Mã độc là gì?
Mã độc là một khái niệm chung dùng để chỉ các phần mềm độc hại được viết với mục đích có thể lây lan phát tán (hoặc không lây lan, phát tán) trên hệ thống máy tính và internet, nhằm thực hiện các hành vi bất hợp pháp nhằm vào người dùng cá nhân, cơ quan, tổ chức. Thực hiện các hành vi trục lợi cá nhân, kinh tế, chính trị hoặc đơn giản là để thỏa mãn ý tưởng và sở thích của người viết.
Phân loại và đặc tính
Tuỳ thuộc vào cơ chế, hình thức lây nhiễm và phương pháp phá hoại mà người ta phân biệt mã độc thành nhiều loại khác nhau: virus, trojan, backdoor, adware, spyware… Đặc điểm chung của mã độc là thực hiện các hành vi không hợp pháp (hoặc có thể hợp pháp, ví dụ như các addon quảng cáo được thực thi một cách hợp pháp trên máy tính người dùng) nhưng không theo ý muốn của người sử dụng máy tính. Dưới đây chúng ta sẽ phân loại các mã độc theo các hành vi nguy hiểm mà nó thường xuyên thực hiện:
Trojan/ Backdoors: không tự tái tạo, không gắn vào một tập tin như virus, thay vào đó được cài đặt vào hệ thống bằng cách giả làm một phần mềm hợp lệ và vô hại sau đó cho phép tin tặc điều khiển máy tính từ xa. Một trong những mục đích phổ biến nhất của trojan là biến máy tính thành một phần của mạng máy tính ma (Botnet).
Spyware: là phần mềm cài đặt trên máy tính người dùng nhằm thu thập các thông tin người dùng một cách bí mật, không được sự cho phép của người dùng.
Adware: phần mềm quảng cáo, hỗ trợ quảng cáo, là các phần mềm tự động tải, pop up, hiển thị hình ảnh và các thông tin quảng cáo để ép người dùng đọc, xem các thông tin quảng cáo. Các phần mềm này không có tính phá hoại nhưng nó làm ảnh hưởng tới hiệu năng của thiết bị và gây khó chịu cho người dùng.
Ransomware: đây là phần mềm khi lây nhiễm vào máy tính sẽ kiểm soát dữ liệu hoặc chiếm quyền điều khiển máy tính và yêu cầu nạn nhân phải trả tiền để có thể khôi phục lại dữ liệu hoặc quyền kiểm soát với hệ thống.
Virus: là phần mềm có khả năng lây nhiễm trong cùng một hệ thống máy tính hoặc từ máy tính này sang máy tính khác dưới nhiều hình thức khác nhau. Quá trình lây lan được thực hiện qua hành vi lây file. Ngoài ra, virus cũng có thể thực hiện các hành vi phá hoại, lấy cắp thông tin…
Rootkit: là một kỹ thuật cho phép phần mềm có khả năng che giấu danh tính của bản thân nó trong hệ thống, các phần mềm antivirus từ đó nó có thể hỗ trợ các module khác tấn công, khai thác hệ thống.
Worm: có khả năng tự nhân bản trên chính nó mà không cần cấy vào một tập tin lưu trữ. Chúng còn thường sử dụng Internet để lây lan, do đó gây thiệt hại nghiêm trọng cho một mạng lưới về tổng thể, trong khi virus thường chỉ nhắm vào các tập tin trên máy tính bị nhiễm. Worm lây lan chủ yếu là do các lỗ hổng bảo mật của hệ thống
Keylogger: có khả năng ghi lại mọi phím bấm mà người dùng đã nhấn trên bàn phím. Tổng hợp kết quả của các tổ hợp phím này, kẻ cài đặt keylogger có thể thu được tin nhắn cá nhân, nội dung email, số thẻ tín dụng và dĩ nhiên nguy hiểm nhất là mọi loại mật khẩu của người dùng.
Tìm hiểu về mã độc đòi tiền chuộc
Khi đến cơ quan làm việc, bạn bật máy tính để bắt đầu thực hiện các công việc đang làm. Tuy nhiên bạn nhận thấy vấn đề đang xảy ra với mình là toàn bộ các dữ liệu mà bạn đang lưu trữ trên máy tính đã bị thay đổi và không thể xem được nội dung. Tiếp theo bạn thấy xuất hiện các cảnh báo về việc thực hiện các chỉ dẫn để lấy lại các file văn bản này bằng cách truy cập vào các trang web để nộp tiền cho người gây ra vấn đề này. Mã độc gây ra hiện tượng trên cho dữ liệu của bạn gọi là Mã độc đòi tiền chuộc (Ransomware). Đây là một loại phần mềm độc hại trong đó hạn chế quyền truy cập vào hệ thống máy tính mà nó lây nhiễm, và yêu cầu một khoản tiền chuộc trả cho các tác giả của phần mềm độc hại để các hạn chế được loại bỏ. Với trường hợp mã độc mã hóa tài liệu thì mã độc sẽ tiến hành mã hoá nội dung toàn bộ các dữ liệu trên máy nạn nhân với thuật toán mã hóa mạnh để không thể giải mã được với mục đích bắt cóc dữ liệu trên máy để tống tiền nạn nhân.
Phương thức lây nhiễm:
Theo cảnh báo của Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) trong thời gian qua, Trung tâm ghi nhận cách thức tấn công mới của tin tặc nhằm vào các cơ quan tố chức có sử dụng các hòm thư điện tử nội bộ. Theo đó, tin tặc sẽ giả mạo một địa chỉ điện tử có địa chỉ giống với địa chỉ thư điện tử trong cơ quan đó để gửi thư điện tử có kèm mã độc đến các người dùng nhằm qua mặt các hệ thống dò quét mã độc, các mã độc thường được nén lại dưới định dạng .zip hoặc .zar.. Với việc giả mạo chính các địa chỉ thư điện tử của đơn vị sẽ làm cho người dùng khó phát hiện các thư giả mạo dẫn đến số lượng các máy tính bị lây nhiễm mã độc mã hóa dữ liệu có thể tăng cao.
Phương thức lây nhiễm chủ yếu của mã độc này là gửi tập tin đính kèm thư điện tử, khi người dùng mở tập tin thì mã độc sẽ tự động lây nhiễm vào máy tính người dùng. Gửi thư điện tử hoặc tin nhắn điện tử có chứa đường dẫn đến mã độc và yêu cầu người dùng tải về và cài đặt. Ngoài ra máy tính còn có thế bị lây nhiễm thông qua đường khác như qua các thiết bị lưu trữ, qua quá trình cài đặt phần mềm không rõ nguồn gốc, sao chép dữ liệu từ máy nhiễm,... !
Dấu hiệu nhận biết của loại mã độc sau khi máy tính bị nhiễm là các tài liệu, văn bản sẽ bị thay đổi nội dung và đổi tên phần mở rộng, phổ biến là các tập tin có định dạng: .doc, .docx, .pdf, .xls, .xlsx, .jpg, .txt, .ppt, .pptx,...một số loại còn khoá máy tính không cho sử dụng và đòi tiền chuộc.
Biện pháp phòng tránh
Trước đây, mã độc thường lây nhiễm vào máy tính của nạn nhân thông qua các phần mềm tiện ích, gần đây thủ đoạn lây nhiễm có thay đổi và phức tạp hơn. Do vậy, để phòng ngừa, hạn chế tối đa khả năng bị nhiễm mã độc mã hóa dữ liệu trong hoạt động công vụ, các cơ quan, đơn vị cần thực hiện một số nội dung sau:
Tăng cường phòng ngừa để hạn chế tối đa khả năng bị nhiễm mã độc:
Phân quyền hợp lý cho các loại tài khoản người dùng, bảo vệ các tập tin không cho phép xoá, sửa nội dung các tập tin quan trọng; Cài đặt và thường xuyên cập nhật cho hệ điều hành, phần mềm chống mã độc như Kaspersky, Symantec, Avast, AVG, MSE, Bkav, CMC,... cho tất cả các máy tính của cán bộ, công chức, viên chức nhằm đảm bảo bảo mật, an toàn thông tin trên môi trường mạng; đồng thời, chú ý cảnh giác với các tập tin đính kèm, các đường liên kết ẩn được gửi đến thư điện tử người dùng, kể cả người gửi từ trong nội bộ; tuyệt đối không bấm vào các đường liên kết nhận được qua các tin nhắn trên mạng xã hội hay mở những thư điện tử không rõ nguồn gốc, nếu mở thì cần liên lạc với người gửi thông tin để xác thực hoặc mở các tập tin đính kèm trong các email đó trong môi trường cách ly an toàn (Safe Run) của các phần mềm diệt Virus và thực hiện các biện pháp kỹ thuật nhằm kiểm tra xác thực người dùng trên máy chủ gửi email của đơn vị, tránh bị giả mạo người gửi từ nội bộ; tắt các chế độ tự động mở, chạy tập tin đính kèm theo thư điện tử.
Thực hiện sao lưu dữ liệu định kỳ:
Sử dụng các ổ đĩa lưu trữ như Ổ cứng cắm ngoài, Ô đĩa USB để lưủ trữ các dữ liệu quan trọng trong máy tính. Sau khi sao lưu xong đưa ra cất giữ riêng; sử dụng các công cụ, giải pháp chuyên dụng để sao lưu dữ liệu như: các máy chủ quản lý tập tin, máy chủ sao lưu từ xa, các công cụ lưu trữ đám mây cho phép khôi phục lịch sử thay đối của tập tin.
Xử lý khi phát hiện lây nhiễm mã độc:
Khi mã độc lây nhiễm vào máy tính, mã độc sẽ tiến hành quét và mã hoá các tập tin trong một khoảng thời gian. Do đó, việc phản ứng nhanh khi phát hiện ra sự cố có thể giúp giảm thiểu thiệt hại cho dữ liệu trên máy tính và tăng khả năng khôi phục dữ liệu bị mã hoá. Cụ thể cần thực hiện các thao tác sau:
- Nhanh chóng tắt máy tính bằng các ngắt nguồn điện trực tiếp.
- Không được khởi động lại máy tính theo cách thông thường mà phải khởi động từ hệ điều hành sạch khác (khuyến nghị hệ điều hành Linux) như từ ổ đĩa CD, USB,... sau đó thực hiện kiểm tra các tập tin dữ liệu và sao lưu các dữ liệu chưa bị mã hoá.
- Các tập tin đã bị mã hoá tương đối khó để giải mã, tuy nhiên trong một số trường hợp có thể sử dụng các phần mềm khôi phục dữ liệu như FTK, EaseUs, R-STUDIO,... để khôi phục các tập tin nguyên bản đã bị xoá.
- Cài đặt lại toàn bộ hệ thống, cài đặt phần mềm diệt virus đồng thời thiết lập chế độ cập nhật phiên bản tự động.
Để giúp các cơ quan chức năng theo dõi, phân tích và phản ứng nhanh chóng với các loại mã độc mới, ngay khi phát hiện xảy ra sự cố về mã độc Ransomware cần nhanh chóng thông báo về Tổ Ứng cứu sự cố mạng máy tính của Trung tâm Công nghệ thông tin và Truyền thông Thanh Hóa theo địa chỉ dưới đây, để được hỗ trợ, xử lý kịp thời, hạn chế tối đa các nguy cơ mất an toàn thông tin mạng.
Thông tin liên hệ:
Điện thoại: (0237) 3718699; Fax (037) 3718299.
Email: ungcuusuco@thanhhoa.gov.vn
Trần Ngọc Hưng
Phó Giám đốc Trung tâm CNTT&TT Thanh Hóa