Hôm nay (ngày 15/3), Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) đã phát đi công văn gửi các đơn vị thành viên thông báo về việc hiện đang có chiến dịch phát tán mã độc tống tiền GandCrab 5.2 vào Việt Nam và các nước Đông Nam Á.
Chiến dịch phát tán mã độc GandCrab 5.2 khi vào Việt Nam phát tán qua qua email giả mạo Bộ Công an Việt Nam với tiêu đề “Goi trong Cong an Nhan dan Viet Nam” có đính kèm tệp “documents.rar”.
Nội dung email chứa mã độc GandCrab mà Quantrimang.com nhận được.
File .rar đính kèm cuối email
Trong hơn một năm qua, mã độc tống tiền GandCrab đã lan rộng trên toàn cầu. GandCrab 5.2 là phiên bản mới trong họ mã độc tống tiền nguy hiểm này.
VNCERT từng phát hiện phiên bản 1.0 và 2.0 của mã độc GandCrab tấn công vào Việt Nam vào tháng 4/2018 và đã phát lệnh điều phối yêu cầu các cơ quan, đơn vị, doanh nghiệp ngăn chặn kết nối máy chủ điều khiển mã độc GandCrab. Hiện tại, VNCERT vẫn đang hỗ trợ giải mã GandCrab phiên bản 5.1 trở về trước.
Nếu người dùng mở mail, giải nén và mở tệp tin đính kèm mã độc sẽ được kích hoạt. Nó sẽ mã hóa toàn bộ dữ liệu của người dùng đồng thời một tệp mới sẽ được sinh ra yêu cầu và hướng dẫn người dùng trả tiền chuộc để giải mã dữ liệu. Tiền chuộc được thanh toán qua đồng tiền điện tử và có giá dao động từ 400 USD - 1.000 USD.
Mã độc tống tiền GandCrab 5.2 được phát tán qua thư điện tử giả mạo Bộ Công an Việt Nam. (Ảnh: VNCERT).
Trong lệnh điều phối ứng cứu hỏa tốc mới phát ra, Trung tâm VNCERT yêu cầu các đơn vị thuộc phạm vi quản lý phải theo dõi, ngăn chặn kết nối đến các máy chủ điều khiển mã độc tống tiền GandCrab và cập nhật vào các hệ thống bảo vệ như: IDS/IPS, Firewall… theo các thông tin nhận dạng trong bảng dưới đây để phòng ngừa, ngăn chặn việc tấn công của mã độc GandCrab 5.2 vào Việt Nam.
Danh sách các máy chủ điều khiển mã độc tống tiền GandCrab 5.2 và danh sách mã băm cần theo dõi và ngăn chặn kết nối.
Công văn cũng nêu rõ, nếu phát hiện cần nhanh chóng cô lập vùng/máy đã phát hiện.
Để phòng tránh mã độc GandCrab 5.2, người dùng cần nâng cao cảnh giác. Không mở và kích vào các liên kết, các tập tin đính kèm dạng .doc, .pdf, .zip, rar… trong email được gửi từ người lạ hoặc email có tiêu đề kỳ lạ được gửi từ người quen. Nếu phát hiện hoặc gặp nghi ngờ cần báo cho bộ phận chuyên trách quản trị hệ thống.