recovery

Cách phòng ngừa và biện pháp xử lý khi phát hiện máy tính bị lây nhiễm mã độc Ransomware (File .doc, .xls, pdf..bị mã hóa)

1. Ransomware là gì?

Đây là cách gọi tên của dạng mã độc mới nhất và có tính nguy hiểm cao độ đối với nhân viên văn phòng, bởi khi bị lây nhiễm nó sẽ mã hóa toàn bộ các tập tin tài liệu: MS Word (.doc, .docx), MS Excel (.xls, .xlsx), dạng PDF (.pdf), file ảnh (.gif, .jpg, .png,…), file nén (.zip) và các tập tin khác trên máy tính bị nhiễm làm cho nạn nhân không thể mở được file.

Một trong những đại diện nổi tiếng của mã độc Ransomware này là CTBLocker/Critroni hoặc Onion. Các chuyên gia của Kaspersky Lab nhận dạng các trường hợp bị nhiễm nhiều nhất tại Việt Nam là do Trojan-Ransom.Win32.Onion gây nên.

2. Các phương pháp lây nhiễm

Hai phương pháp lây lan chủ yếu của mã độc Ransomware là:

-    Gửi tệp tin nhiễm mã độc kèm theo thư điện tử, khi người sử dụng kích hoạt tệp tin đính kèm thư điện tử sẽ làm lây nhiễm mã độc vào máy tính.

-   Gửi thư điện tử hoặc tin nhắn điện tử có chứa đường dẫn đến phần mềm bị giả mạo bởi mã độc Ransomware và đánh lừa người sử dụng truy cập vào đường dẫn này để vô ý tự cài đặt mã độc lên máy tính.

Ngoài ra máy tính còn có thể bị nhiễm thông qua các con đường khác như lây lan qua các thiết bị lưu trữ; lây qua cài đặt phần mềm; sao chép dữ liệu, phần mềm; truy cập từ các trang web không rõ nguồn gốc có chứa mã độc,…

3. Hình thức hoạt động của mã độc Ransomware

Thông thường, sau khi xâm nhập vào máy tính, nó sẽ tiến hành mã hóa dữ liệu bằng cách sử dụng thuật toán mã hóa với khóa công khai (public-key).

Nhiều mã độc Ransomware được ngụy trang khá tốt, đôi khi chúng sẽ đưa ra những cảnh báo giả cho người dùng để mua bản quyền phần mềm,…; một số trường hợp khác, mã độc Ransomware sẽ thâm nhập sâu vào bên trong hệ thống của máy rồi hiển thị một thông báo; một số loại mã độc còn tiến hành khóa máy tính nạn nhân không cho sử dụng hoặc đưa ra các cảnh báo. Sau đó mã độc sẽ yêu cầu người bị hại thanh toán qua mạng (thẻ tín dụng hoặc bitcoin) để lấy được mật khẩu giải mã các tệp tin đã bị mã hóa trái phép.

4. Một số biện pháp phòng ngừa để hạn chế khả năng nhiễm mã độc Ramsomware

Thiết lập quyền người sử dụng không ở chế độ quản trị hệ thống (Administrator) và thiết lập các cấu hình nhằm bảo vệ file với quyền không cho phép xóa, sửa các file quan trọng một cách tự động. Ngăn chặn việc thực thi các ứng dụng từ các thư mục chứa dữ liệu quan trọng.

Thường xuyên cập nhật bản vá, phiên bản mới nhất cho hệ điều hành và phần mềm chống mã độc (Kaspersky, Synmatec, Avast, AVG, MSE, Bkav, CMC, v.v…). Nên sử dụng các phiên bản phần mềm phòng chống mã độc có chức năng đảm bảo an toàn khi truy cập Internet và phát hiện mã độc trực tuyến.

Thường xuyên sử dụng phần mềm diệt mã độc, virus kiểm tra máy tính, ổ lưu trữ để phát hiện sớm nếu xuất hiện mã độc trên thiết bị.

Cần chú ý cảnh giác với các tệp tin đính kèm, các đường dẫn (link) được gửi đến qua thư điện tử hoặc tin nhắn, hạn chế tối đa việc truy cập vào các đường dẫn này vì tin tặc có thể đánh cắp hoặc giả mạo hòm thư điện tử người gửi phát tán các kết nối chứa mã độc.

Sử dụng phần mềm diệt virus kiểm tra các tệp tin được gửi qua thư điện tử, tải từ trên mạng về trước khi kích hoạt. Nếu không cần thiết hoặc không rõ nguồn gốc thì không kích hoạt các tệp tin này.

Đảm bảo các tính năng bảo vệ thời gian thực như: System Watcher (giám sát hệ thống) của chương trình Kaspersky, Real time Protection của Bkav Pro,…

Tắt chế độ tự động mở, chạy các tệp tin đính kèm theo thư điện tử.

Cấu hình hạn chế truy cập đến các thư mục chia sẻ trong mạng.

Bật tính năng System Protection (System Restore) cho tất cả các ổ đĩa.

5. Thực hiện sao lưu định kỳ dữ liệu

Cần tiến hành sao lưu và bảo vệ định kỳ dữ liệu thường xuyên bằng các thiết bị rời để có thể khôi phục dữ liệu khi máy tính bị Ransomware gây hại, các cơ quan, đơn vị có thể tham khảo một số biện pháp sau:

- Sử dụng đĩa CD, DVD để sao lưu dữ liệu là phương pháp đơn giản và an toàn, tuy nhiên không được thuận tiện khi sử dụng lâu dài và thường xuyên.

-   Sử dụng các ổ lưu trữ USB, ổ đĩa cắm ngoài, ổ chia sẻ mạng v.v… Cần chú ý dữ liệu trong các ổ lưu trữ này hoàn toàn có thể bị ảnh hưởng nếu kết nối vào máy tính đã bị nhiễm mã độc Ransomware. Do vậy phải đảm bảo máy chưa bị nhiễm mã độc trước khi sao lưu hoặc khởi động máy tính từ ổ đĩa khởi động ngoài khi thực hiện sao lưu để đảm bảo an toàn. 

Sử dụng các công cụ, giải pháp chuyên dụng để sao lưu như: các máy chủ quản lý tệp tin, máy chủ sao lưu từ xa, các công cụ lưu trữ đám mây cho phép khôi phục lịch sử thay đổi của tập tin mà khi xảy ra sự cố có thể khôi phục lại từ thời điểm trước đó… 

6. Xử lý khi phát hiện bị lây nhiễm mã độc 

Khi mã độc Ransomware lây nhiễm vào máy tính bị hại, mã độc sẽ tiến hành mã hóa các tệp tin dữ liệu, khóa máy tính của người dùng để người dùng không can thiệp để tắt tiến trình đang chạy. Do qua trình mã hóa cần sẽ được thực hiện trong thời gian dài chính vì vậy việc phản ứng nhanh chóng khi phát hiện ra sự cố sẽ giúp giảm thiểu thiệt hại cho các dữ liệu chứa trên máy bị nhiễm và giúp các chuyên gia có thể khôi phục các dữ liệu bị mã hóa. Do đó, đối với các máy tính cá nhân khi phát hiện ra dấu hiệu bị lây nhiễm mã độc Ransomware cần phải nhanh chóng thực hiện các thao tác sau: 

-     Nhanh chóng tắt máy tính (tắt nguồn điện, không sử dụng chức năng shutdown của hệ điều hành). 

-   Phải sử dụng hệ thống sạch từ USB, DVD, CD,…để khởi động máy tính bị nhiễm trước khi thực hiện sao lưu các dữ liệu chưa bị mã hóa. 

-   Cài đặt lại toàn bộ hệ thống, cài phần mềm diệt virus cập nhật phiên bản mới nhất và tiến hành quét toàn bộ dữ liệu trên máy tính trước khi sao chép lại các dữ liệu vào máy tính. 

7. Khôi phục các file bị ảnh hưởng 

Hiện nay vẫn chưa có một phần mềm hữu hiệu hoặc dịch vụ thương mại nào cho phép giải mã các file đã bị mã hóa. Mặc dù không có khả năng giải mã các file đã bị mã độc mã hóa, Tuy nhiên, trong một số trường hợp có thể sử dụng các phần mềm khôi phục dữ liệu như: FTK, EaseUs, R-STUDIO, RectorDecryptor, XoristDecryptor, RakhniDecryptor để khôi phục các file nguyên bản đã bị xóa hay mã hóa. 

Có thể sử dụng chức năng của Windows để khôi phục các file đã bị nhiễm 

-         Đối với Windows 8: http://windows.microsoft.com/en-MY/windows-8/how-use-file-history 

Đối với Windows 7: http://windows.microsoft.com/en-my/windows7/recover-lost-or-deleted-files

Nếu không có kinh nghiệm xử lý sự cố này cần yêu cầu sự hỗ trợ sớm của các chuyên gia an toàn thông tin để giảm thiểu các thiệt hại khi xảy ra sự cố. 

Chúng tôi nhận Cứu dữ liệu bị virus mã hóa – virus đòi tiền chuộc.  (100% thành công): $500-$1000. Gọi ngay 09 7475 4444

4/11/2015
logo