Cẩn thận với mã độc đào tiền ảo

Theo Chí Thịnh/sgtiepthi.vn

Mã độc đào tiền ảo đang có chiều hướng bùng nổ từ cuối năm 2017 cho tới đầu năm nay. Theo số liệu từ Trung tâm an ninh mạng BKAV, số lượng máy tính nhiễm mã độc đào tiền ảo đã vượt quá 40.000 máy.

Trung tâm an ninh mạng BKAV cho biết, số lượng máy tính nhiễm mã độc đào tiền ảo đã vượt quá 40.000 máy. Nguồn: internet
Trung tâm an ninh mạng BKAV cho biết, số lượng máy tính nhiễm mã độc đào tiền ảo đã vượt quá 40.000 máy. Nguồn: internet

Làm chậm tốc độ xử lý

Từ cuối tháng 12/2017 đã xuất hiện sự lây nhiễm mã độc đào tiền ảo thông qua ứng dụng Facebook Messenger. Mã độc lây lan từ máy tính này qua máy tính khác bằng cách gửi đi một tập tin có tên gọi video_xxx.zip (trong đó xxx là bốn số ngẫu nhiên). Thực chất, đây là một tập tin nén, bên trong chứa tập tin thực thi của hệ điều hành Windows, chứ không phải là tập tin trình chiếu video.

Theo ghi nhận từ Trung tâm an ninh mạng BKAV, cứ 10 phút tội phạm mạng (hacker) lại tung ra một biến thể virus mới nhằm tránh bị phát hiện bởi các phần mềm Anti-virus. Số lượng máy tính lây lan rất nhanh, bởi sau khi xâm nhập vào máy tính, mã độc tiếp tục lây nhiễm qua máy tính khác bằng cách nhắn tin qua danh sách bạn bè/người thân trên Facebook Messenger.

Theo thông báo của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), mã độc đào tiền ảo sau khi lây nhiễm vào máy tính sẽ tự động tải và cài đặt một số tập tin như 7za.exe và files.7z từ trang web có tên miền yumuy.johet.bid (tuỳ các mã độc khác nhau, tên miền này có thể thay đổi). Mã độc sẽ sử dụng tập tin 7za.exe để giải nén tập tin file.7z, sau đó tự động cài đặt tiện ích mở rộng này vào trình duyệt Chrome. Trong tập tin được giải nén (file.7z) có chứa các tập tin thực thi được cho là sử dụng nhằm mục đích lợi dụng tài nguyên máy tính để đào tiền ảo.

Ông Vũ Ngọc Sơn, Phó chủ tịch Tập đoàn BKAV, phụ trách mảng chống mã độc (Anti Malware),  cho biết động cơ của hacker là tiến hành lây nhiễm virus vào hàng loạt máy tính để phục vụ mục đích đào tiền ảo. Nguy hiểm hơn, dòng mã độc còn cài sẵn chức năng lấy cắp mật khẩu Facebook.

Ông Sơn cũng cho biết thêm, hiện tại mã độc này chưa ảnh hưởng tới hoạt động của điện thoại thông minh (smartphone) cho dù có khá nhiều máy đang sử dụng trình duyệt web (browser) Chrome.

Mã độc đào tiền ảo sẽ khiến cho tốc độ xử lý của máy tính trở nên chậm, có lúc gần như không thể chạy các phần mềm có yêu cầu tốc độ xử lý cao (chỉnh sửa ảnh hoặc video). Nếu người dùng chỉ sử dụng các phần mềm văn phòng bình thường sẽ không cảm nhận máy tính bị chậm, chỉ khi kết nối internet, dùng các phần mềm xử lý đồ hoạ, thiết kế mới thấy vấn đề này.

Ngăn chặn mã độc

Các chuyên gia an ninh mạng khuyên, quan trọng nhất là khi nhận các tập tin, đường dẫn (link) từ bất kỳ ứng dụng nhắn tin, email, trang Facebook… đều cẩn thận không bấm vào nếu chưa biết chắc ai gửi cho mình. Có những tập tin trông bề ngoài vô hại nhưng lại ẩn chứa bên trong tập tin thực thi (đuôi .exe) các chương trình độc hại.

Về cơ bản, các phần mềm Anti-virus cũng như ứng dụng bảo mật Windows Defender (trên hệ điều hành Windows) có khả năng phát hiện và ngăn chặn mã độc đào tiền ảo này. Do đó, các máy tính có cài đặt phần mềm Anti-virus chính hãng có thể phát hiện và loại trừ mã độc này.

Mới đây, đại diện truyền thông của Facebook tại Việt Nam cũng cho biết, Facebook đang triển khai hệ thống tự động nhận diện, ngăn chặn các liên kết, tập tin độc hại xuất hiện trên Facebook và Facebook Messenger. Điều này góp phần ngăn chặn sự lây lan của mã độc đào tiền ảo trên ứng dụng Facebook Messenger.

Còn chuyên gia bảo mật Công ty CMC Infosec cho biết, người dùng máy tính cũng có thể loại trừ mã độc theo phương thức thủ công, nếu như phần mềm Anti-virus không phát hiện mã độc đào tiền ảo. Đầu tiên phải kiểm tra xem máy tính có bị nhiễm mã độc này chưa bằng cách bấm chuột phải vào cửa sổ Facebook đang hiển thị xem có bị tình trạng giữ thanh tab (pin tab) hay không. Nếu có, phải gỡ bỏ trạng thái này bằng cách bấm vào nút pin tab.

Sau đó, mở Task Manager để kiểm tra tiến trình mà mã độc này đã sinh ra. Tại đây, người dùng sẽ thấy mẫu mã độc vừa chạy sẽ xuất hiện ra một tiến trình (process) có tên của nó “video_dãy số ngẫu nhiên” cùng với một phần mềm độc hại khác là “xMRig CPU miner”. Đây là phần mềm mà hacker có thể thông qua đó để sử dụng máy tính nạn nhân để đào tiền ảo. Sau đó, để xóa các tiến trình và tập tin đính kèm, nhấn chuột phải, chọn “open file location” để mở thư mục chứa tập tin đính kèm của hai chương trình độc hại này. Tuy nhiên, bởi tiến trình vẫn đang chạy nên để xóa được những file đính kèm, người sử dụng cần kết thúc chương trình (end task) độc hại trước, rồi mới có thể xóa tập tin đính kèm trong thư mục vừa mở.

Chuyên gia bảo mật CMC Infosec cho biết thêm, sau khi xoá các chương trình độc hại trên máy tính xong, cần đăng xuất khỏi Facebook. Sau đó, vào thư mục chứa mã độc trước đó kiểm tra lại (xem có mã độc hay không) rồi mới đăng nhập Facebook, sử dụng bình thường.

Ngoài ra, để đảm bảo an toàn cho tài khoản Facebook, người dùng cũng nên đổi mật khẩu hoặc kích hoạt chế độ bảo mật hai lớp cho Facebook (yêu cầu mã kích hoạt khi đăng nhập bởi thiết bị khác). Tính năng bảo mật này giúp loại trừ việc đánh cắp mật khẩu, thông tin cá nhân… trên Facebook sau khi máy tính bị nhiễm mã độc.