Lật tẩy mã độc bắt cóc dữ liệu đòi tiền

Mã độc dạng Ransomware như CryptoLocker thực sự là mối đe dọa nguy hiểm cho cả doanh nghiệp và người dùng cá nhân - Ảnh minh họa: Internet

Phân tích về mối đe dọa của mã độc mã hóa dữ liệu, đòi tiền chuộc (ransomware) được thực hiện bởi Trend Micro và trường đại học Deakin (Úc) trong một Sách trắng dài 16 trang (PDF), cho người dùng hiểu rõ về cách hoạt động của dạng mã độc này, cụ thể là loại CTB Locker đang hoành hành tại nhiều nước, trong đó có Việt Nam.

* Xem: 

Cho đến nay, vẫn chưa có cách giải mã (decryption) miễn phí nào có thể giải cứu dữ liệu khi CryptoLocker hay TorrentLocker "khóa" chúng (mã hóa). Thế nên, các chuyên gia khuyến cáo người dùng nắm rõ cách hoạt động và lây nhiễm để phòng ngừa.

Ngoài Việt Nam, Úc cũng là quốc gia đang có nhiều người dùng trở thành nạn nhân của loại CryptoLocker từ tháng 9-2014, đòi tiền chuộc bằng tiền kỹ thuật số (Bitcoin) với giá trị gần 600 USD, và tiền chuộc sẽ tăng gấp đôi sau 96 giờ.

CryptoLocker lây nhiễm ra sao? Bắt dữ liệu thế nào?

Những loại CryptoLocker ở Úc hoạt động theo cách tương tự như những chủng loại được tìm thấy ở Bắc Mỹ và Châu Âu:

- Đầu tiên, các nạn nhân nhận được email giả mạo, nội dung có kèm theo liên kết (link) dẫn đến những thông tin bưu kiện chờ nhận hoặc một thông báo án phạt đang chờ họ ở một "trang web chính thức" hay "click để xem chi tiết".

- Sau khi nhấp vào liên kết, nạn nhân được chuyển hướng đến một trang web giả trông rất thực, mô phỏng theo trang web chính thức của các tổ chức như Bưu chính Úc (Australia Post) và Văn phòng thuế bang New South Wales (Office of State Revenue New South Wales), bao gồm cả mô phỏng tên miền.

- Trang web này lây nhiễm phần mềm độc hại vào máy tính của nạn nhân thông qua việc lợi dụng những trang lưu trữ tập tin trung gian hợp pháp. Đây là khâu lây nhiễm cần chú ý phòng tranh.

Theo Trend Micro, sau khi nhận được email rác và nhấn vào liên kết bên trong đó, nạn nhân bị chuyển hướng đến một trang web lừa đảo nơi họ nhập vào chuỗi CAPTCHA và được tải về một tập tin ZIP.

Mở tập tin .ZIP này dẫn đến việc tất cả các hình ảnh, tài liệu và dữ liệu cá nhân trên máy tính và ổ đĩa chia sẻ bị mã hóa. Các phần mềm độc hại sau đó yêu cầu các nạn nhân trả tiền để mở lại được các tập tin của họ.

Quy trình tấn công, lây nhiễm, và bắt cóc dữ liệu bằng cách mã hóa để đòi tiền chuộc của mã độc CryptoLocker - Ảnh: Trenc Micro

Vì vậy, sự bảo vệ tốt nhất là hãy vô cùng thận trọng về các email bạn nhận được mỗi ngày, ngay cả khi chúng trông có vẻ là thật. Bên cạnh đó, hãy cập nhật dữ liệu mới cho các chương trình anti-virus cài đặt trên máy để có thể nhận diện mối đe dọa từ mã độc.

Cuối cùng và luôn cần thiết, nên có nhiều hơn một bản sao lưu đầy đủ tất cả các tập tin quan trọng trong cả các ổ đĩa gắn ngoài, hoặc lưu trữ lên "đám mây".

Phần mềm độc hại khi đã xâm nhập sẽ tiến hành mã hóa các tài liệu PDF và Microsoft Word, và các tập tin thông dụng khác trên máy tính nạn nhân, và đòi trả ít nhất 598 USD dưới dạng tiền kỹ thuật số Bitcoin mới có thể phục hồi các tập tin của họ. (Hiển thị thông báo trên màn hình kèm hướng dẫn trả tiền) Thông báo các tập tin đã mã hóa và đòi nộp tiền chuộc bằng Bitcoin - Ảnh minh họa: Internet

Tìm cách hóa giải mã độc

Các chuyên gia từ Trend Micro cho biết đang nỗ lực để ngăn chặn các cuộc tấn công của CryptoLocker. Những ghi nhận về tình hình hoạt động của mã độc được Trend Micro gửi đến Đại học Deakin phân tích chuyên sâu.

Tiến sĩ Jon Oliver, một nhà nghiên cứu cấp cao về mối đe dọa của Trend Micro cho biết: "CryptoLocker là một mối đe dọa đang ngày càng ảnh hưởng đến những cá nhân và các doanh nghiệp ở Úc. Chúng tôi đã hợp tác với trường Đại học Deakin vì tính cấp thiết của vấn đề".

Biến thể CryptoLocker tại Úc có khả năng ẩn mình, tránh bị phát hiện bởi các chương trình diệt virus. Do đó, việc chỉ dựa trên một biện pháp phát hiện có thể chưa đủ đế phát hiện ra chúng trong các vụ bùng phát kế tiếp.

* Xem: 

"Lọc đa lớp (multi-layer filtering), hay còn được gọi là Bảo vệ theo chiều sâu (Defence-in-Depth), là một biện pháp mạnh mẽ hơn", Mark Sinclair, giám đốc kinh doanh thương mại của Trend Micro tại Úc và New Zealand cho biết: "Nhiều doanh nghiệp Úc đang là mục tiêu và bị ảnh hưởng bởi CryptoLocker, từ các tổ chức rất lớn đến rất nhỏ; không một ai là ngoại lệ.

Hãy giữ an toàn và cẩn thận với những gì bạn nhấp chuột vào!