Virus – Lấy cắp thông tin, mã hóa tất cả các file dữ liệu trên máy tính và muốn giải mã phải trả một khoản tiền rất cao
Trong thời gian gần đây có xuất hiện một loại virus mới (dưới dạng mã độc) có khả năng lây lan qua hệ thống email. Tác hại của virus này là lấy cắp thông tin và mã hóa tất cả các file dữ liệu trên máy tính bị lây nhiễm, để giải mã được các dữ liệu này người dùng phải trả một khoản phí rất cao, vì vậy virus này còn có tên gọi là Virus tống tiền hay Mã độc đòi tiền chuộc. Hiện nay có công ty tại Việt Nam đã gặp trường hợp máy tính bị nhiễm virus này, phải cài lại máy và không lấy lại được dữ liệu.
Để phòng tránh virus/ mã độc này, bạn nên:
– Kiểm tra để đảm bảo chắc chắc máy tính đã được cài đặt phần mềm phòng chống virus phiên bản mới nhất và thường xuyên được cập nhật cơ sở dữ liệu. Nên đặt lịch quét virus định kỳ vào giờ nghỉ trưa để tránh ảnh hưởng công việc nếu là dân văn phòng.
– Không truy cập các trang web không chính thống.
– Không mở các file đính kèm của email không rõ nguồn gốc (người gửi không quen biết).
– Các thông tin khác cần thực hiện theo quy định của nơi công tác nếu có.
—-
Dưới đây là một số thông tin cụ thể về loại virus máy tính này.
Ransomware hiện là một trong các mã độc tống tiền phát triển nhanh nhất trong các phần mềm độc hại. Loại mã độc tống tiền này được thiết kế dựa trên công nghệ Encryptor. Loại mã độc này có thể mã hóa tất cả các loại dữ liệu của người dùng như: hình ảnh cá nhân, tài liệu,.…
– Sau khi lây nhiễm vào máy tính của nạn nhân, một bản sao phần mềm độc hại lập tức xuất hiện trong máy tính tại thư mục “CSIDL_COMMON_APPDATA” và thực hiện các nhiệm vụ để khởi động các tập tin trong Task Scheduler (một thành phần của Microsoft Windows cung cấp khả năng để sắp xếp trình tự hoạt động của các chương trình, kịch bản vào những thời điểm được xác định trước);
– Tìm kiếm tất cả các ổ đĩa cố định, ổ đĩa di động và mạng, các tập tin phù hợp với danh sách các phần mở rộng đã được xác định;
– Mã hóa các tập tin được tìm thấy;
– Hiển thị một cửa sổ yêu cầu tiền chuộc (đòi hỏi người sử dụng phải trả tiền chuộc bằng Bitcoin) và một danh sách có chứa các file đã được mã hóa;
– Thiết lập hình ảnh có tên AllFilesAreLocked.bmp làm hình nền máy tính để bàn. Hình nền thông báo cho người dùng biết dữ liệu trên máy tính đã được mã hóa (Hình 1);
Hình 1: Hình ảnh làm hình nền máy tính để bàn
Cách thức phát hiện Ransom.W.O
Bằng công cụ Backdoor.Win32.Androm, các chuyên gia của Kaspersky Lab đã phát hiện ra rằng,các bot có tên Andromeda nhận được lệnh tải về và chạy một chương trình độc hại có tên là Email-Worm.Win32.Joleee trên máy tính nạn nhân. Sau đó, mã độc này làm nhiệm vụ chính là gửi thư rác và thực hiện một số lệnh từtội phạm mạng, bao gồm các lệnh để tải về và khởi động một tập tin thực thi có tên là Joleee, sau đó dùng phần mềm Onion để mã hóa các tệp tin đã được xác định. Sơ đồ lây nhiễm Trojan-Ransom.Win32.Onion (hình 2):
Tính đến ngày 20/6/2014, Trojan-Ransom.Win32.Onion được phát hiện tại các nước: Nga (24 máy tính), Ukraina (19 máy tính), Kazakhstan (7 máy tính), Belarus(9 máy tính) và các nước: Georgia, Đức, Bulgaria, Thổ Nhĩ Kỳ Tiểu Vương Quốc Ả Rập Thống Nhất, Libya (1 máy tính).
Các chuyên gia cũng khuyến nghị người dùngcần sử dụng giải pháp bảo mật để bảo vệ cơ sở dữ liệu và tích hợp các công nghệ an toàn hơn để đối phó với mã độc.
Theo: “Tạp chí An toàn thông tin”, Kaspersky Lab, Wikipedia