD 2016 Hội nghị phổ biến Luật An toàn thông tin mạng Luật An toàn thông tin mạng chính thức có hiệu lực thi hành 5 cấp độ bảo đảm an toàn hệ thống thông tin 8 hành vi dễ làm lộ lọt thông tin cá nhân

Thông báo

Xem thêm »
Xem thêm

Liên kết website

© Bản quyền 2004 - 2016 Cục Công nghệ Thông tin - Bộ Tư pháp.

Địa chỉ: 60 Trần Phú - Ba Đình - Hà Nội - Điện thoại: 024.62739718 Fax: 024.62739730 Email: it@moj.gov.vn

® Mọi thông tin phát hành lại trên trang thông tin này phải ghi rõ nguồn "Cục Công nghệ thông tin - Bộ Tư pháp"

Chung nhan Tin Nhiem Mang