Ngày 20/4/2016, Sở Thông tin và Truyền thông đã ban hành Công văn số 224/STTTT-TTCNTT về việc Cảnh báo hình thức lây nhiễm mới của  mã độc thuộc loại Ransomware mã hoá dữ liệu để tống tiền.

Các bạn có thể tải Công văn số 224/STTTT-TTCNTT tại đây hoặc đây.

Ransomware sử dụng công nghệ mã hóa “Public-key” tạo ra những chương trình độc hại để mã hóa dữ liệu của người dùng. Và khi dữ liệu đã bị mã hóa thì chỉ có chìa khóa đặc biệt bí mật mới giải mã được.


Cách sử dụng ID Ransomware cũng khá đơn giản, bạn vào trang này, nhấn Chọn tập tin dưới trường Sample Encrypted File chọn file cần giải mã. Xong nhấn Upload. Dịch vụ sẽ phân tích dữ liệu tải lên và cho biết thông tin về Ransomware cùng hướng dẫn giải mã (nếu có). Ngoài ra, bạn cũng có thể nhấn Chọn tập tin dưới trường Ransom Note giải mã thông tin về ransom và phương thức thanh toán tiền chuộc lưu trong file txt, html,...


Hiện tại, ID Ransomware hỗ trợ nhận diện hơn 67 loại ransom, và dữ liệu về mã độc nguy hiểm này được cập nhật thường xuyên (bạn có thể xem chi tiết trên trang chủ).

Để phòng ngừa Ransomware, bạn có thể tải và cài đặt tiện ích Bitdefender Anti-Ransomware cho hệ thống tại đây (dung lượng 4,48MB, tương thích Windows).

Cách duy nhất nạn nhân có thể làm là trả tiền chuộc để đổi lấy dữ liệu của mình.

Khác với những loại ransomware "truyền thống" khi chỉ mã hóa dữ liệu đòi tiền chuộc từ nạn nhân để giải mã dữ liệu, các loại mã độc tống tiền "phiên bản mới" đang dần chuyển sang xu hướng đánh cắp thông tin cá nhân và tài khoản thanh toán của người dùng. CryptXXX – loại ransomware vừa được phát hiện vào tháng 3/2016 là điển hình của phương thức tấn công nguy hiểm này.

Núp bóng dưới dạng những tệp tin DLL tải về từ Internet, CryptXXX khôn ngoan nằm chờ một thời gian nhất định (khoảng 1 giờ đồng hồ) trước khi thực thi để tránh bị các công cụ diệt virus tiêu diệt. Sau khi lây nhiễm thành công, CryptXXX mã hóa dữ liệu trên thiết bị, thay đổi màn hình nền của người dùng cùng thông tin đòi tiền chuộc (1.2 Bitcoin ~ 455 USD).


Không lâu sau đó, Kaspersky đã tìm ra được điểm yếu của CryptXXX và tạo ra bộ công cụ giải mã RannohDecryptor có khả năng phân tích/bẻ khóa mã độc ngay trên máy tính đã bị lây nhiễm. Tuy nhiên, nhóm tin tặc đứng sau CryptXXX đã nhanh chóng "nâng cấp" mã độc này lên phiên bản CryptXXX 2.0 mà Kaspersky cũng phải bó tay.

Giờ đây, máy tính bị lây nhiễm CryptXXX 2.0 sẽ bị vô hiệu hóa toàn bộ màn hình, không thể lướt web cũng như chạy chương trình giải mã RannohDecryptor nữa. Cách duy nhất nạn nhân có thể làm là dùng một chiếc máy tính khác để trả tiền chuộc bằng Bitcoin để cứu lấy dữ liệu của mình.


Theo điều tra của hãng bảo mật Proofpoint, CryptXXX 2.0 vẫn được phát tán bằng việc núp bóng những quảng cáo độc hại ngay trên trên các trang web hợp pháp hoặc thông qua mã độc trung gian Bedep. Hiện tại, một phương án rất đơn giản có thể bảo vệ bạn trước CryptXXX 2.0 chính là hãy cài đặt ... AdBlocker - công cụ chặn quảng cáo phổ biến nhất thế giới.

Nhóm tin tặc đứng sau mã độc Ransomware tuyên bố ngừng hoạt động; đồng thời công bố mã khoá để mở dữ liệu kèm theo một lời xin lỗi.

Hướng dẫn giải mã dữ liệu: