Skip to main content

Cách phòng ngừa và biện pháp xử lý khi phát hiện máy tính bị lây nhiễm mã độc Ransomware

Trong thời gian gần đây máy tính trong nhiều cơ quan tổ chức tại Việt Nam đã xảy ra lây nhiễm các phiên bản mới của mã độc Ransomware như CTB Locker/Critroni hoặc Onion. Đây là loại mã độc rất nguy hiểm, có thể dẫn đến mất mát dữ liệu lớn trong các cơ quan, tổ chức và cá nhân, đặc biệt khi bị nhiễm mã độc và các tài liệu đã bị mã hóa thì không thể khôi phục dữ liệu.

Hiện nay, đã có một số hệ thống mạng nội bộ (LAN) của đơn vị, địa phương bị lây nhiễm mã độc Ransomware, hậu quả là bị chiếm quyền kiểm soát, bị thu thập thông tin hoặc thậm chí bị mã hóa toàn bộ máy tính.

Để đảm bảo an toàn thông tin trên hệ thống, Ban CNTT đưa ra các giải pháp phòng ngừa và biện pháp xử lý khi phát hiện máy tính bị lây nhiễm mã độc Ransomware.

Để có thể phòng chống được thì Chúng ta phải hiểu Ransomware là gì?  

1. Ransomware là gì:

Đây là cách gọi tên của dạng mã độc mới nhất và có tính nguy hiểm cao độ đối với nhân viên văn phòng, bởi khi bị lây nhiễm nó sẽ mã hóa toàn bộ các tập tin tài liệu: MS Word (.doc, .docx), MS Excel (.xls, .xlsx), dạng PDF (.pdf), file ảnh (.gif, .jpg, .png,…), file nén (.zip) và các tập tin khác trên máy tính bị nhiễm làm cho nạn nhân không thể mở được file.

Một trong những đại diện nổi tiếng của mã độc Ransomware này là CTBLocker/Critroni hoặc Onion. Các chuyên gia của Kaspersky Lab nhận dạng các trường hợp bị nhiễm nhiều nhất tại Việt Nam là do TrojanRansom.Win32.Onion gây nên.

2. Các phương pháp lây nhiễm:

Gửi tệp tin nhiễm mã độc kèm theo thư điện tử, khi người sử dụng kích hoạt tệp tin đính kèm thư điện tử sẽ làm lây nhiễm mã độc vào máy tính.

Gửi thư điện tử hoặc tin nhắn điện tử có chứa đường dẫn đến phần mềm bị giả mạo bởi mã độc Ransomware và đánh lừa người sử dụng truy cập vào đường dẫn này để vô ý tự cài đặt mã độc lên máy tính.

Qua tin nhắn : Facebook Messenger, Yahoo, Google, Skype,… có chứa link lạ.

Ngoài ra máy tính còn có thể bị nhiễm thông qua các con đường khác như lây lan qua các thiết bị lưu trữ; lây qua cài đặt phần mềm; sao chép dữ liệu, phần mềm; truy cập từ các trang web không rõ nguồn gốc; các phần mềm game trò chơi có chứa mã độc,...

3. Hình thức hoạt động của mã độc Ransomware:

Thông thường, sau khi xâm nhập vào máy tính, nó sẽ tiến hành mã hóa dữ liệu bằng cách sử dụng thuật toán mã hóa với khóa công khai (public-key).

Nhiều mã độc Ransomware được ngụy trang khá tốt, đôi khi chúng sẽ đưa ra những cảnh báo giả cho người dùng để mua bản quyền phần mềm,…; một số trường hợp khác, mã độc Ransomware sẽ thâm nhập sâu vào bên trong hệ thống của máy rồi hiển thị một thông báo; một số loại mã độc còn tiến hành khóa máy tính nạn nhân không cho sử dụng hoặc đưa ra các cảnh báo.

Sau đó mã độc sẽ yêu cầu người bị hại thanh toán qua mạng (thẻ tín dụng hoặc bitcoin) để lấy mật khẩu giải mã các tệp đã bị mã hóa trái phép.

4. Một số biện pháp phòng ngừa để hạn chế khả năng nhiễm mã độc Ramsomware:

Không được nhấn vào bất kỳ cửa sổ Popup nào giả mạo báo là máy bạn đã bị nhiễm virus , và yêu cầu nhấn vào để tải chương trình về để quét virus . Lúc này , người dùng nên gọi cho Bộ phận CNTT để kiểm tra xem có bị nhiễm thật hay không ? Tránh trường hợp nhấn vào Popup giả mạo này mà bị nhiễn virus luôn.

Không cài đặt và sử dụng phần mềm không có bản quyền (crack).

Luôn luôn sao lưu những dữ liệu quan trọng : Data các phần mềm và những tập tin quan trọng vào ổ cứng di động.

Thiết lập quyền người sử dụng không ở chế độ quản trị hệ thống (Administrator) và thiết lập các cấu hình nhằm bảo vệ file với quyền không cho phép xóa, sửa các file quan trọng một cách tự động.

Ngăn chặn việc thực thi các ứng dụng từ các thư mục chứa dữ liệu quan trọng.

Thường xuyên cập nhật bản vá, phiên bản mới nhất cho hệ điều hành và phần mềm chống mã độc (Kaspersky, Synmatec, Avast, AVG, MSE, Bkav, CMC, v.v...).

Nên sử dụng các phiên bản phần mềm phòng chống mã độc có chức năng đảm bảo an toàn khi truy cập Internet và phát hiện mã độc trực tuyến.

Thường xuyên sử dụng phần mềm diệt mã độc, virus kiểm tra máy tính, ổ lưu trữ để phát hiện sớm nếu xuất hiện mã độc trên thiết bị.

Cần chú ý cảnh giác với các tệp tin đính kèm, các đường dẫn (link) được gửi đến qua thư điện tử hoặc tin nhắn, hạn chế tối đa việc truy cập vào các đường dẫn này vì tin tặc có thể đánh cắp hoặc giả mạo hòm thư điện tử người gửi phát tán các kết nối chứa mã độc.

Sử dụng phần mềm diệt virus kiểm tra các tệp tin được gửi qua thư điện tử, tải từ trên mạng về trước khi kích hoạt. Nếu không cần thiết hoặc không rõ nguồn gốc thì không kích hoạt các tệp tin này.

Đảm bảo các tính năng bảo vệ thời gian thực như: System Watcher (giám sát hệ thống) của chương trình Kaspersky, Real time Protection của Bkav Pro,…

Tắt chế độ tự động mở, chạy các tệp tin đính kèm theo thư điện tử. Cấu hình hạn chế truy cập đến các thư mục chia sẻ trong mạng.

Bật tính năng System Protection (System Restore) cho tất cả các ổ đĩa.

Bật tính năng của thiết bị tường lửa (Firewall) hiện có của đơn vị chặn các địa chỉ IP lạ từ các nước khác truy nhập vào hệ thống.

5. Thực hiện sao lưu định kỳ dữ liệu:

Cần tiến hành sao lưu và bảo vệ định kỳ dữ liệu thường xuyên bằng các thiết bị rời để có thể khôi phục dữ liệu khi máy tính bị Ransomware gây hại, các cơ quan, đơn vị có thể tham khảo một số biện pháp sau:

  • Sử dụng đĩa CD, DVD để sao lưu dữ liệu là phương pháp đơn giản và an toàn, tuy nhiên không được thuận tiện khi sử dụng lâu dài và thường xuyên.
  • Sử dụng các ổ lưu trữ USB, ổ đĩa cắm ngoài, ổ chia sẻ mạng v.v...
  • Sử dụng các công cụ, giải pháp chuyên dụng để sao lưu như: các máy chủ quản lý tệp tin, máy chủ sao lưu từ xa, các công cụ lưu trữ đám mây cho phép khôi phục lịch sử thay đổi của tập tin mà khi xảy ra sự cố có thể khôi phục lại từ thời điểm trước đó...  
  • Cần chú ý dữ liệu trong các ổ lưu trữ này hoàn toàn có thể bị ảnh hưởng nếu kết nối vào máy tính đã bị nhiễm mã độc Ransomware.

Do vậy phải đảm bảo máy chưa bị nhiễm mã độc trước khi sao lưu hoặc khởi động máy tính từ ổ đĩa khởi động ngoài khi thực hiện sao lưu để đảm bảo an toàn.

6. Xử lý khi phát hiện bị lây nhiễm mã độc:

Khi mã độc Ransomware lây nhiễm vào máy tính bị hại, mã độc sẽ tiến hành mã hóa các tệp tin dữ liệu, khóa máy tính của người dùng để người dùng không can thiệp để tắt tiến trình đang chạy.

Do qua trình mã hóa cần sẽ được thực hiện trong thời gian dài chính vì vậy việc phản ứng nhanh chóng khi phát hiện ra sự cố sẽ giúp giảm thiểu thiệt hại cho các dữ liệu chứa trên máy bị nhiễm và giúp các chuyên gia có thể khôi phục các dữ liệu bị mã hóa.

Do đó, đối với các máy tính cá nhân khi phát hiện ra dấu hiệu bị lây nhiễm mã độc Ransomware cần phải nhanh chóng thực hiện các thao tác sau:

- Nhanh chóng tắt máy tính (tắt nguồn điện, không sử dụng chức năng shutdown của hệ điều hành). - Phải sử dụng hệ thống sạch từ USB, DVD, CD,…để khởi động máy tính bị nhiễm trước khi thực hiện sao lưu các dữ liệu chưa bị mã hóa.

- Cài đặt lại toàn bộ hệ thống, cài phần mềm diệt virus cập nhật phiên bản mới nhất và tiến hành quét toàn bộ dữ liệu trên máy tính trước khi sao chép lại các dữ liệu vào máy tính.

Back to top