Hình ảnh thường gặp khi máy tính bị nhiễm mã độc Ransomware.

Hiện nay, hình thức lây nhiễm mới của loại mã độc Ransomware là sử dụng hòm thư điện tử nội bộ (có đuôi @tendonvi.com.vn) để phát tán những mã độc .zip hoặc .rar, các tập tin này chứa tập tin thực thi như .js (JavaScript) hoặc tập tin văn bản .doc, .xls… Khi người dùng mở tập tin này thì mã độc sẽ được kích hoạt và tự động tải tập tin mã độc mã hóa tài liệu và tự thực thi trên máy tính. Qua đó, toàn bộ dữ liệu trên máy tính của nạn nhân sẽ bị mã hóa với thuật toán mã hóa mạnh, khó có thể giải mã được, từ đó lấy cắp dữ liệu và tống tiến nạn nhân. Bằng việc giả mạo chính các thư điện tử của đơn vị, người dùng sẽ khó phát hiện các thư giả mạo, dẫn đến số lượng các máy bị lây nhiễm Ransomware có thể tăng cao.

Nhận thấy hình thức tấn công này gây thiệt hại lớn, ảnh hưởng trực tiếp đến tài sản, thời gian và dữ liệu quan trọng. Vì vậy, Sở TT&TT đưa ra các cách thức lây lan chủ yếu và hướng dẫn các biện pháp phòng ngừa loại mã độc này. Cụ thể:

Các phương pháp lây lan chủ yếu của Ransomware là gửi tập tin đính kèm thư điện tử, khi người dùng mở tập tin thì mã độc sẽ tự động lây nhiễm vào máy tính; gửi thư điện tử hoặc nhắn tin điện tử có chứa đường dẫn đến mã độc và yêu cầu người dùng tải về cài đặt. Ngoài ra, máy tính còn có thể lây nhiễm thông qua các thiết bị lưu trữ, qua quá trình cài đặt phần mềm không rõ nguồn gốc, sao chép dữ liệu từ máy bị nhiễm mã độc…

Dấu hiệu nhận biết Ransomwaresau khi máy tính bị nhiễm là các tài liệu, văn bản sẽ bị thay đổi nội dung và đổi tên phần mở rộng, phổ biến là các tập tin có định dạng .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pdf, .jpg, .txt… một số còn lại khóa máy tính không cho sử dụng và đòi tiền chuộc.

Một số biện pháp phòng ngừa Ransomware

Phòng ngừa để hạn chế tối đa khả năng bị nhiễm mã độc: phân quyền tài khoản người dùng, bảo vệ các tập tin không cho phép xóa, sửa nội dung, đặc biệt là các dữ liệu quan trọng; cài đặt và thường xuyên cập nhật hệ điều hành, phần mềm chống mã độc uy tín; cảnh giác những tập tin đính kèm, các đường liên kết ẩn được gửi đến thư điện tử, kể cả người gửi từ nội bộ; thực hiện các biện pháp kỹ thuật nhằm kiểm tra xác thực người dùng trên máy chủ gửi email của đơn vị, tránh bị giả mạo từ nội bộ; tắt các chế độ tự động mở, chạy tập tin đính kèm theo thư điện tử.

Thực hiện sao lưu định kỳ dữ liệu: cần sử dụng các ổ đĩa lưu trữ như Ổ cứng cắm ngoài, Ổ đĩa USB để lưu trữ các dữ liệu quan trọng trong máy tính. Sau khi sao lưu xong đưa ra cất giữ riêng. Sử dụng các công cụ, giải pháp chuyên dụng để sao lưu dữ liệu như các máy chủ quản lý tập tin, máy chủ sao lưu từ xa, các công cụ lưu trữ đám mây cho phép khôi phục lịch sử thay đổi của tập tin.

Khi phát hiện bị lây nhiễm mã độc, người dùng cần thực hiện các thao tác sau: nhanh chóng tắt máy tính bằng cách ngắt nguồn điện; không được khởi động lại máy tính theo cách thông thường mà phải khởi động từ hệ điều hành sạch khác (khuyến nghị hệ điều hành Linux) như từ ổ đĩa CD, USB,… sau đó thực hiện kiểm tra các tập tin dữ liệu và sao lưu các dữ liệu chưa bị mã hóa; các tập tin đã bị mã hóa tương đối khó để giải mã, tuy nhiên trong một số trường hợp có thể sử dụng phần mềm khôi phục dữ liệu như FTK, EaseUs, R-STUDIO,…để khôi phục các tập tin nguyên bản đã bị xóa; cài đặt lại toàn bộ hệ thống, cài đặt phần mềm diệt virus đồng thời thiết lập chế độ cập nhật phiên bản tự động.

Trong quá trình thực hiện nếu có vướng mắc hoặc cần hỗ trợ đề nghị các đơn vị, cơ quan liên hệ: Phòng Quản lý Công nghệ thông tin (Sở TT&TT), số điện thoại (056).2210517 để được hướng dẫn cụ thể./.

N.T.T