Cách diệt virus mã hóa sage 2.0 ransomware

Theo Bkav, hậu quả của những vụ việc bị mã hóa dữ liệu thường rất tàn khốc bởi lẽ việc khôi phục lại dữ liệu gần như là không thể.

Ngày 29-5, Công ty An ninh mạng Bkav cho biết, từ đầu năm đến nay, Trung tâm hỗ trợ kỹ thuật của Bkav đã tiếp nhận hàng trăm cuộc gọi, đề nghị xử lý virus mã hóa tống tiền (ransomware). Hệ thống giám sát virus của Bkav cũng ghi nhận trong nửa đầu năm 2023, hơn 77.000 máy tính tại Việt Nam bị mã hóa dữ liệu. Nghiên cứu sự lây lan mạnh của dòng virus này, các chuyên gia chỉ ra “gót chân A-sin” khiến nhiều tổ chức bị tống tiền bởi ransomware.

Bkav cho biết, đầu tháng 5, một doanh nghiệp lớn, có đội ngũ quản trị viên nhiều kinh nghiệm, nắm rõ hệ thống của mình bị ransomware tấn công, toàn bộ hơn 10TB dữ liệu bị mã hóa. Hacker yêu cầu hơn 4 tỷ đồng đổi lấy key giải mã.

Giữa tháng 5, một doanh nghiệp khác bị hacker tấn công và mã hóa dữ liệu hàng loạt máy chủ, máy cá nhân lúc nửa đêm. Hacker đòi 9.000 USD tiền chuộc dữ liệu cho mỗi máy bị mã hóa. Các chuyên gia của Bkav phát hiện, hệ thống đã bị tấn công bởi virus mã hóa Jianliang, chưa từng xuất hiện trước đây... Hệ thống giám sát virus của Bkav còn phát hiện, dòng mã độc mã hóa dữ liệu STOP/DJVU hoặc FARGO3, chuyên nhắm tới các doanh nghiệp, đơn vị sử dụng các phần mềm quản lý dữ liệu kế toán. Theo thống kê, có tổng cộng 261 máy chủ bị xâm nhập từ hơn 6.000 IP khác nhau.

Ông Nguyễn Tiến Đạt, Tổng Giám đốc Trung tâm nghiên cứu mã độc của Bkav cho biết, trên đây chỉ là những ví dụ trong số rất nhiều trường hợp thể hiện sự chủ quan của người quản trị hệ thống, khiến mã độc mã hóa tống tiền hoành hành. Trong số hàng trăm trường hợp liên hệ Bkav yêu cầu trợ giúp, có tới hơn 50% tổ chức, cá nhân không sử dụng phần mềm diệt virus hoặc cài đặt những ứng dụng bảo vệ không đủ mạnh. Đặc biệt, có những đơn vị có rất nhiều dữ liệu quan trọng nhưng lại tiết kiệm, sử dụng những phần mềm diệt virus miễn phí. Phần mềm diệt virus miễn phí có khả năng xử lý những loại mã độc thông thường, chỉ phù hợp bảo vệ những dữ liệu không quá quan trọng do không có khả năng tự động phát hiện và diệt triệt để các dòng virus mã hóa dữ liệu.

Theo Bkav, các loại mã độc mã hóa dữ liệu sử dụng rất nhiều cách thức để tấn công: khai thác lỗ hổng dịch vụ web, dò quét mật khẩu (Brute force) vào các dịch vụ SQL, lỗ hổng hệ điều hành, để tấn công trực tiếp vào máy chủ. Cách khác là tấn công vào một máy cá nhân, từ đó âm thầm rà quét, thọc sâu vào các server và các máy tính khác trong mạng…

“Hậu quả của những vụ việc bị mã hóa dữ liệu thường rất tàn khốc bởi lẽ việc khôi phục lại dữ liệu gần như là không thể. Ngay cả khi nạn nhân chấp nhận trả tiền thì cũng không đảm bảo họ sẽ lấy lại được dữ liệu từ hacker”, ông Nguyễn Tiến Đạt nhận định.

Để tránh bị tấn công mã hóa dữ liệu, các chuyên gia từ Bkav khuyến cáo người dùng và quản trị hệ thống cần: Backup (sao lưu) dữ liệu quan trọng thường xuyên; không mở cổng dịch vụ nội bộ ra Internet khi không cần thiết; đánh giá an ninh các dịch vụ trước khi mở ra internet; cài đặt phần mềm diệt virus đủ mạnh để được bảo vệ thường trực.

Ransomware là phần mềm độc hại mã hóa các tệp của bạn hoặc ngăn bạn sử dụng máy tính cho đến khi bạn trả tiền (tiền chuộc) để chúng được mở khóa. Nếu máy tính của bạn được kết nối với mạng, mã độc tống tiền cũng có thể lan sang các máy tính hoặc thiết bị lưu trữ khác trên mạng.

Một số cách thức có thể khiến bạn bị nhiễm ransomware bao gồm:

• Truy cập vào những trang web không an toàn, đáng ngờ hoặc giả mạo.
• Mở tệp đính kèm mà bạn không mong đợi hoặc từ những người mà bạn không biết.
• Mở các liên kết độc hại hoặc xấu trong email, Facebook, Twitter và các bài đăng trên phương tiện truyền thông xã hội khác hoặc trong các cuộc trò chuyện qua tin nhắn tức thời hoặc SMS.

Bạn có thể thường xuyên nhận ra một email và trang web giả mạo vì chúng có lỗi chính tả hoặc chỉ trông khác thường. Hãy chú ý đến cách viết tên công ty lạ (như "PayePal" thay vì "PayPal") hoặc các dấu cách, ký hiệu hoặc dấu câu khác thường (như "iTunesCustomer Service" thay vì "iTunes Customer Service").

Ransomware có thể tấn công bất cứ PC nào—dù đó là máy tính gia đình, các PC trên một mạng doanh nghiệp hoặc các máy chủ của cơ quan chính phủ.

Làm cách nào tôi có thể giúp giữ an toàn cho PC của mình?

• Đảm bảo PC của bạn được cập nhật với phiên bản Windows mới nhất và tất cả các bản vá mới nhất. Tìm hiểu thêm về Windows Update.
• Đảm bảo Bảo mật Windows bật để giúp bảo vệ bạn khỏi vi rút và phần mềm có hại (hoặc Trung tâm Bảo mật Bộ bảo vệ Windows trong các phiên bản trước của Windows 10).
• Trong Windows 10 hoặc 11 bật Truy nhập Thư mục có Kiểm soát để bảo vệ các thư mục quan trọng cục bộ của bạn khỏi các chương trình trái phép như mã độc tống tiền hoặc phần mềm độc hại khác.
• Sử dụng trình duyệt an toàn, hiện đại, chẳng hạn như Microsoft Edge.
• Khởi động lại máy tính của bạn định kỳ; ít nhất mỗi tuần một lần. Điều này có thể giúp đảm bảo các ứng dụng và hệ điều hành được cập nhật và giúp hệ thống của bạn chạy tốt hơn.

Nếu bạn nghi ngờ mình đã bị nhiễm

Sử dụng các chương trình chống phần mềm có hại, chẳng Bảo mật Windows, bất cứ khi nào bạn lo ngại PC của bạn có thể bị nhiễm. Ví dụ: nếu bạn nghe về phần mềm có hại mới trong tin tức hoặc thấy hành vi lạ trên PC của mình. Xem bảo vệ khỏi & mối đe dọa của vi rút Bảo mật Windows cách quét thiết bị của bạn.

Nếu bạn thực sự bị nhiễm mã độc tống tiền

Rất tiếc, sự lây nhiễm mã độc tống tiền thường không hiển thị cho đến khi bạn thấy một loại thông báo nào đó, trong cửa sổ, ứng dụng hoặc tin nhắn toàn màn hình, yêu cầu tiền để lấy lại quyền truy cập vào PC hoặc tệp của bạn. Những thông báo này thường hiển thị sau khi mã hóa tệp của bạn.

Hãy thử dọn dẹp toàn bộ PC của bạn bằng Bảo mật Windows. Bạn nên làm việc này trước khi cố gắng khôi phục các tệp của mình. Ngoài ra , hãy xem Sao lưu PC chạy Windows của bạn để được trợ giúp sao lưu và khôi phục tệp cho phiên bản Windows của bạn.

Không phải trả tiền để khôi phục các tệp của bạn. Ngay cả khi bạn phải trả tiền chuộc, cũng không có gì đảm bảo rằng bạn sẽ lấy lại quyền truy cập vào PC hoặc tệp của mình.

Việc cần làm nếu bạn đã trả tiền chuộc

Nếu bạn đã thanh toán tiền chuộc, hãy liên hệ ngay với ngân hàng của bạn và chính quyền địa phương bạn. Nếu bạn đã thanh toán bằng thẻ tín dụng, ngân hàng của bạn có thể chặn giao dịch và trả lại tiền của bạn.

Bạn cũng có thể liên hệ với các trang web báo cáo gian lận và lừa đảo của chính phủ sau đây:

• Ở Úc, hãy truy cập trang web SCAMwatch .
• Ở Canada, hãy truy cập Canadian Anti-Fraud Centre.
• Ở Pháp, hãy truy cập trang web Agence nationale de la sécurité des systèmes d'information .
• Ở Đức, hãy truy cập trang web Bundesamt für Sicherheit in der Informationstechnik .
• Ở Ireland, hãy truy cập trang web An Garda Síochána .
• Ở New Zealand, hãy truy cập trang web Consumer Affairs Scams .
• Ở Vương quốc Anh, hãy truy cập trang web Action Fraud .
• Ở Hoa Kỳ, hãy truy cập trang web On Guard Online .

Nếu khu vực của bạn không được liệt kê ở đây, Microsoft khuyên bạn nên liên hệ với cảnh sát hoặc cơ quan truyền thông liên bang trong khu vực của bạn.

Để có cái nhìn tổng quan minh họa về ransomware và những gì bạn có thể làm để giúp tự bảo vệ mình, hãy xem 5Ws và 1H của ransomware.

Nếu bạn đang ở trong một doanh nghiệp, hãy xem Trung tâm Bảo vệ khỏi Phần mềm có hại Microsoft để biết thông tin chi tiết hơn về mã độc tống tiền.

Xem thêm

Phần mềm có hại có thể lây nhiễm PC của bạn như thế nào

Tự bảo vệ khỏi những trò lừa đảo và tấn công trực tuyến

Sao lưu PC chạy Windows của bạn

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú.