Hướng dẫn phòng ngừa, ngăn chặn mã độc mã hóa dữ liệu GandCrab
29/10/2018
Trong
thời gian qua, theo dõi trên không gian mạng Việt Nam, Trung tâm ứng cứu khẩn cấp
máy tính Việt Nam - VNCERT đã phát hiện đang có chiến dịch phát tán mã độc tống
tiền GandCrab tấn công nhiều nước trên thế giới trong đó có Việt Nam (văn bản số
85/VNCERT-ĐPƯC ngày 05/04/2018 của Trung tâm ứng cứu khẩn cấp máy tính Việt Nam
về việc phát hiện, ngăn chặn kết nối máy chủ điều khiển mã độc GandCrab). Mã độc
tống tiền GandCrab rất nguy hiểm, có thể đánh cắp thông tin và mã hóa toàn bộ dữ
liệu trên máy bị nhiễm, được phát tán thông qua bộ công cụ khai thác lỗ hổng
RIG, khi bị lây nhiễm. toàn bộ các tập tin dữ liệu trên máy người dùng sẽ bị mã
hóa và phần mở rộng của tập tin bị đổi thành *.GDCB hoặc *.CRAB,… đồng thời mã
độc sinh ra một tệp CRAB-DECRYPT.txt nhằm yêu cầu và hướng dẫn người dùng trả
tiền chuộc từ 400 – 1.000 USD bằng cách thanh toán qua tiền điện tử DASH để giải
mã dữ liệu.
Hiện
tại trên địa bàn tỉnh Lào Cai, đã có trường hợp máy chủ, máy tính (PC) của nhiều
cơ quan, đơn vị nhiễm phải mã độc tống tiền GandCrab nêu trên. Tin tặc khai
thác và tấn công sẽ gây ra nhiều hậu quả nghiêm trọng khác. Vì vậy để đảm bảo
an toàn thông tin mạng, Tổ ứng cứu sự cố máy tính tỉnh Lào Cai đề nghị các đơn
vị thực hiện khẩn cấp các việc sau:
1.
Theo dõi, ngăn chặn kết nối đến các máy chủ điều khiển mã độc tống tiền
GandCrab và cập nhật vào hệ thống bảo vệ như: IDS/IPS, Firewall,… Danh sách các
máy chủ điều khiển mã độc GandCrab (C&C Server) cập nhật đến ngày 5/4/2018:
politiaromana.bit, malwarehunterteam.bit, gdcb.bit.
2. Nếu phát hiện mã độc cần nhanh chóng cô lập
vùng/máy bị nhiễm (ngắt card mạng, tắt máy hoặc ngắt thiết bị cung cấp mạng cho
vùng) và thông báo ngay về Tổ ứng cứu sự cố máy tính tỉnh Lào Cai.
3. Khuyến nghị cài đặt các phần mềm diệt virus
có bản quyền (Avast, Kappersky,…) đối với các máy chủ và máy tính (PC).
4. Có biện pháp đảm bảo việc các máy trạm đang
sử dụng hệ điều hành Windows cập nhật tự động bản vá mới ngay sau khi Microsoft
phát hành.
5. Thực hiện biện pháp backup dữ liệu quan trọng
ngay, đồng thời thiết lập các biện pháp sao lưu dữ liệu định kỳ để đảm bảo an
toàn dữ liệu.
6. Khuyến cáo người sử dụng nâng cao cảnh
giác, không mở và click và các liên kết (link) cũng như các tệp tin đính kèm
trong email có chứa tập tin dạng .doc, .pdf, .zip,… được gửi từ người lạ hoặc nếu
email được gửi từ người quen nhưng đặt tiêu đề hoặc ngôn ngữ khác thường. Cần
thông báo cho bộ phận chuyên trách quản trị hệ thống hoặc đảm bảo an toàn thông
tin khi nhận được email nghi ngờ.
7. Thường xuyên kiểm tra và quét các lỗ hổng tồn
tại trên hệ thống để phát hiện kịp thời sự xuất hiện của các đoạn mã độc hại.
Trong trường hợp phát hiện ra các lỗ hổng, lập tức triển khai biện pháp khắc phục,
cập nhật các bản vá bổ sung và loại bỏ các chương trình độc hại đã bị tin tặc
chèn vào.
8.
Liên hệ với Tổ Ứng cứu sự cố máy tính tỉnh Lào Cai để được hỗ trợ khi cần thiết:
- Thường trực Tổ ứng cứu sự cố máy tính tỉnh Lào Cai
- Điện thoại: 02143.841.288, 02143.828.669
Email: Cert@laocai.gov.vn.
Nguồn: VB số 588/ƯCSC-ĐP ngày 26/10/2018 của Tổ ứng cứu sự cố máy
tính