Cảnh báo mã độc thuộc loại Ransomware mã hóa dữ liệu

Mã độc mã hóa dữ liệu để tống tiền người dùng được gọi chung với thuật ngữ Ransomware

Theo nhận định của VNCERT và các chuyên gia bảo mật, mã độc WannaCry là loại mã độc rất nguy hiểm còn được biết đến với các tên khác: WannaCrypt, WannaCrypt0r 2.0… Mã độc này khai thác một số lỗ hổng trên hệ điều hành Windows để tấn công vào các máy tính với mục tiêu mã hóa dữ liệu để đòi tiền chuộc, ảnh hưởng tới nhiều tổ chức, cá nhân trên phạm vi toàn cầu. Nếu bị mã độc lây nhiễm dẫn đến mất mát dữ liệu lớn trong các cơ quan, tổ chức và cá nhân, việc khôi phục dữ liệu do mã độc tấn công gần như không thực hiện được.

Sở Thông tin và Truyền thông đề nghị các cơ quan, đơn vị, cá nhân thực hiện biện pháp xử lý khẩn cấp mã độc này.Đối với cá nhân, thực hiện cập nhật ngay các phiên bản hệ điều hành Windows đang sử dụng. Riêng đối với các máy tính sử dụng Windows XP, sử dụng bản cập nhật mới nhất dành riêng cho sự vụ này tại:https://www.microsoft.com/en-us/download/details.aspx?id=55245&WT.mc_id=rss_windows_allproductshoặc tìm kiếm theo từ khóa bản cập nhật KB4012598 trên trang chủ của Microsoft. Đồng thời, cập nhật ngay các chương trình Antivius đang sử dụng. Đối với các máy tính không có phần mềm Antivirus cần tiến hành cài đặt và sử dụng ngay một phần mềm Antivirus có bản quyền. Các cá nhân cẩn trọng khi nhận được email có đính kèm và các đường link lạ được gửi trong email, trên các mạng xã hội, công cụ chat… và khi mở các tệp đính kèm ngay cả khi nhận được từ những địa chỉ quen thuộc. Đặc biệt, không mở các đường dẫn có đuôi .hta hoặc đường dẫn có cấu trúc không rõ ràng, các đường dẫn rút gọn link. 

Đối với tổ chức, doanh nghiệp (cụ thể với các quản trị viên hệ thống), cần kiểm tra các máy chủ và tạm thời khóa (block) các dịch vụ đang sử dụng các cổng 445/137/138/139. Đồng thời tiến hành các biện pháp cập nhật sớm, phù hợp theo từng đặc thù cho các máy chủ windows của tổ chức; tạo các bản snapshot đối với các máy chủ ảo hóa đề phòng việc bị tấn công và có biện pháp cập nhật các máy trạm đang sử dụng hệ điều hành Windows. 

Bên cạnh đó, cập nhật cơ sở dữ liệu cho các máy chủ Antivirus Endpoint đang sử dụng. Đối với hệ thống chưa sử dụng các công cụ này thì cần triển khai sử dụng các phần mềm bảo mật Endpoint có bản quyền và cập nhật mới nhất ngay cho các máy trạm. Tận dụng các giải pháp đảm bảo an toàn thông tin đang có sẵn trong tổ chức như tường lửa, thiết bị phòng chống xâm nhập (Firewall, IDS/IPS, SIEM…) để theo dõi, giám sát và bảo vệ hệ thống trong thời điểm nhạy cảm này. Cập nhật các bản cập nhật từ các hãng bảo mật đối với các giải pháp đang có sẵn và thực hiện ngăn chặn, theo dõi các tên miền hoặc các địa chỉ IP đang được mã độc WannaCry sử dụng (kèm theo văn bản 144/VNCERT-ĐPƯC ngày 13/5/2017 của Trung tâm ứng cứu khẩn cấp máy tính Việt Nam). Tiến hành thực hiện sao lưu dữ liệu định kỳ, sử dụng các ổ đĩa lưu trữ ngoài như ổ cứng cắm ngoài, ổ USB,… để lưu trữ các dữ liệu quan trọng trong máy tính, khi lữu trữ xong không kết nối vào internet.

Các tổ chức, cá nhân tải về công cụ miễn phí kiểm tra Wanna cry tại địa chỉ: Bkav.com.vn/Tool/CheckWanCry.exe và thực hiện theo các bước hướng dẫn. Riêng người sử dụng Bkav Pro hoặc Bkav Endpoint sẽ không cần chạy Tool vì đã có tính năng tự động bảo vệ.

Khi phát hiện lây nhiễm mã độc, cần nhanh chóng tắt máy tính bằng cách ngắt nguồn điện; không được khởi động lại máy tính theo cách thông thường mà phải khởi động lại từ hệ điều hành sạch khác (khuyến nghị hệ điều hành Linux) như từ ổ đĩa CD, USB,… Sau đó thực hiện kiểm tra các tệp tin dữ liệu và sao lưu các dữ liệu chưa bị mã hóa. Các tập tin đã bị mã hóa tương đối khó giải mã, tuy nhiên trong một số trường hợp có thể sử dụng các phần mềm khôi phục dữ liệu như: FTK, EaseUs, R-STUDIO,… để khôi phục các tập tin nguyên bản đã bị xóa. Đồng thời, cài đặt lại toàn bộ hệ thống, cài đặt phần mềm diệt virus đồng thời thiết lập chế độ cập nhật phiên bản tự động.