Vào ngày 29/5/2017, Sở TT&TT Cần Thơ cho biết đã gửi văn bản cảnh báo các cơ quan nhà nước trong tỉnh về cách thức tấn công mới của tin tặc vào các hộp thư điện tử nội bộ. Theo đó, thông tin từ Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam cho biết, cách thức tấn công mới của tin tặc nhằm vào các cơ quan tổ chức có sử dụng các hộp thư điện tử nội bộ. Với cách tấn công mới này, tin tặc sẽ giả mạo một địa chỉ điện tử có đuôi là @tencongty.com.vn để gửi thư điện tử có kèm mã độc đến các người dùng trong công ty đó. Để vượt qua các hệ thống dò quét mã độc, các mã độc thường được nén lại dưới định dạng .zip hoặc .zar.
Qua phân tích của chuyên gia với một sự cố cho thấy, tệp tin chứa mã độc .zip chứa bên trong các tệp tin thực thi như .js (đây là một tệp tin Javascript) hoặc tệp tin văn bản như .doc, .xls... khi người dùng mở tập tin này mã độc sẽ được kích hoạt và tự động tải tập tin mã độc mã hóa tài liệu và tự thực thi trên máy. Với trường hợp mã độc mã hóa tài liệu thì mã độc sẽ tiến hành mã hoá nội dung toàn bộ các dữ liệu trên máy tính của nạn nhân với thuật toán mã hóa mạnh để không thể giải mã được với mục đích “bắt cóc” dữ liệu trên máy để tống tiền nạn nhân. Với việc giả mạo chính các địa chỉ thư điện tử của đơn vị sẽ làm cho người dùng khó phát hiện các thư giả mạo dẫn đến số lượng các máy tính bị lây nhiễm mã dộc mã hóa dữ liệu có thể tăng cao.
Theo đó, để đảm bảo an toàn thông tin trong hoạt động ứng dụng công nghệ thông tin của các cơ quan nhà nước thuộc UBND thành phố, Sở TT&TT đề nghị các cơ quan, đơn vị chú ý và tăng cường công tác tuyên truyền rộng rãi đến các cán bộ, công chức, viên chức, người sử dụng máy tính thuộc cơ quan và các đơn vị trực thuộc để phòng ngừa sự cố có thể xảy ra. Trong đó, cần lưu ý các vấn đề quan trọng sau:
Các phương pháp lây lan chủ yếu của mã độc mã hoá tài liệu
Gửi tập tin đính kèm thư điện tử, khi người dùng mở tập tin thì mã độc sẽ tự động lây nhiễm vào máy tính người dùng. Hoặc gửi thư điện tử hoặc tin nhắn điện tử có chứa đường dẫn đến mã độc và yêu cầu người dùng tải về và cài đặt.
Ngoài ra máy tính còn có thể bị lây nhiễm thông qua đường khác như qua các thiết bị lưu trữ ngoài như USB, qua quá trình cài đặt phần mềm không rõ nguồn gốc, sao chép dữ liệu từ máy bị nhiễm mã độc...
Dấu hiệu của loại mã độc sau khi máy tính bị nhiễm là các tài liệu, văn bản sẽ bị thay đổi nội dung và đổi tên phần mở rộng, phổ biến là các tập tin có định dạng: .doc, .docx, .pdf, .xls, .xlsx, .jpg, .txt, .ppt, .pptx,... một số loại còn khoá máy tính không cho sử dụng và đòi tiền chuộc.
Các biện pháp phòng ngừa mã độc Ransomware
Phòng ngừa để hạn chế tối đa khả năng bị nhiễm mã độc bằng cách: Phân quyền hợp lý cho các loại tài khoản người dùng, bảo vệ các tập tin không cho phép xóa, sửa nội dung của các tập tin quan trọng. Đồng thời, cài đặt và thường xuyên cập nhật cho hệ điều hành, phần mềm chống, mã độc như Kaspersky, Symantec, Avast, AVG, MSE, Bkav, CMC. Chú ý cảnh giác với các tập tin đính kèm, các đường liên kết ẩn được gửi đến thư điện tử người dùng, kể cả người gửi từ trong nội bộ.
Đối với các đơn vị có sử dụng hệ thống máy chủ gửi email riêng, thực hiện các biện pháp kỹ thuật nhằm kiểm tra xác thực người dùng trên máy chủ gửi email của đơn vị, tránh bị giả mạo người gửi từ nội bộ. Tắt các chế độ tự động mở, chạy tập tin đính kèm theo thư điện tử.
Các cơ quan nhà nước cũng cần chú ý thực hiện sao lưu dữ liệu định kỳ bằng cách sử dụng các ổ đĩa lưu trữ như ổ cứng cắm ngoài, ổ đĩa USB để lưu trữ các dữ liệu quan trọng trong máy tính. Sau khi sao lưu xong đưa ra cất giữ riêng.
Đối với các hệ thống thông tin, phần mềm được cài đặt riêng tại máy chủ đơn vị, sử dụng các công cụ, giải pháp khác để sao lưu dữ liệu như: các máy chủ quản lý tập tin, máy chủ sao lưu từ xa, các công cụ lưu trữ đám mây cho phép khôi phục lịch sử thay đổi của tập tin.
Cách xử lý khi phát hiện lây nhiễm mã độc
Khi mã độc lây nhiễm vào máy tính, mã độc sẽ tiến hành quét và mã hoá các tập tin trong một khoảng thời gian. Do đó, việc phản ứng nhanh khi phát hiện ra sự cố có thể giúp giảm thiểu thiệt hại cho dữ liệu trên máy tính và tăng khả năng khôi phục dữ liệu bị mã hoá. Cụ thể, cần thực hiện các thao tác sau: Nhanh chóng tắt máy tính bằng cách ngắt nguồn điện. Không được khởi động lại máy tính theo cách thông thường mà phải khởi động từ hệ điều hành sạch khác (khuyến nghị hệ điều hành Linux) như từ ổ đĩa CD, USB sau đó thực hiện kiểm tra các tập tin dữ liệu và sao lưu các dữ liệu chưa bị mã hoá.
Các tập tin đã bị mã hoá tương đối khó để giải mã, tuy nhiên trong một số trường hợp có thể sử dụng các phần mềm khôi phục dữ liệu như ITK, EaseUs, R-STUDIO để khôi phục các tập tin nguyên bản đã bị xoá.
Đồng thời phải nhanh chóng cài đặt lại toàn bộ hệ thống, cài đặt phần mềm diệt virus đồng thời thiết lập chế độ cập nhật phiên bản tự động. Nếu sự cố nghiêm trọng cần nhanh chóng thông báo về Sở TT&TT để được hỗ trợ kịp thời.