Phòng ngừa, ngăn chặn sự tấn công của mã độc GandCrab trên máy tính

Mã độc tống tiền GandCrab có thể đánh cắp thông tin
và mã hóa toàn bộ dữ liệu trên máy tính.

Khi đã vào được máy tính người dùng, mã độc GandCrab phải thông qua Internet để kết nối về máy chủ điều khiển (máy chủ C&C) và tải các khóa mã hóa. Các tệp tin bị mã hóa bởi mã độc GandCrab sẽ có dạng *.CRAB. Sau khi mã hóa thành công các tệp tin, mã độc sẽ đưa ra cảnh báo và yêu cầu người dùng thực hiện chuyển tiền “chuộc” (khoảng 4.000 đến 7.000 đô la Mỹ) bằng hình thức thanh toán qua tiền điện tử DASH. Khi đáp ứng đúng yêu cầu, người dùng sẽ được cấp khóa mã để giải các tệp tin trong máy tính của mình.

GandCrab là một loại mã độc tống tiền (ransomware) có nhiều điểm tương đồng với các mã độc InsaneCrypt, Velso, Rapid, Cyber Police và hàng chục mã độc tống tiền khác, đó là mã hóa các tệp tin lưu trữ và yêu cầu đòi tiền chuộc.

GandCrab Ransomware V1.0 xuất hiện vào cuối tháng 1-2018 và được quảng cáo như là một chương trình Ransomware-as-aService trên một diễn đàn về tội phạm trên mạng cho những người sử dụng tiếng Nga. Mã độc này đã tấn công và gây tổn thất nặng nề cho người dùng máy tính tại các quốc gia như: Nga, Brazil, Mỹ, Ấn Độ, Indonesia, Pakistan và Việt Nam, có rất nhiều nạn nhân đã phải trả khoản tiền chuộc từ 4.000 đến 7.000 đô la Mỹ để giải mã dữ liệu bị mã hóa.

Ngày 5-4-2018, GandCrab Ransomware V2.0 đã được phát hành. Phiên bản này có nhiều thay đổi làm cho mã độc khó phát hiện hơn. Khi bị nhiễm mã độc này, các tệp tin trong máy tính sẽ bị mã hóa sẽ có phần mở rộng .CRAB được nối vào tên tệp. Ví dụ: test.jpg sẽ được mã hóa và đổi tên thành test.jpg.CRAB. Đến thời điểm hiện tại, nạn nhân của mã độc này không thể giải mã tệp tin miễn phí mà phải bỏ tiền ra để chuộc lại.

Thủ đoạn lây nhiễm của mã độc GandCrab được phát tán bởi các bộ exploit kit RIG và GrandSoft. Việc lây nhiễm vào máy tính người dùng chủ yếu thông qua:

- Spam email (Spam email thường chứa các tệp đính kèm độc hại, chẳng hạn như tệp JavaScript, tài liệu Office… Sau khi được mở, các tệp đính kèm này sẽ tải và cài đặt phần mềm độc hại một cách bí mật);

- Các liên kết độc hại được phát tán trên mạng xã hội hoặc qua email (thông qua mạng xã hội hoặc spam email, kẻ tấn công gửi các liên kết (link) có chứa các đoạn mã với mục đích khai thác lỗ hổng, tải và cài đặt mã độc).

- Nguồn tải phần mềm không chính thức (nguồn tải phần mềm của bên thứ 3 (các trang web lưu trữ tệp miễn phí, các trang web tải xuống phần mềm miễn phí…) và mạng P2P (eMule, torrent…) sẽ làm cho các phần mềm độc hại này trở thành phần mềm hợp pháp.

Để ngăn chặn và tránh bị lây nhiễm mã độc GandCrab, người dùng máy tính, nhất là các máy tính kết nối Internet cần đề cao cảnh giác, không mở và kích chuột vào các liên kết (link) cũng như các tập tin đính kèm trong thư điện tử có chứa các tập tin dạng: .doc; .pdf; .zip… được gửi từ người lạ hoặc từ người quen nhưng có cách đặt tiêu đề và ngôn ngữ khác thường. Không cài đặt các phần mềm chưa rõ nguồn gốc và chưa được kiểm tra an toàn thông tin.

Đối với các cơ quan, đơn vị trong Quân đội nói chung, Quân chủng PK-KQ nói riêng có sử dụng máy tính, nhất là trong mạng máy tính quân sự cần kiểm tra an toàn các phần mềm trước khi cài đặt; không sử dụng các thiết bị USB, thẻ nhớ, ổ cứng di động để trao đổi dữ liệu giữa các máy tính trong nội bộ mạng và các máy tính truy cập Internet. Kiểm soát chặt chẽ và ngăn chặn kịp thời việc kết nối bất hợp pháp các máy tính trong mạng máy tính quân sự với mạng Internet. Tải và cài đặt phần mềm Firefly tại trang TTĐT của Bộ Tư lệnh 86 trên mạng máy tính quân sự (http://firefly.com.vn/vi/phanmem/) thiết lập chế độ bảo vệ dữ liệu để chống mã hóa các tệp tin trong máy tính bởi mã độc GandCrab.

Đối với các máy tính kết nối Internet cần nhanh chóng tải và cập nhật bản vá lỗ hổng CVE2016-0189 cho máy tính. Không kích hoạt các tệp tin lạ trong thư điện tử hoặc các đường dẫn (link) không an toàn. Tiến hành sao lưu (Backup) các dữ liệu quan trọng. Cài đặt phần mềm diệt vi-rút bản quyền. Tải phần mềm Firefly tại trang TTĐT của Bộ Tư lệnh 86 trên mạng máy tính quân sự; sử dụng đĩa CD chuyển sang máy tính Internet để cài đặt; thiết lập chế độ bảo vệ dữ liệu để chống mã hóa các tệp tin trong máy tính bởi mã độc nêu trên. Khi phát hiện máy tính bị nhiễm mã độc GandCrab, cần nhanh chóng tắt máy tức thì bằng cách rút nguồn điện và kịp thời thông báo với cơ quan chức năng để được hỗ trợ, giúp đỡ.

KIÊN CƯỜNG