Ctb locker là gì

Theo VNCERT, để giảm thiểu thiệt hại cho các dữ liệu chứa trên máy bị nhiễm, một thao tác người dùng máy tính cá nhân cần thực hiện ngay khi phát hiện ra dấu hiệu bị lây nhiễm mã độc mã hóa dữ liệu đòi tiền chuộc là nhanh chóng tắt nguồn điện máy tính…

FPT Aptech đang tuyển sinh 1500 học sinh tốt nghiệp THPT, sinh viên các trường Đại học, Cao đẳng, Trung cấp… hoặc các chương trình Quốc tế tương đương khác.

Đăng ký ngay

Virus mã hóa dữ liệu đòi tiền chuộc từng phát tán mạnh mẽ tại Việt Nam hồi đầu năm nay, với số lượng máy tính bị lây nhiễm virus lên tới 1.600 máy (Ảnh minh họa. Nguồn: Internet)
Ctb locker là gì

Thời gian gần đây nhiều người dùng máy tính tại Việt Nam bị lây nhiễm các phiên bản mới của virus “đòi tiền chuộc” Ransomware như CTB Locker/Critroni hoặc Onion trong nhiều cơ quan, tổ chức tại Việt Nam.

Ransomeware là thuật ngữ chỉ những mã độc sử dụng hệ thống mật mã để mã hóa dữ liệu người dùng lưu trữ trên máy tính… sau đó yêu cầu người dùng trả tiền để lấy lại quyền truy cập vào máy hoặc khôi phục dữ liệu.

Tại Việt Nam, sự xuất hiện và lây lan của mã độc mã hoá dữ liệu Ransomware trên hệ điều hành Microsoft Windows đã được Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), đơn vị thuộc Bộ TT&TT, cảnh báo từ đầu tháng 1/2014. Đặc biệt, vào khoảng cuối tháng 1, đầu tháng 2/2015, các chuyên gia an ninh mạng Việt Nam cũng ghi nhận về xuất hiện và phát tán mạnh mẽ của virus CTB-Locker, biến thể của dòng mã độc đòi tiền chuộc CryptoLocker, một loại Ransomeware.

Trong cảnh báo về tình trạng nhiều cơ quan, tổ chức tại Việt Nam tiếp tục bị lây nhiễm các phiên bản mới của mã độc Ransomware như CTB Locker/Critroni hoặc Onion, VNCERT nhận định, mã độc mã hóa dữ liệu để đòi tiền chuộc là loại mã độc rất nguy hiểm, có thể dẫn đến mất mát dữ liệu lớn trong các cơ quan, tổ chức và cá nhân, đặc biệt khi bị nhiễm mã độc và các tài liệu đã bị mã hóa thì không thể khôi phục dữ liệu. Một số trường hợp có thể thực hiện được nhưng tốn nhiều thời gian và chi phí và không thể khôi phục lại được toàn bộ dữ liệu. “Do tình hình lây lan rất phức tạp, đề nghị các cơ quan, tổ chức cần chú ý và tăng cường công tác phòng ngừa sự cố có thể xảy ra”, VNCERT nhấn mạnh.

Hai phương pháp lây lan chủ yếu của virus mã hóa dữ liệu đòi tiền chuộc là: gửi tệp tin nhiễm mã độc kèm theo thư điện tử, khi người sử dụng kích hoạt tệp tin đính kèm thư điện tử sẽ làm lây nhiễm mã độc vào máy tính; gửi thư điện tử hoặc tin nhắn điện tử có chứa đường dẫn đến phần mềm bị giả mạo bởi mã độc Ransomware và đánh lừa người sử dụng truy cập vào đường dẫn này để vô ý tự cài đặt mã độc lên máy tính. Ngoài ra, máy tính còn có thể bị nhiễm thông qua các con đường khác như lây lan qua các thiết bị lưu trữ, lây qua cài đặt phần mềm, sao chép dữ liệu, phần mềm…

Cũng trong cảnh báo này, bên cạnh việc đề xuất biện pháp để phòng ngừa các loại mã độc mã hóa dữ liệu đòi tiền chuộc, đã khuyến nghị các đơn vị về cách thức xử lý khi phát hiện bị lây nhiễm mã độc mã hóa dữ liệu để đòi tiền chuộc.

Cụ thể, theo giải thích VNCERT, khi mã độc Ransomware lây nhiễm vào máy tính bị hại, mã độc sẽ tiến hành mã hóa các tệp tin dữ liệu, khóa máy tính của người dùng để người dùng không can thiệp để tắt tiến trình đang chạy.

Do quá trình mã hóa sẽ được thực hiện trong thời gian dài, vì vậy việc phản ứng nhanh chóng khi phát hiện ra sự cố sẽ giúp giảm thiểu thiệt hại cho các dữ liệu chứa trên máy bị nhiễm và giúp các chuyên gia có thể khôi phục dữ liệu bị mã hóa. Vì vậy, đối với các máy tính cá nhân khi phát hiện ra dấu hiệu bị lây nhiễm mã độc mã hóa dữ liệu để đòi tiền chuộc thì phải nhanh chóng tắt máy tính (tắt nguồn điện, không sử dụng chức năng Shut down của hệ điều hành).

Cũng theo VNCERT, mặc dù không có khả năng giải mã các tệp tin đã bị mã độc mã hóa, nhưng trong một số trường hợp có thể sử dụng các phần mềm khôi phục dữ liệu như FTK, EaseUs, R-STUDIO để khôi phục các tệp tin nguyên bản đã bị xóa. Do đó, nếu không có kinh nghiệm xử lý sự cố này cần yêu cầu sự hỗ trợ sớm của các chuyên gia an toàn thông tin để giảm thiểu thiệt hại khi xảy ra sự cố.

Ngoài ra, người dùng cần sử dụng khởi động từ hệ thống sạch khi thực hiện sao lưu các dữ liệu chưa bị mã hóa; đồng thời tiến hành cài đặt lại toàn bộ hệ thống, cài phần mềm diệt virus cập nhật phiên bản mới nhất và tiến hành quét toàn bộ dữ liệu trên máy tính trước khi sao chép lại các dữ liệu vào máy tính.

M.T
(theo ICTnews)

Mã độc tống tiền CTB-Locker là gì?

CTB-Locker là biến thể mới nhất của loại phần mềm tống tiền (ransomware), là loại phần mềm lây nhiễm vào máy tính của người dùng, sau đó yêu cầu người dùng trả một khoản tiền để có thể gỡ bỏ phần mềm này ra khỏi hệ thống.

Loại mã độc này phát tán rộng rãi tại Việt Nam vào đầu năm 2015 và trong thời gian gần đây có dấu hiệu xuất hiện trở lại với người dùng trong nước.

CTB-Locker được phát tán như thế nào?

CTB-Locker chủ yếu được phát tán thông qua các email rác (spam) dưới dạng các tập tin đính kèm với nhiều ngôn ngữ khác nhau. Người dùng khi nhận được email có chứa tập tin đính kèm nếu không chú ý kỹ khi mở các file đính kèm này sẽ kích hoạt CTB-Locker.

Sau khi mã độc CTB-Locker lây nhiễm vào máy tính của nạn nhân, nó sẽ quét toàn bộ ổ đĩa của máy tính đó và tự động mã hoá các tập tin, hầu hết các tập tin quan trọng có định dạng như *.doc, *.pdf, *.xls, *jpg… khiến người dùng không thể mở được những tập tin này.

Ctb locker là gì

Hộp thoại cảnh báo của mã độc CTB-Locker, yêu cầu người dùng phải trả tiền để mã hóa dữ liệu trên máy tính

Tùy thuộc vào kiểu file mà mã độc này mã hóa, chúng sẽ tạo ra một file .txt hoặc .html để hướng dẫn người dùng cách thức để giải mã và lấy lại dữ liệu, bằng cách trả một khoản tiền cho hacker để nhận được cách thức giải mã dữ liệu.

Nói cách khác, đây là phần mềm với mục đích tống tiền người dùng. Đồng thời, phần mềm đưa ra một mốc thời gian (thường là 72 tiếng) để người dùng trả tiền, nếu không dữ liệu đã bị mã hóa sẽ bị xóa sạch. Điều này càng khiến người dùng lo lắng và nhanh chóng trả tiền.

Cách thức phát hiện và gỡ bỏ CTB-Locker khỏi hệ thống

Có một số dấu hiệu để phát hiện máy tính có bị lây nhiễm loại mã độc tống tiền này hay không. Chẳng hạn khi bạn mở một file (như file .xls hay .pdf...) thì những file này vẫn được mở bẳng phần mềm tương ứng, tuy nhiên nội dung của chúng lại bị lỗi hoặc không thể xem được.

Trong nhiều trường hợp, những file bị CTB-Locker mã hóa sẽ tự động đổi tên để người dùng không thể mở các file này, hoặc đơn giản nhất để nhận biết máy tính đã bị lây nhiễm mã độc tống tiền CTB-Locker đó là xuất hiện một hộp thoại thông báo cho người dùng biết dữ liệu trên máy tính đã bị mã hóa, người dùng cần phải trả tiền để có thể giải mã những dữ liệu này.

Đơn giản hơn, bạn có thể sử dụng công cụ chuyên dụng để tự động quét và phát hiện xem máy tính của mình đã bị lây nhiễm mã độc CTB-Locker hay chưa. Trong trường hợp này, bạn có thể sử dụng phần mềm Bkav Ransomware Scan do công ty an ninh mạng Bkav phát triển.

Download phần mềm miễn phí tại đây.

Sau khi download, kích hoạt file để sử dụng ngay mà không cần cài đặt. Từ giao diện chính, nhấn nút “Chọn thư mục” để chọn phần vùng ổ đĩa để phần mềm quét và tìm kiếm mã độc. Nhấn nút “Quét” để bắt đầu quá trình tìm và quét mã độc.

Ctb locker là gì


Khi quá trình quét hoàn tất, nếu xuất hiện hộp thoại thông báo không tìm thấy mã độc tống tiền, nghĩa là ổ đĩa vừa quét sạch sẽ và chưa bị lây nhiễm các loại mã độc nguy hiểm này.

Ctb locker là gì


Tiếp tục tiến hành quét đối với các phân vùng ổ đĩa còn lại trên máy tính của bạn để đảm bảo máy tính “sạch” và chưa bị lây nhiễm mã độc CTB-Locker.

Trong trường hợp phần mềm phát hiện thấy sự hiện diện của CTB-Locker và các loại mã độc tống tiền phổ biến khác, phần mềm sẽ tự động gỡ bỏ và xóa các loại mã độc này trên máy tính của bạn.

Làm sao để khôi phục dữ liệu đã bị CTB-Locker mã hóa?

Công cụ Bkav Ransomware Scan chỉ phát hiện và loại bỏ mã độc tống tiền CTB-Locker trên máy tính của bạn, tuy nhiên lại không thể giải mã những file đã bị loại mã độc này mã hóa.

Để giải mã những dữ liệu này, bạn có thể nhờ đến phần mềm có tên Shadow Explorer. Đây là phần mềm cho phép bạn truy cập vào các bản lưu của những dữ liệu sẵn có trên máy tính để từ đó khôi phục lại các phiên bản cũ của dữ liệu từ những bản sao lưu này.

Download phần mềm miễn phí tại đây.

Sau khi download, giải nén và kích hoạt file ShadowExplorerPortable.exe để sử dụng ngay mà không cần cài đặt.

Từ góc trên bên trái giao diện chính của phần mềm, danh sách các file, thư mục được tạo bản lưu sẽ hiển thị ở khung bên dưới. Nếu cần khôi phục thư mục hoặc file nào, bạn kích chuột phải vào file/thư mục đó trên danh sách và chọn “Export”.

Lưu ý: bạn nên chọn thời điểm khôi phục dữ liệu là thời điểm trước khi máy tính bị lây nhiễm CTB-Locker.

Ctb locker là gì


Một hạn chế của phần mềm này đó là chỉ có thể sử dụng khi tính năng “System Restore” được kích hoạt trên Windows. Mặc định tính năng này luôn ở chế độ kích hoạt và chỉ bị vô hiệu hóa bởi chính người dùng. Trong trường hợp bạn đã vô hiệu hóa tính năng “System Restore” trước đó thì phần mềm Shadow Explorer không thể sử dụng, trong trường hợp này bạn hy vọng để giải mã dữ liệu đã bị mã hóa khá mong manh. Bạn có thể sử dụng một số phần mềm khôi phục dữ liệu để thử vận may của mình.

Làm sao để phòng tránh lây nhiễm CTB-Locker?

Để tránh những trường hợp lây nhiễm mã độc trên máy tính trong tương lai, người dùng tuyệt đối không tải và mở những file đính kèm được gửi đến từ những địa chỉ email không quen biết.  

Bên cạnh đó, khi ghé thăm các trang web với nội dung “hấp dẫn” và yêu cầu người dùng phải tải phần mềm về để có thể xem các nội dung đó, bạn tuyệt đối không nên tải và cài đặt những phần mềm này.

Tốt nhất, bạn nên cài đặt trên máy tính của mình một phần mềm bảo mật đủ mạnh và có uy tín để giúp bảo vệ máy tính tránh bị lây nhiễm các loại mã độc khác, bên cạnh loại mã độc tống tiền CTB-Locker.

Với những dữ liệu quan trọng, bạn nên sao lưu chúng lên các dịch vụ lưu trữ đám mây như DropBox, Google Drive hay OneDrive... để tránh các trường hợp bị mất mát và hư hại do mã độc phá hoại hay do hư hỏng ổ cứng...

Phạm Thế Quang Huy