Phát hiện loại virus mới “ăn” bộ gõ tiếng Việt Unikey, Vietkey

Theo khuyến cáo của chuyên gia CyRadar, để bảo vệ máy tính của mình trước loại virus mới và những "người anh em" của nó, hơn hết, Và hơn hết, mỗi người dùng cần trau dồi nhận thức an ninh mạng, nâng cao cảnh giác trong việc sử dụng email, mở file lạ hay truy cập đường link lạ. (Ảnh minh họa. Nguồn: Internet)

Những ngày gần đây, nhiều người dùng máy tính tại Việt Nam khi đang sử dụng máy tính đã gặp phải hiện tượng không thể gõ được tiếng Việt, biểu tượng của bộ gõ chữ Việt Unikey cũng biến mất hoàn toàn trên thanh tác vụ - taskbar cũng như trên desktop. Không những thế khi người dùng tải lại phần mềm gõ chữ Việt và cài lại thì hiện tượng kể trên tiếp tục tái diễn.

Liên quan đến vấn đề nhiều người dùng máy tính tại Việt Nam đang gặp phải nói trên, thông tin từ FPT cho hay, Công ty an toàn thông tin CyRadar - startup do FPT ươm tạo và phát triển, mới đây đã phát hiện ra loại virus mới được ví như “người anh em” của mã độc mã hóa dữ liệu tống tiền (ransomware) WannaCry từng hoành hành trên thế giới và cả ở Việt Nam hồi tháng 5 năm ngoái.

Trong cảnh báo về loại virus mới được đăng tải trên chuyên trang về công nghệ Tech Insight của tập đoàn FPT, Giám đốc nghiên cứu bảo mật CyRadar, ông Lê Mạnh Tùng cho biết, loại virus mới này có cùng cách thức lây lan với dòng virus huyền thoại WannaCry. Chúng lợi dụng một lỗ hổng trên hệ điều hành Windows (lỗ hổng MS17-010 đã được công bố vào tháng 3/2017) để phát tán rộng trong mạng nội bộ – mạng LAN.

Bằng cách sử dụng kèm theo các tệp tin can thiệp sâu vào hệ thống (rootkit) để che giấu, loại virus mới này dễ dàng thoát khỏi sự phát hiện của các công cụ rà soát thông thường. Ngay khi được người dùng báo về hiện tượng lạ trên máy như mất bộ gõ tiếng Việt, CyRadar đã tiến hành kiểm tra và phát hiện ra loại virus này. “Bên cạnh đó, sử dụng công nghệ bản đồ mã độc, đội kĩ thuật CyRadar nhanh chóng tìm ra máy chủ phát tán dòng virus này cũng như thu thập những địa chỉ IP có liên quan, từ đó ngăn chặn việc nó lây lan rộng hay tác động xấu tới doanh nghiệp và người dùng”, ông Lê Mạnh Tùng cho hay.

Chuyên gia CyRadar cũng nhận định, hiện nay vẫn còn nhiều công ty sử dụng các máy tính Windows không cập nhật bản vá lỗ hổng, đồng thời cũng không có giải pháp nào để khóa cổng dịch vụ SMB (Server Message Block service, người viết: dịch vụ tồn tại lỗ hổng đang nói đến), đó là những hệ thống lý tưởng để virus này có thể xâm nhập và phát tán. Hiện tại, ngoài khách hàng của CyRadar đã được sớm phát hiện mã độc và xử lý, thì đâu đó ở nhiều nơi khác có thể có nhiều cá nhân, tổ chức đang gặp phải rắc rối với mã độc này ”, anh Tùng nói.

Ngoài thành phần lây lan, theo phân tích của chuyên gia CyRadar, dòng virus mới này còn gồm nhiều tập tin khác đi cùng nhau, trong đó mỗi tệp có những vai trò khác nhau nhưng tổng quan chung, chúng có nhiệm vụ che giấu bảo vệ nhau trước các công cụ phòng chống mã độc truyền thống, đồng thời liên tục kết nối ra máy chủ điều khiển để cập nhật file thực thi, và luôn duy trì một tiến trình chạy đào tiền ảo trên máy.

“Mặc dù các tác vụ nói trên đều được thực hiện ngầm, nhưng virus này còn có một hành vi đặc biệt khiến người dùng dễ nhận ra vấn đề, đó là việc nó liên tục kiểm tra để tắt tiến trình và xóa tệp tin của các bộ gõ Tiếng Việt (Unikey, Vietkey). Phải chăng dòng virus này nhắm riêng đến Việt Nam ?”, chuyên gia CyRadar nêu nghi vấn.

Chuyên gia CyRadar khuyến cáo, để bảo vệ máy tính trước loại virus mới này cũng như những “người anh em” của nó, người dùng Windows nên nhanh chóng cập nhật các bản vá lỗ hổng (khuyến cáo bật chế độ Auto Update) hoặc tối thiểu thực hiện tải và cài riêng bản vá MS17-010. “Ở quy mô của tổ chức, doanh nghiệp, việc sử dụng thêm các giải pháp giám sát mạng cũng sẽ mang lại nhiều hiệu quả bảo vệ. Và hơn hết, mỗi người dùng cần trau dồi nhận thức an ninh mạng, nâng cao cảnh giác trong việc sử dụng email, mở file lạ hay truy cập đường link lạ”, chuyên gia CyRadar nhấn mạnh.

Trước đó, vào trung tuần tháng 2/2018, Công ty CyRadar cũng đã có cảnh báo về loại mã độc đào tiền ảo có cách thức lây lan tương tự WannaCry. Trong cảnh báo này, CyRadar cho biết, từ giữa tháng 1/2018 cho trung tuần tháng 2/2018, hệ thống giám sát của doanh nghiệp an toàn thông tin này đã ghi nhận liên tục các gói tin tấn công giao thức SMB gửi qua lại giữa các máy tính trong mạng của nhiều doanh nghiệp, tổ chức. Chỉ trong vài tiếng, số lượng máy tính bị nhiễm mã độc trong 1 doanh nghiệp đã lên tới con số hàng trăm.

WannaCry là một loại mã độc khi thâm nhập vào thiết bị máy tính của người dùng hoặc hệ thống doanh nghiệp sẽ tự động mã hóa hàng loạt các tâp tin theo những định dạng mục tiêu như văn bản, hình ảnh… Một khi lây nhiễm vào máy tính nạn nhân, mã độc này sẽ mã hóa các tập tin và lây lan sang các máy tính khác. Các nạn nhân sẽ nhận được yêu cầu thanh toán 300 USD qua hệ thống Bitcoin để lấy lại quyền truy cập.

Trong thông tin chia sẻ tại diễn tập an toàn thông tin mạng quốc tế ACID 2017 được tổ chức hồi tháng 9 năm ngoái, đề cập đến việc cập nhập và vá các lỗ hổng của hệ điều hành Windows, ông Nguyễn Khắc Lịch - Phó Giám đốc Trung tâm VNCERT cho biết, đã cập nhật bản vá cho 114.159 máy trạm, 5.322 máy chủ của các tổ chức, doanh nghiệp. Tuy nhiên, theo ông Lịch, vẫn còn khoảng 4.403 máy trạm, 200 máy chủ chưa vá, chiếm tỷ lệ: 3,7% đối với máy trạm và 3,6% đối với máy chủ.

Theo ghi nhận của Trung tâm ứng cứu sự cố máy tính Việt Nam - VNCERT, năm 2017 đã có 13.382 sự cố tấn công mạng vào Việt Nam có 3 loại hình tấn công Deface, Phishing và Malware. Trong đó, có 6.400 trường hợp tấn công Malware; 4.377 trường hợp Deface và 2.605 trường hợp Phishing. Thống kê của VNCERT cũng cho thấy, chỉ trong 2 tháng đầu năm 2018, đã có 1.504 sự cố tấn công mạng vào Việt Nam, bao gồm: 218 sự cố Phishing; 962 sự cố Deface trong đó có sự cố liên quan đến tên miền .gov.vn và phần lớn đều đã được khắc phục; 324 sự cố Malware và hiện khoảng hơn 2/3 trang web gặp sự cố này đã được khắc phục.