“Phần mềm tống tiền” tấn công thế giới mạng

“Phần mềm tống tiền” (ransomware) vừa xuất hiện đang đe dọa cộng đồng người dùng internet. Chiêu thức tấn công là tự động phát tán virus khiến máy tính không thể khởi động và hiển thị thông điệp yêu cầu chuyển một khoản tiền vào tài khoản của tin tặc lúc đó mới được nhận mã để mở khóa.


Tấn công trực diện

Phần mềm đầu tiên được các chuyên gia của Hãng TrenMicro phát hiện, đó là một chủng ransomware chuyên lây nhiễm vào khu vực master boot record (MBR- Bản ghi khởi động) là một đoạn mã nằm ở phân khu (sector) đầu tiên của ổ cứng, có dung lượng vào khoảng 512 byte. MBR lưu giữ mọi thông tin về các phân vùng (partition) hiện diện trong ổ cứng, cũng như quản lý việc partition nào sẽ khởi động. Hệ thống BIOS được nạp trước mỗi lần khởi động máy lấy dữ liệu chính từ MBR này.

Nói đơn giản, trong một ổ cứng chỉ có duy nhất một MBR, nếu có bất cứ hư tổn nào (về vật lý hay do bị virus phá hoại) ở sector chứa MBR, máy sẽ không khởi động được. Sau khi bị tấn công, máy sẽ tự khởi động lại rồi hiển thị thông điệp yêu cầu người dùng chuyển một khoản tiền vào tài khoản của tin tặc để được nhận mã “mở khóa”.

Bên cạnh chủng ransomware lây nhiễm vào khu vực MBR, hai công ty bảo mật F-Secure và Dr.Web cũng phát hiện một chủng ransomware khác. Theo đó, phần mềm tống tiền này sẽ mã hóa toàn bộ tập tin và chương trình ngay khi người dùng khởi động máy tính, bằng cách chèn đuôi mở rộng mang nội dung “.EnCiPhErEd” sau mỗi tên file. Người dùng được phép nhập mã mở khóa năm lần, trước khi loại mã độc này tự xóa chính nó và giữ nguyên tình trạng mã hóa của những file bị lây nhiễm. Loại ransomware thứ hai này yêu cầu người dùng chuyển khoản tương số tiền tương ứng 50 euro đến địa chỉ koeserg@… để nhận được đoạn mã mở khóa.  Chúng đe dọa nếu nhập quá năm lần cho phép, những file bị mã hóa sẽ “không cách nào khôi phục được”.

“Phần mềm tống tiền” đang đe dọa thế giới mạng.

Cướp dữ liệu, đòi tiền chuộc

Theo các chuyên gia, phần mềm ransomware còn gọi là phần mềm “bắt cóc đòi tiền chuộc” này sau hơn 2 năm ẩn tích,  nay tái xuất với mức độ nguy hiểm hơn. Biến thể của GpCode đã xuất hiện trên internet và đòi tới 120USD tiền chuộc.

Phiên bản mới của GpCode có tên Trojan-Ransom.Win32.GpCode.AX sẽ chép đè các tập tin của nạn nhân bằng dữ liệu đã bị mã hóa, sử dụng thuật toán mã hóa cao cấp như RSA-1024 và AES-256 để che giấu nội dung dữ liệu. Loại mã độc này rất nguy hiểm bởi vì cơ hội giành lại dữ liệu của nạn nhân rất thấp. Nó gần như xóa trọn dữ liệu từ ổ cứng của bạn. Theo hãng bảo mật Sophos, thì loại mã độc này sẽ “bắt cóc” nhiều loại định dạng văn bản lẫn media khác nhau, từ các tập tin Microsoft Office, OpenOffice.org hay các tập tin hình ảnh, khiến chúng không thể đọc được vì bị  mã hóa.

Theo  ông Vũ Ngọc Sơn, Giám đốc Bộ phận Nghiên cứu của Bkav (Bkav R&D) cho biết:  Khi virus đã lây vào MBR và chiếm quyền điều khiển máy tính, bạn có thể xử lý bằng cách dùng đĩa cài Windows để khởi động máy tính vào chế độ  recovery console, sau đó dùng  lệnh fixmbr để khôi phục lại MBR mặc định. Tuy nhiên, để thực hiện công việc này đòi hỏi người sử dụng phải có kiến thức nhất định về cài đặt hệ thống. Tốt nhất nên liên hệ với trung tâm hỗ trợ kỹ thuật của nhà sản xuất phần mềm diệt virus để được hỗ trợ. Để phòng chống virus, người sử dụng cần cài phần mềm diệt virus thường trực trên máy tính để tự động cập nhật các mẫu nhận diện mới nhất. Thường xuyên cập nhật các bản vá lỗ hổng phần mềm và tránh vào những website không rõ nguồn gốc.

Trước các vụ tấn công ngày càng tăng, các công ty bảo mật khuyên người dùng thận trọng trước những đường dẫn lạ, thư rác, luôn cập nhật phần mềm diệt virus.

Phương Khanh

(bee.net.vn)