Hệ thống ngân hàng nguy cơ mất hết dữ liệu vì mã độc, cách gỡ nhanh nhất

author 10:32 24/07/2018

(VietQ.vn) - Theo thông tin từ Cơ quan điều phối quốc gia (Trung tâm VNCERT), hiện đang xuất hiện mã độc tấn công có chủ đích vào hệ thống ngân hàng, hạ tầng quan trọng quốc gia.

Theo thông tin từ Trung tâm VNCERT, vào những ngày cuối tháng 7/2018, Trung tâm VNCERT đã ghi nhận các hình thức tấn công có chủ đích của tin tặc nhắm vào hệ thống thông tin của một số ngân hàng và hạ tầng quan trọng quốc gia tại Việt Nam.

Thủ đoạn của các tin tặc khá tinh vi, chúng đã tìm hiểu khá kỹ lưỡng kết hợp với các kỹ thuật cao dễ dàng qua mặt hệ thống bảo vệ an toàn thông tin của các ngân hàng và hạ tầng quốc gia nhằm điều khiển máy tính của người dùng rồi chiếm đoạt các thông tin, dữ liệu quan trọng.

Nhận thấy có mối nguy hiểm tiềm tàng, Trung tâm đã có lệnh điều phối và khuyến cáo các ngân hàng, tổ chức hạ tầng trọng yếu quốc gia thực hiện các biện pháp để ngăn chặn kịp thời mã độc tấn công.

Công văn hỏa tốc của Trung tâm VNCERT gửi các cơ quan về tin tặc tấn công có chủ đích.

 Công văn hỏa tốc của Trung tâm VNCERT gửi các cơ quan về tin tặc tấn công có chủ đích. 

Cụ thể, Trung tâm VNCERT đã gửi công văn khẩn tới các đơn vị chuyên trách về CNTT, ATTT của Văn phòng Trung ương Đảng, các Ban của Đảng, Văn phòng Chủ tịch nước, Văn phòng Quốc hội, Văn phòng Chính phủ, các đơn vị chuyên trách về CNTT, ATTT các bộ, ngành, các tổng công ty, tập đoàn kinh tế, các tổ chức tài chính, ngân hàng và các doanh nghiệp hạ tầng Internet, Viễn thông, Điện lực, Hàng không, Giao thông Vận tải cảnh báo về mã độc đang  tấn công có chủ đích.

Liên quan tới sự việc này, ông Nguyễn Khắc Lịch, Phó giám đốc Trung tâm VNCERT nhấn mạnh, đây là những mã độc rất nguy hiểm, có thể đánh cắp thông tin và phá hủy hệ thống thông tin của các đơn vị nêu trên.

Theo đó, căn cứ Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng Chính phủ và Thông tư số 20/2017/TT-BTTTT ngày 12/9/2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định điều phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc, Trung tâm VNCERT đề nghị các ngân hàng và các tổ chức hạ tầng quan trọng quốc gia thực hiện gấp các biện pháp dưới đây để kịp thời phát hiện và ngăn chặn cuộc tấn công có chủ đích.

Cách chặn kết nối với máy chủ

Trước mắt, Trung tâm VNCERT đề nghị các đơn vị theo dõi và ngăn chặn kết nối đến các máy chủ C&C có địa chỉ IP như: 38.132.124.250 và 89.249.65.220.

Rà quét hệ thống và xoá các thư mục và tập tin mã độc có kích thước tương ứng:

syschk.ps1 (318 KB (326,224 bytes))

            - MD5: 26466867557F84DD4784845280DA1F27

            - SHA-1: ED7FCB9023D63CD9367A3A455EC94337BB48628A

hs.exe (259 KB (265,216 bytes))

            - MD5: BDA82F0D9E2CB7996D2EEFDD1E5B41C4

            - SHA-1: 9FF715209D99D2E74E64F9DB894C114A8D13229A

Sau đó người dùng cần hướng dẫn kiểm tra mã MD5, SHA-1 của tập tin và cách thức xoá tập tin chữa mã độc. Sau khi thực hiện, yêu cầu các đơn vị báo cáo tình hình về Cơ quan điều phối ứng cứu sự cố quốc gia (Trung tâm VNCERT) theo địa chỉ email: ir@vncert.gov.vn /điện thoại: 0869100319 trước 12h ngày 26/7/2018.

 Trung tâm VNCERT cảnh báo tới các cơ quan cần hết sức thận trọng kẻo mất dữ liệu.

 Trung tâm VNCERT cảnh báo tới các cơ quan cần hết sức thận trọng kẻo mất dữ liệu. 

Hướng dẫn kiểm tra mã hash MD5, SHA-1

Trước tiên cần download phần mềm tại: http://www.nirsoft.net/utils/hashmyfiles.zip (các đơn vị có thể sử dụng các công cụ kiểm tra mã hash tin tưởng khác).

Kiểm tra bằng cách giải nén tập tin hashmyfiles.zip trên, tiến hành mở file “HashMyFiles.exe”. Nhấn vào File -> Add Files; Trỏ đến file cần kiểm tra mã Hash. Mã MD5 và SHA-1 sẽ hiển thị bên khung chương trình. Thực hiện đối chiếu mã MD5 và SHA-1 tương ứng trong Công văn đi kèm và làm bước 2 hướng dẫn gỡ bỏ tệp tin.

Cách gỡ bỏ tập tin chứa mã độc

Trung tâm VNCERT yêu cầu người dùng cần xác định mã độc thuộc loại nào. Nếu mã MD5 và SHA-1 trùng nhau thì tập tin trên máy tính là phần mềm có chứa mã độc. Nếu không trùng thì chưa khẳng định 100% nó không phải là mã độc. Có thể không xoá trong trường hợp này nhưng cần trích xuất tệp tin và thực hiện phân tích chuyên sâu. Đối với các máy có chứa file mã độc cần ngay lập tức cô lập và báo cáo cho Cơ quan điều phối quốc gia (Trung tâm VNCERT)

Khi gặp trường hợp máy tính có chứa tập tin mã độc người dùng cần dừng hoặc tắt tiến trình này trước khi xoá. Trước tiên cần tải phần mềm miễn phí có tên “Process Explorer” của Microsoft tại địa chỉ bên dưới: https://download.sysinternals.com/files/ProcessExplorer.zip

Tiến hành tìm kiếm các tiến trình tương ứng trong Công văn ở trên và nhấn chuột phải chọn Properties, tại mục Explore để mở Path của tệp tin, thư mục Autostart Location để hiển thị vị trí các giá trị Registry mà mã độc đã tạo hoặc thay đổi giá trị.

Người dùng cần trích xuất các tệp tin nghi ngờ hoặc mã độc này bằng cách nhấn vào Create Dump, copy nén và đặt pass khó. Sau đó tiến hành tìm kiếm các tiến trình tương ứng trong Công văn ở trên và nhấn chuột phải chọn “Suspend” hoặc “Kill Process”. Sau khi chọn xong, ta vào đường dẫn tương ứng để xoá. Kiểm tra các giá trị Registry đã được tạo hoặc thay đổi và xóa.

An Dương

 

Thích và chia sẻ bài viết:

tin liên quan

video hot

Về đầu trang