Theo phản ánh của các chuyên gia an ninh mạng, thời gian gần đây nhiều người dùng máy tính tại Việt Nam bị lây nhiễm các phiên bản mới của virus “đòi tiền chuộc” Ransomware như CTB Locker/Critroni hoặc Onion trong nhiều cơ quan, tổ chức tại Việt Nam.

Hiện tại, nhiều cơ quan, tổ chức tại Việt Nam tiếp tục bị lây nhiễm các phiên bản mới của mã độc Ransomware như CTB Locker/Critroni hoặc Onion, VNCERT nhận định, mã độc mã hóa dữ liệu để đòi tiền chuộc là loại mã độc rất nguy hiểm, có thể dẫn đến mất mát dữ liệu lớn trong các cơ quan, tổ chức và cá nhân, đặc biệt khi bị nhiễm mã độc và các tài liệu đã bị mã hóa thì không thể khôi phục dữ liệu.

Trong cảnh báo này, bên cạnh việc đề xuất biện pháp để phòng ngừa các loại mã độc mã hóa dữ liệu đòi tiền chuộc cũng đề cập đến các khuyến nghị các đơn vị về cách thức xử lý khi phát hiện máy tính bị lây nhiễm mã độc mã hóa dữ liệu để đòi tiền chuộc.

Cụ thể, theo giải thích VNCERT, khi mã độc Ransomware lây nhiễm vào máy tính bị hại, mã độc sẽ tiến hành mã hóa các tệp tin dữ liệu đồng thời khóa các tính năng quan trọng khiến người dùng không thể tắt các tiến trình phá hoại của virus đang hoạt động. Do quá trình mã hóa sẽ được thực hiện trong thời gian dài, vì vậy việc phản ứng nhanh chóng khi phát hiện ra sự cố sẽ giúp giảm thiểu thiệt hại cho các dữ liệu chứa trên máy bị nhiễm và giúp các chuyên gia có thể khôi phục dữ liệu bị mã hóa

Vì vậy, đối với các máy tính cá nhân khi phát hiện ra dấu hiệu bị lây nhiễm mã độc mã hóa dữ liệu để đòi tiền chuộc thì phải nhanh chóng tắt máy tính (tắt nguồn điện trực tiếp bằng cách rút ổ cắm điện ngày lập tức mà không cần sử dụng chức năng Shutdown của hệ điều hành Cũng theo VNCERT, mặc dù không có khả năng giải mã các tệp tin đã bị mã độc mã hóa, nhưng trong một số trường hợp có thể sử dụng các phần mềm khôi phục dữ liệu như FTK, EaseUs, R-STUDIO để khôi phục các tệp tin nguyên bản đã bị xóa.

Do đó, nếu không có kinh nghiệm xử lý sự cố này cần yêu cầu sự hỗ trợ sớm của các chuyên gia an toàn thông tin để giảm thiểu thiệt hại khi xảy ra sự cố. Ngoài ra, người dùng cần sử dụng khởi động từ hệ thống sạch khi thực hiện sao lưu các dữ liệu chưa bị mã hóa; đồng thời tiến hành cài đặt lại toàn bộ hệ thống, cài phần mềm diệt virus cập nhật phiên bản mới nhất và tiến hành quét toàn bộ dữ liệu trên máy tính trước khi sao chép lại các dữ liệu vào máy tính.

Hai phương pháp lây lan chủ yếu của virus mã hóa dữ liệu đòi tiền chuộc là: gửi tệp tin nhiễm mã độc kèm theo thư điện tử, khi người sử dụng kích hoạt tệp tin đính kèm thư điện tử sẽ làm lây nhiễm mã độc vào máy tính; gửi thư điện tử hoặc tin nhắn điện tử có chứa đường dẫn đến phần mềm bị giả mạo bởi mã độc Ransomware và đánh lừa người sử dụng truy cập vào đường dẫn này để vô ý tự cài đặt mã độc lên máy tính. Ngoài ra, máy tính còn có thể bị nhiễm thông qua các con đường khác như lây lan qua các thiết bị lưu trữ, lây qua cài đặt phần mềm, sao chép dữ liệu, phần mềm...