Những ngày gần đây,người dùng Việt Nam liên tục bị trường hợp dữ liệu trong máy tính bị lây nhiễm mã độc Ransomware, loại mã độc mã hóa tập tin, dẫn đến trình trạng không thể phục hồi các tập tin đã bị mã hóa. Ransomware là gì? Đây là cách gọi tên của dạng mã độc mới nhất và có tính nguy hiểm cao độ đối với nhân viên văn phòng, bởi nó sẽ mã hóa toàn bộ các file word, excel và hầu hết các tập tin khác trên máy tính bị nhiễm làm cho nạn nhân không thể mở được file. Để giải mã, cần có key đặc biệt. Tội phạm mạng căn cứ vào điểm này để đòi tiền người dùng. Điển hình là những cái tên gây sóng gió trong thời gian qua như: CryptoLocker, CryptoWall, CoinVault, TorLocker, CoinVault, TeslaCrypt. Các chuyên gia nhận dạng các trường hợp bị nhiễm nhiều nhất tại Việt Nam là do một thành viên của Ransomware – Trojan-Ransom.Win32.Onion gây nên. Người dùng cần biết gì về mã độc này? Các thành viên của Ransomware sử dụng công nghệ mã hóa “Public-key”, vốn là một phương pháp đáng tin cậy nhằm bảo vệ các dữ liệu nhạy cảm. Tội phạm mạng đã lợi dụng công nghệ này và tạo ra những chương trình độc hại để mã hóa dữ liệu của người dùng. Một khi dữ liệu đã bị mã hóa thì chỉ có một chìa khóa đặc biệt bí mật mới có thể giải mã được. Và bọn chúng thường tống tiền người dùng để trao đổi chìa khóa bí mật này. Nguy hiểm ở chỗ, chỉ duy nhất chìa khóa bí mật này mới có thể giải mã được và phục hồi dữ liệu. Các chuyên gia đã nghiên cứu không ngừng để chống lại các phần mềm độc hại này. Trong một số trường hợp cụ thể, chúng tôi có thể phân tích được loại mật mã được sử dụng để lập trình nên mã độc. Tuy nhiên, cũng có một số Ransomware tuyệt nhiên không để lộ bất kỳ thông tin quan trọng nào. Thêm vào đó, một số Ransomware được tạo ra với mục đích là dữ liệu sẽ không bao giờ được phục hồi dù có tìm ra được chìa khóa đi chăng nữa.
Cách đây vài tháng đã xuất hiện 1 Ransomware đòi tiền chuộc có tên gọi Cerber. Cerber hiện là mã độc mới được phát hiện và liệt vào danh sách các ransomware, có mối đe dọa cao với khả năng mã hóa các tập tin của người sử dụng và sau đó cung cấp tính năng TTS (text-to-speech) để nạn nhân nhận được thông điệp về khoản tiền chuộc. Sau khi mã hóa dữ liệu trên máy tính nạn nhân , virus sẽ để lại những thông báo đòi tiền chuộc ở dạng .TXT , HTML và VBS tại mỗi thư mục có chứa dữ liệu bị mã hóa. Mã độc này đòi tiền chuộc 1.24 Bitcoin ( khoảng 520$ ) và khoản tiền này tăng lên gấp đôi nếu như sau 1 tuần không trả tiền chuộc . Attention. Attention. Attention. Your documents, photos, databases and other important files have been encrypted! Một số đặc tính của Cerber
Đặc điểm hoạt động của mã độc mã hóa dữ liệu .Cerber Trước khi mã hóa các tập tin, mã độc .cerber đưa ra một hiển thị báo lỗi để lừa người sử dụng khởi động lại máy tính. Mã độc điều khiển cho máy tính khởi động ở chế độ “Safe Mode with Networking” và sau đó buộc phải khởi động lại máy tính một lần nữa ở chế độ bình thường. Sau khi hoàn thành việc khởi động ép buộc này, Cerber bắt đầu mã hóa tập tin với một thuật toán AES. Cerber nhắm mục tiêu vào 380 loại tập tin, và trong quá trình mã hóa, nó làm xáo trộn các tên tập tin và thêm định dạng .cerber ở cuối tên
Lưu ý của tôi đến với những ai đã nhiễm con virus Cerber này Ok, giờ ta tiến hành xóa con virus Cerber khỏi máy tính. Quá trình này không gặp khó khăn mấy Đầu tiên chúng ta phải chuyển hệ điều hành máy tính sang Safe Mode with Networking bằng hướng dẫn sau Đối với Windows 7 / Vista / XP:
Sau khi thực hiện tới đây, con virus Cerber đã bị diệt hoàn toàn, giờ đến giai đoạn cứu dữ liệu bị mã hóa *Nếu bạn đã backup dữ liệu quan trọng trước đó -> Format toàn bộ ổ cứng, cài lại hệ điều hành và copy dữ liệu về lại máy tính Thực hiện các bước ở trên để vào Safe mode nhưng là Safe mode with Command Prompt nhé Đối với Windows 7 / Vista / XP Đối với Windows 10 / Windows 8 Mở cửa sổ Command Prompt window bằng lệnh CMD Gõ vào cd restore rstrui.exe bấm Enter Một cửa sổ xuất hiện, bạn bấm next và chọn ngày giờ restore lại
Khuyến nghị phòng ngừa mã độc mã hóa dữ liệu - Ransomware - Không mở các file đính kèm từ những email chưa rõ danh tính. - Luôn đảm bảo hệ điều hành, phần mềm, các ứng dụng và phần mềm diệt virus được cập nhật thường xuyên và không tắt chương trình diệt virus trong mọi thời điểm. - Sao lưu dữ liệu và bảo vệ dữ liệu bằng các thiết bị rời. Cách tốt nhất để đảm bảo sự an toàn của dữ liệu quan trọng là có một lịch trình sao lưu phù hợp. Sao lưu phải được thực hiện thường xuyên và hơn thế nữa bản sao cần phải được tạo ra trên một thiết bị lưu trữ chỉ có thể truy cập trong quá trình sao lưu. Tức là một thiết bị lưu trữ di động ngắt kết nối ngay lập tức sau khi sao lưu. Việc không tuân thủ các khuyến nghị này sẽ dẫn đến các tập tin sao lưu cũng sẽ bị tấn công và mã hóa bằng các phần mềm tống tiền theo cách tương tự như trên các phiên bản tập tin gốc. - Cấu hình hạn chế truy cập đến các thư mục chia sẻ trong mạng. - Bật tính năng System Protection (System Restore) cho tất cả các ổ đĩa. LỜI KHUYÊN HỮU HIỆU NHẤT CỦA TÔI LÚC NÀY LÀ MỖI NGƯỜI HÃY SẮM CHO MÌNH MỘT USB HAY Ổ CỨNG DI ĐỘNG ĐỂ BACKUP THƯỜNG XUYÊN NHỮNG DỮ LIỆU QUAN TRỌNG CỦA MÌNH. HÃY THỰC HIỆN NGAY KHI MÁY TÍNH CỦA MỌI NGƯỜI CHƯA BỊ NHIỄM CON RANSOMWARE NGUY HIỂM NÀY !!! Sưu tầm |