133 bình luận
Chia sẻ
Bài nổi bật
Format HDD, cài lại OS, dùng Sophos Home Premium, dùng Acronis True Image backup dữ liệu thường xuyên. Link Sophos Home
https://sophos.com/home
Chúc bạn may mắn!
https://sophos.com/home
Chúc bạn may mắn!
@Dũng NK2
Thử cái này xem sao bác: https://noransom.kaspersky.com/
Hoặc trang này thử nhé https://www.nomoreransom.org/
Thử cái này xem sao bác: https://noransom.kaspersky.com/
No Ransom: Free ransomware file decryption tools by Kaspersky
Don’t know how to remove ransomware? The No More Ransom website contains free decryption tools and comprehensive information on ransomware protection.
noransom.kaspersky.com
Hoặc trang này thử nhé https://www.nomoreransom.org/
Home | The No More Ransom Project
Ransomware is malware that locks your computer and mobile devices or encrypts your electronic files. When this happens, you can’t get to the data unless you pay a ransom. However this is not guaranteed and you should never pay!
nomoreransom.org
Giải pháp của mình:
1. Cài lại win
2. Vào trình duyệt ME, đăng nhập Onedrive, chọn khôi phục dữ liệu (chọn ngày khôi phục dữ liệu trước ngày bị nhiễm).
1. Cài lại win
2. Vào trình duyệt ME, đăng nhập Onedrive, chọn khôi phục dữ liệu (chọn ngày khôi phục dữ liệu trước ngày bị nhiễm).
Cho em hỏi ké với. Máy cơ quan em dùng chung cái Dropbox để lưu tài liệu làm chung cho các phòng. Giờ nó bị dính cái mã hóa .Crazy nên toàn bộ file word và excel bị hết. Giờ làm sao cứu đây các bác
- Đầu tiên bạn phải triệt được con này trước đã, chứ ko diệt nó được dù bạn phục hồi xong cũng dính lại à
- Vào dropbox bản web (chuột phải vào biểu tượng dropbox, hiện cửa sổ phía trên có ô tròn, nhấp vào đó)
- Chọn file bị lỗi, cuối dòng file có dấu (...), nhấp vào đó, chọn version history, chọn version muốn phục hồi. Done.
Nhớ phải xử lý con virus đó trên toàn hệ thống (kể các máy có chung dropbox) trước đã nhé. Cty mình hồi xưa dùng chung , cứ phục hồi file là bị máy khác đè qua. Sau phải cách ly máy kia - tắt kết nối internet của máy bị nhiễm, phục hồi từ từ.
các bác tham khảo ạ :
E mạn phép copy và post lại 2 bài rất hay viết về
RANSOMEWARE (MÃ ĐỘC TỐNG TIỀN) của 02 bác tại diễn đàn openvn.com, Tks 2 tác giả) sau khi đã trãi qua kinh nghiệm tương đối nhưng chưa đến nổi tốn xiền + tờ A4
Bài 1:
1. Nơi tình yêu bắt đầu:
Bắt cóc dữ liệu và đòi tiền chuộc dữ liệu; ransomware; một khái niệm và xu hướng không mới mẻ, nhưng vào thời điểm hiện tại nó đang hoành hành dữ dội và gây thiệt hại rất nhiều cho doanh nghiệp. Một khi đã lây nhiễm vào hệ thống, thì đó là nỗi đau đầu của IT và người sử dụng. Vậy làm cách nào để phòng chống nó, có cách nào hữu hiệu để khắc phục hậu quả của nó hay không? Đặc biệt là doanh nghiệp không được đầu tư ngân sách nhiều về hệ thống và phần mềm bảo mật? Hay thậm chí vẫn có đầy đủ các phương tiện bảo mật, nhưng vẫn dính đòn. Sau đây, mình xin chia sẻ một số suy nghĩ và giải pháp. Bài viết chỉ dựa trên kinh nghiệm và quan điểm cá nhân. Xin mọi người cùng góp ý chia sẻ thêm những phương án khác và chém nhẹ tay nếu bài viết còn thiếu hơi men.
2. Nơi tình yêu kết thúc – cảm ơn ransomware:
Câu chuyện của 1 năm trước: với những con cryptowall, teslacrypt ...thế hệ đầu, tạm gọi là F1, sau khi lây nhiễm và mã hóa toàn bộ file dữ liệu của bạn như .doc, .xls, .ppt, .jpg... có một số phần mềm có thể giải mã ngược và khôi phục được lại các file đã mất nhờ vào lỗi lập trình và khóa giải mã file lưu trên máy tính nạn nhân. Do đó, câu chuyện chưa trở thấy phức tạp lắm.
Thế hệ F2, của các loại này bắt đầu thông minh hơn, sau khi mã hóa file xong, khóa dùng để giải mã được gởi về server của tác giả, và nó tự hủy, tự xóa luôn.
Cách thức để các loại này lây nhiễm khá đa dạng:
- Gởi file đính kèm có chứa file độc hại
- Gởi link đính kèm email dụ người dùng tải về
- Gởi qua hình thức nhắn tin, các phần mềm chat để dụ người dùng click vào tải về.
- Tạo bản sao lây vào các thiết bị lưu trữ để chờ cơ hội lây lan tiếp
- Tìm kiếm các lỗ hổng các phần mềm, hệ điều hành chưa được vá lỗi để lây nhiễm.
Do đó, để chống nó phải biết cách nguyên lý hoạt động, một loạt các biện pháp sau được mọi người đã và đang vận dụng để chống nó:
- Tường lửa mọi thứ, chỉ thứ gì đi qua thì mới được phép đi qua.
- Lọc tất cả các file nguy hiểm tại những nơi thông tin đi qua, ví dụ từ mail gateway, từ firewall, internet gateway, quá trình sao chép trên server.
- Phần mềm diệt virus…
- Huấn luyện cho con người…
- Update các bản vá …
- Không kể hết được…..Có rất nhiều cách mà các chuyên gia an ninh mạng đã triển khai. Tôi chỉ đề cập tới cách mà tôi nghĩ phù hợp với người mới chân ướt chân ráo như tôi mà thôi.
Tôi nghĩ rằng, điều cốt lõi nhất để chống nó là không cho phép bất kì các dạng file thực thi nào, hoặc có khả năng thực thi nào được phép đi lại thoải mái trong hệ thống của mình. Tất nhiên là trừ anh IT đã có mục đích trước, chỉ cho phép những gì có thể. Ngoài ra, tôi xin tiếp tục không đề cập tới chi tiết các cách trên, mà chỉ nhấn mạnh về vấn đề nếu ai quá tin tưởng vào phần mềm bảo mật – diệt virus, độ nguy hiểm nếu như đặt mọi thứ vào tay nó.
Tôi ví dụ thế này:
Cách đây vài ngày, tôi nhận được cuộc gọi từ user (họ đã được cảnh báo nên rất cẩn thận), rằng có cái link gởi trên Skype của người quen, họ không dám bấm vào, bảo tôi kiểm tra thử. Tôi thấy rằng sau khi click vào link đó, đã dùng các dịch vụ cắt ngắn link lại và che dấu link thực, nó redirect tôi qua một trang khác, sau đó tải cái file đó về máy tính (ôi chà, cái chức năng tự động tải file popular của các trình duyệt cũng nguy hiểm ra phết), là một file zip. Theo tôi nghĩ, kẻ tấn công chắc còn dụng ý theo dõi xem cái link mình đã lây được tới đâu, ai là người bị nhiễm nữa...Nhưng thôi, đó là câu chuyện khác.
Mở cái file zip ra, tôi thấy trong đó có 1 file có tên IMG_ngaythang nam.JPG. Tôi mỉm cười và nghĩ thầm “Cái trò này, hồi xưa tao dùng hoài à, đừng có lừa tao.” Thế là tôi disable cái chức năng “Hide extension for known file type” thế là nó hiện đầy đủ tên cũng cơm của nó: IMG_ngaythangnam.JPG.SCR.
SCR vốn là file Screen Saver của Windows. Nhưng file này, nó đã được xào nấu để mời các anh đàn anh nguy hiểm từ máy chủ kẻ tấn công về và thực thi các anh ấy. Có thể ví nó như là thằng gù Ephialtes bán đứng vua Leonidas trong phim 300 vậy.
Tôi mới cho nó lên virustotal.com để quét thử. Lạ thay, chỉ có 13/56 phần mềm bảo mật nhận diện được nó, thậm chí là cái link phát tán là độc hại. Máy tôi dùng KIS update database mới nhất nhưng không phát hiện được nó.
Sau 6 tiếng sau, tôi quét lại, tăng lên 24/56, có anh BKAV nhà mình cũng nhận diện được. KIS cũng không thấy hồi âm gì. Mặc dù AV database latest của 56 phần mềm này đều cùng thời điểm update latest.
Hôm nay, thời điểm viết dòng này, đã có 36/56 phần mềm nhận diện được. KIS may quá, đã nhận rồi. Nhưng vẫn còn các tên tuổi lớn vẫn không động tĩnh gì như: AhnLab-V3,CMC,ClamAV,Comodo,Frot,Fortinet,Malwarebytes,Symantec,TrendMicro,VBA32
Tuy nhiên, tôi không muốn ám chỉ rằng các tên tuổi lớn lại kém hoặc chậm chạp trong việc phản ứng với các nguy cơ như thế này. Thực tế những loại như thế này thì một ngày có hàng chục ngàn, hàng triệu biến thể sinh ra, họ không thể cập nhật hết được. Nó giống như khai thác lỗi 0-day, thằng thủ phải chạy sau thằng tấn công. Do đó, theo tôi nghĩ, cách tốt nhất là phòng thủ chủ động, tôi chọn giải pháp backup.
(Bài viết trích nguồn của bác Bé Tùng
Revenue Manager @ OPEVN.COM, link http://opevn.com/…/297-ransomeware-phòng-chống/)
Bài 2:
Dear anh em,
Trước hết, mình cũng chia buồn với một số anh em dính cái của nợ này, hiện thông tin về cách phục hồi có nhưng chưa nhiều và chưa triệt để. Để phòng chống, mình chia sẽ anh em một số thông tin:
Ransomware là gì?
Đây là cách gọi tên của dạng mã độc mới nhất và có tính nguy hiểm cao độ đối với nhân viên văn phòng, bởi nó sẽ mã hóa toàn bộ các file word, excel và các tập tin khác trên máy tính bị nhiễm làm cho nạn nhân không thể mở được file. Các chuyên gia của Kaspersky Lab nhận dạng các trường hợp bị nhiễm nhiều nhất tại Việt Nam là do một thành viên củaRansomware – Trojan-Ransom.Win32.Onion gây nên.
Người dùng cần biết gì về mã độc này?
Các thành viên của Ransomware sử dụng công nghệ mã hóa “Public-key”, vốn là một phương pháp đáng tin cậy nhằm bảo vệ các dữ liệu nhạy cảm. Tội phạm mạng đã lợi dụng công nghệ này và tạo ra những chương trình độc hại để mã hóa dữ liệu của người dùng. Một khi dữ liệu đã bị mã hóa thì chỉ có một chìa khóa đặc biệt bí mật mới có thể giải mã được. Và bọn chúng thường tống tiền người dùng để trao đổi chìa khóa bí mật này. Nguy hiểm ở chỗ, chỉ duy nhất chìa khóa bí mật này mới có thể giải mã được và phục hồi dữ liệu.
Các chuyên gia đã nghiên cứu không ngừng để chống lại các phần mềm độc hại này. Trong một số trường hợp cụ thể, có thể phân tích được loại mật mã được sử dụng để lập trình nên mã độc. Tuy nhiên, cũng có một số Ransomware tuyệt nhiên không để lộ bất kỳ thông tin quan trọng nào. Thêm vào đó, một số Ransomware được tạo ra với mục đích là dữ liệu sẽ không bao giờ được phục hồi dù có tìm ra được chìa khóa đi chăng nữa.
Lưu ý rằng, Ransomware chỉ có thể hoạt động sau khi được cài đặt trên một máy tính.
I. PHÒNG CHỐNG:
Ông bà nói đố có mà sai, đã phòng thì phòng cả "thù trong giặc ngoài", anh em cứ áp policy khí thế vào, user nào lắm mồm copy mấy bài báo mạng hoặc thông tin site nào dính rồi nhét vào mặt chúng nó, chứ dính chú này rồi thì chúng nó được nghỉ làm có lương mà mình thì lại tăng lương đuổi việc. Một số cách phòng chống:
+ Đương nhiên là cấm user có quyền cài đặt trên máy tính.
+ Cấm tất tần tật thể loại flash usb, cái gì cắm được cấm hết.
+ Trang bị thêm cái FW mềm cho nội bộ, chia nhỏ VLAN ra mà trị, dễ cách ly khi có sự cố.
+ Hạn chế hoặc cấm tiệt các trình chat chít, chúng nó gởi link click bậy thì bó tay.
+ Tăng cường tuyên truyền: email, điện thoại đến các phòng ban nói rõ nguy hiểm của loại ransomeware này để mọi người nhận thức được.
+ Một số máy tính client, anh em có thói quen disable cái firewall của máy client, không nên không nên, hãy sống với nó. Đừng tắt mà sử dụng exception để import dịch vụ mình cho phép chạy.
+ Update nguồn và phiên bản phần mềm diệt Virus thường xuyên trên client.
+ Update các hotfix của OS.
+ Không mở các file đính kèm từ những email chưa rõ danh tính. Ngăn chặn triệt để (trên FW) các tập tin thực thi .exe...
+ Luôn đảm bảo hệ điều hành, phần mềm, các ứng dụng và phần mềm diệt virus được cập nhật thường xuyên và không tắt chương trình diệt virus trong mọi thời điểm.
+ Đảm bảo tính năng System Watcher (Giám sát hệ thống) của chương trình virus đã được bật.
+ Sao lưu dữ liệu và bảo vệ dữ liệu bằng các thiết bị rời. Cách tốt nhất để đảm bảo sự an toàn của dữ liệu quan trọng là có một lịch trình sao lưu phù hợp. Sao lưu phải được thực hiện thường xuyên và hơn thế nữa bản sao cần phải được tạo ra trên một thiết bị lưu trữ chỉ có thể truy cập trong quá trình sao lưu. Tức là một thiết bị lưu trữ di động ngắt kết nối ngay lập tức sau khi sao lưu. Việc không tuân thủ các khuyến nghị này sẽ dẫn đến các tập tin sao lưu cũng sẽ bị tấn công và mã hóa bằng các phần mềm tống tiền theo cách tương tự như trên các phiên bản tập tin gốc.
+ Cấu hình hạn chế truy cập đến các thư mục chia sẻ trong mạng.
+ Bật tính năng System Protection (System Restore) cho tất cả các ổ đĩa.
+ Đây là bước rất quan trọng nhằm ngăn ngừa phần mềm mã hóa: cấu hình quyền truy cập đến các dạng file được bảo vệ.
+ Ngăn chặn
* ĐỐI VỚI MÔI TRƯỜNG MÁY CHỦ:
- Để an toàn cho vùng DMZ, anh em nên đổi port hoặc hạn chế sử dụng các loại port như 1433(SQL), 21(FTp), 3389(REMOTE) vì đây là miếng mồi ngon, là môi trường hoàn hảo để phát tán.
- Máy chủ chứa dữ liệu (nhất là SQL server) không được cấu hình cho ra internet. Trường hợp bên ngoài muốn vào để fix, anh em có thể tạo interface ánh xạ cái SQL chính lên đó.
- Backup dữ liệu thường xuyên và khuyến cáo là tăng mật độ backup trong thời điểm nhạy cảm này. Xem thêm backup SQL tại: http://opevn.com/…/295-hướng-dẫn-backup-dữ-liệu-sql-server…/
II. LỠ DÍNH DÒN, LÀM SAO?
- Chia buồn với anh em, hiện vẫn chưa có phương án triệt để.
- Tắt tính năng tự động xóa các tập tin bị nhiễm mã độc và đảm bảo rằng tập tin bị nhiễm nằm trong khu vực cách ly của chương trình diệt virus. Bởi vì có thể các tập tin bị lây nhiễm có chứa các chìa khóa hữu ích cho việc giải mã.
- Hiện Kaspersky cung cấp 3 công cụ giải mã ngược (dịch ngược) như sau: (cái này hên xui nha, xác xuất chưa được thống kê)
+ RectorDecryptor
+ XoristDecryptor
+RakhniDecryptor
Giải pháp thêm:
+ Update nguồn và phiên bản phần mềm diệt Virus thường xuyên trên client + server
+ Update các hotfix của OS (giữ cho Windows luôn được cập nhật thường xuyên - WSUS, một giải pháp đơn giản mà hiệu quả cho việc này).
+ Sao lưu dữ liệu và bảo vệ dữ liệu bằng các thiết bị rời. Cách tốt nhất để đảm bảo sự an toàn của dữ liệu quan trọng là có một lịch trình sao lưu phù hợp. Sao lưu phải được thực hiện thường xuyên và hơn thế nữa bản sao cần phải được tạo ra trên một thiết bị lưu trữ chỉ có thể truy cập trong quá trình sao lưu. Tức là một thiết bị lưu trữ di động ngắt kết nối ngay lập tức sau khi sao lưu. Việc không tuân thủ các khuyến nghị này sẽ dẫn đến các tập tin sao lưu cũng sẽ bị tấn công và mã hóa bằng các phần mềm tống tiền theo cách tương tự như trên các phiên bản tập tin gốc.
Và quan điểm cá nhân của tôi cũng như trên.
(Bài viết trích nguồn của bác : ThomasPham - link: http://opevn.com/…/297-ransomeware-phòng-chống/)
E mạn phép copy và post lại 2 bài rất hay viết về
RANSOMEWARE (MÃ ĐỘC TỐNG TIỀN) của 02 bác tại diễn đàn openvn.com, Tks 2 tác giả) sau khi đã trãi qua kinh nghiệm tương đối nhưng chưa đến nổi tốn xiền + tờ A4
Bài 1:
1. Nơi tình yêu bắt đầu:
Bắt cóc dữ liệu và đòi tiền chuộc dữ liệu; ransomware; một khái niệm và xu hướng không mới mẻ, nhưng vào thời điểm hiện tại nó đang hoành hành dữ dội và gây thiệt hại rất nhiều cho doanh nghiệp. Một khi đã lây nhiễm vào hệ thống, thì đó là nỗi đau đầu của IT và người sử dụng. Vậy làm cách nào để phòng chống nó, có cách nào hữu hiệu để khắc phục hậu quả của nó hay không? Đặc biệt là doanh nghiệp không được đầu tư ngân sách nhiều về hệ thống và phần mềm bảo mật? Hay thậm chí vẫn có đầy đủ các phương tiện bảo mật, nhưng vẫn dính đòn. Sau đây, mình xin chia sẻ một số suy nghĩ và giải pháp. Bài viết chỉ dựa trên kinh nghiệm và quan điểm cá nhân. Xin mọi người cùng góp ý chia sẻ thêm những phương án khác và chém nhẹ tay nếu bài viết còn thiếu hơi men.
2. Nơi tình yêu kết thúc – cảm ơn ransomware:
Câu chuyện của 1 năm trước: với những con cryptowall, teslacrypt ...thế hệ đầu, tạm gọi là F1, sau khi lây nhiễm và mã hóa toàn bộ file dữ liệu của bạn như .doc, .xls, .ppt, .jpg... có một số phần mềm có thể giải mã ngược và khôi phục được lại các file đã mất nhờ vào lỗi lập trình và khóa giải mã file lưu trên máy tính nạn nhân. Do đó, câu chuyện chưa trở thấy phức tạp lắm.
Thế hệ F2, của các loại này bắt đầu thông minh hơn, sau khi mã hóa file xong, khóa dùng để giải mã được gởi về server của tác giả, và nó tự hủy, tự xóa luôn.
Cách thức để các loại này lây nhiễm khá đa dạng:
- Gởi file đính kèm có chứa file độc hại
- Gởi link đính kèm email dụ người dùng tải về
- Gởi qua hình thức nhắn tin, các phần mềm chat để dụ người dùng click vào tải về.
- Tạo bản sao lây vào các thiết bị lưu trữ để chờ cơ hội lây lan tiếp
- Tìm kiếm các lỗ hổng các phần mềm, hệ điều hành chưa được vá lỗi để lây nhiễm.
Do đó, để chống nó phải biết cách nguyên lý hoạt động, một loạt các biện pháp sau được mọi người đã và đang vận dụng để chống nó:
- Tường lửa mọi thứ, chỉ thứ gì đi qua thì mới được phép đi qua.
- Lọc tất cả các file nguy hiểm tại những nơi thông tin đi qua, ví dụ từ mail gateway, từ firewall, internet gateway, quá trình sao chép trên server.
- Phần mềm diệt virus…
- Huấn luyện cho con người…
- Update các bản vá …
- Không kể hết được…..Có rất nhiều cách mà các chuyên gia an ninh mạng đã triển khai. Tôi chỉ đề cập tới cách mà tôi nghĩ phù hợp với người mới chân ướt chân ráo như tôi mà thôi.
Tôi nghĩ rằng, điều cốt lõi nhất để chống nó là không cho phép bất kì các dạng file thực thi nào, hoặc có khả năng thực thi nào được phép đi lại thoải mái trong hệ thống của mình. Tất nhiên là trừ anh IT đã có mục đích trước, chỉ cho phép những gì có thể. Ngoài ra, tôi xin tiếp tục không đề cập tới chi tiết các cách trên, mà chỉ nhấn mạnh về vấn đề nếu ai quá tin tưởng vào phần mềm bảo mật – diệt virus, độ nguy hiểm nếu như đặt mọi thứ vào tay nó.
Tôi ví dụ thế này:
Cách đây vài ngày, tôi nhận được cuộc gọi từ user (họ đã được cảnh báo nên rất cẩn thận), rằng có cái link gởi trên Skype của người quen, họ không dám bấm vào, bảo tôi kiểm tra thử. Tôi thấy rằng sau khi click vào link đó, đã dùng các dịch vụ cắt ngắn link lại và che dấu link thực, nó redirect tôi qua một trang khác, sau đó tải cái file đó về máy tính (ôi chà, cái chức năng tự động tải file popular của các trình duyệt cũng nguy hiểm ra phết), là một file zip. Theo tôi nghĩ, kẻ tấn công chắc còn dụng ý theo dõi xem cái link mình đã lây được tới đâu, ai là người bị nhiễm nữa...Nhưng thôi, đó là câu chuyện khác.
Mở cái file zip ra, tôi thấy trong đó có 1 file có tên IMG_ngaythang nam.JPG. Tôi mỉm cười và nghĩ thầm “Cái trò này, hồi xưa tao dùng hoài à, đừng có lừa tao.” Thế là tôi disable cái chức năng “Hide extension for known file type” thế là nó hiện đầy đủ tên cũng cơm của nó: IMG_ngaythangnam.JPG.SCR.
SCR vốn là file Screen Saver của Windows. Nhưng file này, nó đã được xào nấu để mời các anh đàn anh nguy hiểm từ máy chủ kẻ tấn công về và thực thi các anh ấy. Có thể ví nó như là thằng gù Ephialtes bán đứng vua Leonidas trong phim 300 vậy.
Tôi mới cho nó lên virustotal.com để quét thử. Lạ thay, chỉ có 13/56 phần mềm bảo mật nhận diện được nó, thậm chí là cái link phát tán là độc hại. Máy tôi dùng KIS update database mới nhất nhưng không phát hiện được nó.
Sau 6 tiếng sau, tôi quét lại, tăng lên 24/56, có anh BKAV nhà mình cũng nhận diện được. KIS cũng không thấy hồi âm gì. Mặc dù AV database latest của 56 phần mềm này đều cùng thời điểm update latest.
Hôm nay, thời điểm viết dòng này, đã có 36/56 phần mềm nhận diện được. KIS may quá, đã nhận rồi. Nhưng vẫn còn các tên tuổi lớn vẫn không động tĩnh gì như: AhnLab-V3,CMC,ClamAV,Comodo,Frot,Fortinet,Malwarebytes,Symantec,TrendMicro,VBA32
Tuy nhiên, tôi không muốn ám chỉ rằng các tên tuổi lớn lại kém hoặc chậm chạp trong việc phản ứng với các nguy cơ như thế này. Thực tế những loại như thế này thì một ngày có hàng chục ngàn, hàng triệu biến thể sinh ra, họ không thể cập nhật hết được. Nó giống như khai thác lỗi 0-day, thằng thủ phải chạy sau thằng tấn công. Do đó, theo tôi nghĩ, cách tốt nhất là phòng thủ chủ động, tôi chọn giải pháp backup.
(Bài viết trích nguồn của bác Bé Tùng
Revenue Manager @ OPEVN.COM, link http://opevn.com/…/297-ransomeware-phòng-chống/)
Bài 2:
Dear anh em,
Trước hết, mình cũng chia buồn với một số anh em dính cái của nợ này, hiện thông tin về cách phục hồi có nhưng chưa nhiều và chưa triệt để. Để phòng chống, mình chia sẽ anh em một số thông tin:
Ransomware là gì?
Đây là cách gọi tên của dạng mã độc mới nhất và có tính nguy hiểm cao độ đối với nhân viên văn phòng, bởi nó sẽ mã hóa toàn bộ các file word, excel và các tập tin khác trên máy tính bị nhiễm làm cho nạn nhân không thể mở được file. Các chuyên gia của Kaspersky Lab nhận dạng các trường hợp bị nhiễm nhiều nhất tại Việt Nam là do một thành viên củaRansomware – Trojan-Ransom.Win32.Onion gây nên.
Người dùng cần biết gì về mã độc này?
Các thành viên của Ransomware sử dụng công nghệ mã hóa “Public-key”, vốn là một phương pháp đáng tin cậy nhằm bảo vệ các dữ liệu nhạy cảm. Tội phạm mạng đã lợi dụng công nghệ này và tạo ra những chương trình độc hại để mã hóa dữ liệu của người dùng. Một khi dữ liệu đã bị mã hóa thì chỉ có một chìa khóa đặc biệt bí mật mới có thể giải mã được. Và bọn chúng thường tống tiền người dùng để trao đổi chìa khóa bí mật này. Nguy hiểm ở chỗ, chỉ duy nhất chìa khóa bí mật này mới có thể giải mã được và phục hồi dữ liệu.
Các chuyên gia đã nghiên cứu không ngừng để chống lại các phần mềm độc hại này. Trong một số trường hợp cụ thể, có thể phân tích được loại mật mã được sử dụng để lập trình nên mã độc. Tuy nhiên, cũng có một số Ransomware tuyệt nhiên không để lộ bất kỳ thông tin quan trọng nào. Thêm vào đó, một số Ransomware được tạo ra với mục đích là dữ liệu sẽ không bao giờ được phục hồi dù có tìm ra được chìa khóa đi chăng nữa.
Lưu ý rằng, Ransomware chỉ có thể hoạt động sau khi được cài đặt trên một máy tính.
I. PHÒNG CHỐNG:
Ông bà nói đố có mà sai, đã phòng thì phòng cả "thù trong giặc ngoài", anh em cứ áp policy khí thế vào, user nào lắm mồm copy mấy bài báo mạng hoặc thông tin site nào dính rồi nhét vào mặt chúng nó, chứ dính chú này rồi thì chúng nó được nghỉ làm có lương mà mình thì lại tăng lương đuổi việc. Một số cách phòng chống:
+ Đương nhiên là cấm user có quyền cài đặt trên máy tính.
+ Cấm tất tần tật thể loại flash usb, cái gì cắm được cấm hết.
+ Trang bị thêm cái FW mềm cho nội bộ, chia nhỏ VLAN ra mà trị, dễ cách ly khi có sự cố.
+ Hạn chế hoặc cấm tiệt các trình chat chít, chúng nó gởi link click bậy thì bó tay.
+ Tăng cường tuyên truyền: email, điện thoại đến các phòng ban nói rõ nguy hiểm của loại ransomeware này để mọi người nhận thức được.
+ Một số máy tính client, anh em có thói quen disable cái firewall của máy client, không nên không nên, hãy sống với nó. Đừng tắt mà sử dụng exception để import dịch vụ mình cho phép chạy.
+ Update nguồn và phiên bản phần mềm diệt Virus thường xuyên trên client.
+ Update các hotfix của OS.
+ Không mở các file đính kèm từ những email chưa rõ danh tính. Ngăn chặn triệt để (trên FW) các tập tin thực thi .exe...
+ Luôn đảm bảo hệ điều hành, phần mềm, các ứng dụng và phần mềm diệt virus được cập nhật thường xuyên và không tắt chương trình diệt virus trong mọi thời điểm.
+ Đảm bảo tính năng System Watcher (Giám sát hệ thống) của chương trình virus đã được bật.
+ Sao lưu dữ liệu và bảo vệ dữ liệu bằng các thiết bị rời. Cách tốt nhất để đảm bảo sự an toàn của dữ liệu quan trọng là có một lịch trình sao lưu phù hợp. Sao lưu phải được thực hiện thường xuyên và hơn thế nữa bản sao cần phải được tạo ra trên một thiết bị lưu trữ chỉ có thể truy cập trong quá trình sao lưu. Tức là một thiết bị lưu trữ di động ngắt kết nối ngay lập tức sau khi sao lưu. Việc không tuân thủ các khuyến nghị này sẽ dẫn đến các tập tin sao lưu cũng sẽ bị tấn công và mã hóa bằng các phần mềm tống tiền theo cách tương tự như trên các phiên bản tập tin gốc.
+ Cấu hình hạn chế truy cập đến các thư mục chia sẻ trong mạng.
+ Bật tính năng System Protection (System Restore) cho tất cả các ổ đĩa.
+ Đây là bước rất quan trọng nhằm ngăn ngừa phần mềm mã hóa: cấu hình quyền truy cập đến các dạng file được bảo vệ.
+ Ngăn chặn
* ĐỐI VỚI MÔI TRƯỜNG MÁY CHỦ:
- Để an toàn cho vùng DMZ, anh em nên đổi port hoặc hạn chế sử dụng các loại port như 1433(SQL), 21(FTp), 3389(REMOTE) vì đây là miếng mồi ngon, là môi trường hoàn hảo để phát tán.
- Máy chủ chứa dữ liệu (nhất là SQL server) không được cấu hình cho ra internet. Trường hợp bên ngoài muốn vào để fix, anh em có thể tạo interface ánh xạ cái SQL chính lên đó.
- Backup dữ liệu thường xuyên và khuyến cáo là tăng mật độ backup trong thời điểm nhạy cảm này. Xem thêm backup SQL tại: http://opevn.com/…/295-hướng-dẫn-backup-dữ-liệu-sql-server…/
II. LỠ DÍNH DÒN, LÀM SAO?
- Chia buồn với anh em, hiện vẫn chưa có phương án triệt để.
- Tắt tính năng tự động xóa các tập tin bị nhiễm mã độc và đảm bảo rằng tập tin bị nhiễm nằm trong khu vực cách ly của chương trình diệt virus. Bởi vì có thể các tập tin bị lây nhiễm có chứa các chìa khóa hữu ích cho việc giải mã.
- Hiện Kaspersky cung cấp 3 công cụ giải mã ngược (dịch ngược) như sau: (cái này hên xui nha, xác xuất chưa được thống kê)
+ RectorDecryptor
+ XoristDecryptor
+RakhniDecryptor
Giải pháp thêm:
+ Update nguồn và phiên bản phần mềm diệt Virus thường xuyên trên client + server
+ Update các hotfix của OS (giữ cho Windows luôn được cập nhật thường xuyên - WSUS, một giải pháp đơn giản mà hiệu quả cho việc này).
+ Sao lưu dữ liệu và bảo vệ dữ liệu bằng các thiết bị rời. Cách tốt nhất để đảm bảo sự an toàn của dữ liệu quan trọng là có một lịch trình sao lưu phù hợp. Sao lưu phải được thực hiện thường xuyên và hơn thế nữa bản sao cần phải được tạo ra trên một thiết bị lưu trữ chỉ có thể truy cập trong quá trình sao lưu. Tức là một thiết bị lưu trữ di động ngắt kết nối ngay lập tức sau khi sao lưu. Việc không tuân thủ các khuyến nghị này sẽ dẫn đến các tập tin sao lưu cũng sẽ bị tấn công và mã hóa bằng các phần mềm tống tiền theo cách tương tự như trên các phiên bản tập tin gốc.
Và quan điểm cá nhân của tôi cũng như trên.
(Bài viết trích nguồn của bác : ThomasPham - link: http://opevn.com/…/297-ransomeware-phòng-chống/)
Bài mới
- Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
- © 2024 Công ty Cổ phần MXH Tinh Tế
- Địa chỉ: Số 70 Bà Huyện Thanh Quan, P. Võ Thị Sáu, Quận 3, TPHCM
- Số điện thoại: 02822460095
- MST: 0313255119
- Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019