Hơn 1.300 máy tính nhiễm virus tống tiền bằng Bitcoin tại Việt Nam

Hơn 1.300 máy tính nhiễm virus tống tiền tại Việt Nam
Dù mới xuất hiện, mã độc CTBLocker đang lây lan khá nhanh và số nạn nhân vẫn tiếp tục tăng lên.

• Mã độc mới chuyên tống tiền xuất hiện tại Việt Nam

Công ty Bkav cho biết, ngày 22/1, hệ thống giám sát của họ đã phát hiện biến thể mới của dòng mã độc chuyên mã hoá tài liệu tống tiền có tên gọi CTB Locker. Chỉ sau một ngày, hệ thống đã thống kê có khoảng 1.300 máy tính bị lây nhiễm.

Nhiều người dùng trong nước nhận được e-mail spam có đính kèm file .zip. Khi mở file này, máy tính của họ sẽ bị kiểm soát, các tệp dữ liệu dạng Word, Excel... sẽ bị mã hóa và không thể mở ra được trừ khi có khoá giải mã.

Nạn nhân sẽ nhận được thông báo phải nộp tiền chuộc trong vòng 96 giờ (4 ngày), nếu không file sẽ bị mã hóa vĩnh viễn. Kẻ tấn công yêu cầu thanh toán số tiền là 3 bitcoin, tương đương 630 USD, trong khi các phiên bản mã độc trước đây chỉ đòi khoảng 100 USD.

Thông báo yêu cầu nạn nhân gửi tiền để giải mã các file trong máy tính.

Trước đó, ông Nguyễn Minh Đức, chuyên gia bảo mật thuộc Ban Công nghệ FPT, cũng cho biết từ trưa ngày 21/1, ông nhận được một số lời đề nghị trợ giúp về việc hệ thống mạng máy tính của các cơ quan, trong đó có cả ngân hàng lớn tại Việt Nam, bị nhiễm mã độc CTBLocker.

Để tránh bị lây nhiễm, người sử dụng nên sử dụng các phần mềm diệt virus được cập nhật thường xuyên, cảnh giác với các file đính kèm trong e-mail và tốt nhất là không mở file khi nhận được từ người lạ và chỉ tải các file cài đặt từ website chính gốc. Bên cạnh đó, họ cũng không nên bấm vào những đường link nhận được qua chat hay e-mail và thường xuyên sao lưu file tài liệu của mình.

Bkav cho biết họ cũng đã phát hành công cụ diệt CTBLocker.

Châu An

 

[bi04.exchange]

Bọn hacker tạo ra virut tống tiền này cũng biết dùng BTC để ẩn tích nè các cụ ^^

 

[lovebaby86]

vãi cả tống tiền bằng BTC

 

[bi04.exchange]

Kính gửi: Quý Khách hàng,


Hiện nay, chúng tôi có nhận phản hồi từ một số trường hợp Khách hàng có nhiễm loại virus mới, làm mã hóa các file dữ liệu, khiến file không mở được và gửi thông báo đòi tiền chuộc nếu muốn giải mã. Hiện tại, các cách nào để giải mã file chưa hiệu quả. Trung tâm dịch vụ SmallNET xin gửi tới Quý khách hàng thông tin về loại virus này và cách phòng ngừa, bảo vệ dữ liệu trước khi sự cố xảy ra.

1.Mô tả về virus:

CryptoLocker là một loại virus máy tính (phần mềm ác ý) được gọi tên Ransomware có nghĩa là "virus đòi tiền chuộc", khi thâm nhập được vào máy tính của nạn nhân, mã độc quét toàn bộ ổ đĩa của máy tính và mã hoá các file bằng mã hoá khoá công khai (public key cryptography). Hầu hết các tệp tin quan trọng trên máy tính với định dạng .doc, pdf, xls, jpg, zip… sẽ không thể mở được. Để giải mã bắt buộc phải có khoá bí mật (private key) mà chỉ có kẻ phát tán mới có và nạn nhân sẽ nhận được thông báo trên desktop đòi tiền chuộc nếu muốn giải mã file.

2.Nguyên nhân:

Khi người sử dụng nhận được một e-mail có chứa file đính kèm giả như một file văn bản. File này thực chất là một downloader có định dạng .scr (Screen Saver) với tên trùng với tên file đính kèm trong e-mail.

Downloader sẽ kích hoạt WordPad để hiển thị một file văn bản đúng với nội dung trong e-mail, khiến người dùng nghĩ tệp tin đính kèm này chứa văn bản thật. Tuy nhiên, nhiệm vụ của downloader là tải các file độc hại khác xuống và trong trường hợp này, nó kết nối tới máy chủ để tải xuống một file .exe. File .exe này tiếp tục sinh ra 2 file .job và .exe khác và tệp .exe sau này mới là "nhân vật chính" với khả năng mã hoá tất cả các file .doc, pdf, xls, jpg, zip… trên máy tính nạn nhân rồi hiển thị thông báo doạ nạt, tống tiền.


Nạn nhân nhận được e-mail với file chứa mã độc giả là file văn bản thông thường.

Sau khi thâm nhập, mã độc sẽ mã hóa các file. Trong ảnh là những file đã bị mã hóa.

Sau đó, nạn nhân nhận được thông báo phải nộp tiền chuộc trong vòng 96 giờ, nếu không file sẽ bị mã hóa vĩnh viễn.

3.Cách ngăn ngừa và khắc phục

-Không nên mở file đính kèm từ các email lạ hoặc click vào link ở mail không rõ thông tin, chỉ tải và cài đặt các file từ website chính gốc.

-Nên quét thiết bị ngoại vi như USB, ổ cứng di động… trước khi mở.

-Chỉ nên làm việc khi log on vào máy với user hạn chế quyền để tránh virus lợi dụng quyền admin để cài đặt phần mềm.

-Người dùng nên thường xuyên sao lưu file quan trọng hoặc lưu trữ các dữ liệu công việc trên máy chủ của công ty để được sao lưu thường xuyên.

-Sử dụng phần mềm virus có bản quyền hoặc phần mềm có uy tín có cập nhập phiên bản update mới nhất, đặt lịch quét định kỳ.

-Cập nhập bản update hệ điều hành và phần mềm mới nhất.

Xin hãy gửi thông tin này tới các thành viên trong Công ty/Tổ chức để mọi người cùng nắm được và ngăn chặn virus. Mọi thông tin cần liên hệ và hỗ trợ xin hãy liên hệ với Kỹ thuật phụ trách trực tiếp của chúng tôi hoặc liên hệ với phòng dịch vụ SmallNET qua thông tin:


Trung tâm hỗ trợ dịch vụ SmallNET

 

[yozdean]

Theo t nghĩ lấy BTC vì nó khó kiểm soát, khó thể tìm ra ai đang sở hữu số BTC đó, vì giờ BTC hoạt động ra sao còn chưa ai biết :v

 

[victory355]

cái vụ này mới.mình h mới biết

 

[candylop]

Năm ngoái đã có loại virus doạ đòi tiền chuộc rồi. Nó bảo là nó biết tất cả các hành vi của mình, người thân mình. Nó nhận hợp đồng giết thuê từ 1 người bí mật(nhưng chưa ký) . Nếu mình đồng ý trả tiền cho nó (qua bitcoin) thì nó sẽ không hợp đồng đồng với họ nữa (vì qua điều tra thấy bạn là nguời lương thiện).

 

[CaptchaDollar]

Mẹ cái bọn viết báo ngân hàng mà bị nhiễm vius thì tao đi đầu xuống đất. Chả lẽ nó ngu hay sao mà để bị nhiễm

 

[ncxn]

Mấy thằng này ngu vãi, tấn công vn thì có mà ăn cám

 

[langthangclick]

Để diệt virus và phục hồi dữ liệu bị mã hóa, các bạn cần thực hiện theo đúng các bước sau:

• Bước 1: cài đặt phần mềm diệt virus Norton theo hướng dẫn tại đây, nhớ cập nhật phiên bản Norton mới nhất, sau đó quét toàn bộ máy để diệt sạch virus
• Bước 2: Phục hồi lại dữ liệu đã bị virus mã hóa, việc lấy lại dữ liệu được thực hiện theo 2 hướng:

1. Giải mã dữ liệu đã bị mã hóa (hầu hết mọi người đều đi theo hướng này, nhưng hiện tại là bất khả thi trừ khi nộp tiền cho Hacker để nhận lại khóa giải mã)
2. Phục hồi lại file gốc đã bị virus xóa (xem bài hướng dẫn bên dưới)

Hướng dẫn phục hồi dữ liệu gốc bị virus mã hóa:
Đối với các biến thể cũ của virus tống tiền trước đây, ta có thể giải mã dữ liệu theo hướng dẫn tại đây. Tuy nhiên, với biến thể mới là CTB-Locker thì hiện tại chưa có cách để giải mã dữ liệu, vì vậy, ta cần phục hồi file dữ liệu gốc đã bị virus xóa (hoặc ghi đè) theo 3 bước sau (từ dễ đến khó):

Lưu ý: hãy đảm bảo đã sao lưu toàn bộ dữ liệu, chúng tôi không chịu trách nhiệm bất cứ tổn thất nào khi bạn làm theo hướng dẫn trong bài viết này

Cách 1:

• Mở "My Computer" tìm đến thư mục hoặc file tài liệu bị mã hóa, bấm chuột phải và chọn mục "Restore previous versions"

Phục hồi dữ liệu bằng tính năng Restore previous versions

• Tại cửa sổ "Previous Versions" hiện ra các phiên bản đã sao lưu của dữ liệu, bạn hãy chọn ngày trước khi bị nhiễm virus và chọn "Restore" để phục hồi lại dữ liệu. Hãy cố gắng nhiều lần để tìm được phiên bản dữ liệu còn tốt chưa bị mã hóa (xem ảnh trên)
• Bạn có thể xem danh sách các file đã bị virus mã hóa bằng cách vào "My Documents" và mở file "7kýtự.html" (với 7kýtự là 7 ký tự ngẫu nhiên vd: dxxfkvy.html)

Cách 2:

• Tải về công cụ ShadowExplorer.exe tại đây
• Cài đặt hoặc giải nén ShadowExplorer sau đó khởi chạy công cụ

Cửa sổ ShadowExplorer cho phép chọn ngày của dữ liệu cần phục hồi

• Cửa sổ ShadowExplorer hiện ra, hãy chọn tên ổ đĩa chứa dữ liệu, sau đó chọn ngày cần phục hồi dữ liệu (xem hình trên)

Duyệt cây thư mục trên công cụ ShadowExplorer chọn dữ liệu cần phục hồi

• Tiếp đó, duyệt cây thư mục và tìm đến thư mục chứa dữ liệu bị mã hóa (hoặc tìm đến file bị mã hóa) rồi bấm chuột phải vào chọn "Export" để phục hồi lại bản sao của ngày hôm đó (xem hình trên)
• Bạn có thể xem danh sách các file đã bị virus mã hóa bằng cách vào "My Documents" và mở file "7kýtự.html" (với 7kýtự là 7 ký tự ngẫu nhiên vd: dxxfkvy.html)
• Hãy cố gắng chọn nhiều phiên bản ngày phù hợp để tìm được bản sao dữ liệu được phục hồi tốt nhất

Cách 3:

• Nếu đã thực hiện cả 2 cách trên nhưng đều thất bại, bạn hãy sử dụng phần mềm phục hồi dữ liệu chuyên nghiệp theo hướng dẫn tại đây

Chúc các bạn thành công! Mọi thắc mắc các bạn Comment tại đây để được hỗ trợ

CHÚ Ý: để được cảnh báo virus và được Tư vấn Hỗ trợ và nhận Key Download mới nhất của phần mềm diệt Virus này hãy Tham gia nhóm Facebook tại đây


nguồn: http://bb.com.vn/pro/dichvu/phuc-ho...tb-locker-phuc-hoi-lai-du-lieu-bi-ma-hoa.html

 

[Zugi]

có cung thì có cầu vừa viết anti vừa viết virus . ai còn nhớ vụ data của hãng bảo mật to mồm bị local rồi share trên mạng không ? cái server nát hơn cái (!) trâu. qua firewall dễ như đi về sinh )