Thông tin về virus mã hóa:

- Hiện tượng: Máy bị nhiễm mã độc xuất hiện hình ảnh trên Desktop thông báo dữ liệu đã bị mã hóa. Khi bị nhiễm virus này, toàn bộ dữ liệu trong máy tính sẽ bị mã hóa, kẻ tấn công sẽ yêu cầu đòi tiền chuộc bằng Bitcoin để được giải mã.

- Các file dữ liệu bị mã hóa và đổi đuôi file, có thể bị thêm vào các chuỗi kí tự ngẫu nhiên

- Virus chủ yếu lây nhiễm theo phương thức đính kèm trong mail spam. Kaspersky Mail-antivirus sẽ phát hiện và ngăn chặn tuy nhiên khi người dùng nhận mail mà click vào khi chương trình chưa kịp xử lý thì sẽ bị nhiễm virus.

- Những ổ mạng chia sẻ map vào máy có quyền Write đều có thể bị mã hóa file từ máy trạm bị nhiễm virus.

- Mã độc được Kaspersky nhận dạng với các tên dạng: Trojan-Ransom.Win32., Trojan-Downloader.Win32.Cabby.cfeu,.. Xem thêm thông tin tại

+ http://securelist.com/analysis/publications/64608/a-new-generation-of-ransomware/

+http://antoanthongtin.vn/Detail.aspx?CatID=c74b5c11-1141-471b-95c8-a05fe6e7d3a6&NewsID=0d2b883e-90d7-4a89-81e6-8d474d5d40d8

Cách thức xử lý khi bị lây nhiễm virus mã hóa:

- Xác định và ngắt máy tính bị lây nhiễm khỏi hệ thống mạng, update chương trình Kaspersky và quét lại toàn bộ máy tính.

- Không làm theo các hướng dẫn của hacker để tránh mất tiền và lây nhiễm virus thêm.

- Khi dữ liệu bị mã hóa sẽ không có cách nào giải mã được (do virus sử dụng thuật toán mã hóa bảo mật và phức tạp). Hiện Kaspersky có ra mắt công cụ hỗ trợ việc giải mã, tuy nhiên chỉ hỗ trợ được một số trường hợp đã lấy được key giải mã trên máy chủ của hacker. Công cụ giải mã của Kaspersky được download tại đây: https://noransom.kaspersky.com/

(thông tin tham khảo : http://securitydaily.net/cach-vo-hieu-hoa-coinvault-ransomware/ )

- Kiểm tra tính năng System Protection của Windows có được bật trên các ổ đĩa hay không, nếu có thì sử dụng chương trình ShadowExplorer để khôi phục lại trạng thái file trước đó.

Các nguyên nhân có thể xảy ra hiện tượng máy tính bị lây nhiễm virus mã hóa khi đang sử dụng phần mềm diệt virus Kaspersky:

- Không bật đầy đủ các tính năng diệt virus của Kaspersky , đặc biệt là tính năng System Watcher,Mail Antivirus, Self-defense.

- Phần mềm Kaspersky chưa được cập nhật đầy đủ.

- Khi người dùng nhận được email có mã độc vô tình mở ra, mặc dù có thông báo nguy hiểm của Kaspersky nhưng không để ý, hoặc Kaspersky phát hiện và chặn lại tuy nhiên chương trình virus đã chạy trước và dữ liệu đã bị mã hóa

Khuyến nghị:

- Đảm bảo mọi máy tính được cài đặt phần mềm diệt virus nhận dạng được loại mã độc này, kiểm tra xử lý những máy bị lỗi chương trinh Antivirus ngay khi phát hiện được

- Ngăn chặn tình trạng người dùng tạm dừng chương trình phần mềm diệt virus, tắt các tính năng của phần mềm diệt virus

- Đảm bảo các máy được cập nhật mẫu virus mới thường xuyên.

- Cảnh báo cho người dùng tuyệt đối không click vào đọc những email lạ có chứa file đính kèm, thường là có tên người gửi và subject tiếng nước ngoài.

- Cập nhật các bản vá của hệ điều hành.

- Bật tính năng System Protection của Windows để có thể khôi phục file khi cần

- Kiếm tra bật tính năng System Watcher, Mail Antivirus, Self-defense của chương trình Kaspersky. Kiểm tra lại cấu hình Mail-antivirus tự động xóa file đính kèm khi phát hiện virus.

- Backup lại dữ liệu thường xuyên để dự phòng. Ngoài dữ liệu trên hệ thống máy chủ cần thực hiện backup những dữ liệu quan trọng trên máy người dùng.

- Cấu hình việc chia sẻ dữ liệu cho người dùng, ngăn cấm việc thay đổi dữ liệu dùng chung cho người dùng nếu thấy thực sự không cần thiết.

Võ Tuấn Anh