Làm gì khi máy tính dính mã độc đào tiền ảo?

Từ hôm 19/12/2017, tại Việt Nam rất nhiều người dùng sử dụng ứng dụng Facebook Messenger đã dính phải một mã độc đào tiền ảo hết sức nguy hiểm. Mã độc này đang lây lan nhanh chóng qua Facebook Messenger, biến máy tính của nhiều người dùng tại Việt Nam thành công cụ đào tiền ảo.

Một tin nhắn có chứa mã độc đào tiền ảo mà người dùng Facebook Messenger tại Việt Nam nhận được vào sáng ngày 19/12/2017.

Theo ông Vũ Ngọc Sơn, Phó Chủ tịch phụ trách mảng Chống mã độc- Anti Malware của Bkav, mục đích phát tán của mã độc là nhằm chiếm quyền điều khiển của máy tính. Đồng thời lợi dụng máy tính để đào tiền ảo, khiến cho máy tính của nạn nhân luôn trong tình trạng giật lag và gần như không thể sử dụng được. Mã độc này hiện chỉ lây lan qua trình duyệt Chrome.

Đầu tháng 11 vừa qua, Trung tâm Ứng cứu khẩn cấp sự cố máy tính Việt Nam (VNCERT) cũng cho biết qua công tác theo dõi sự cố trên không gian mạng Việt Nam, VNCERT đã ghi nhận được rất nhiều sự cố an toàn thông tin về mã độc khai thác tiền ảo Coinhive ẩn mình trên các website.

Khi người dùng truy cập vào trang web, thư viện mã Coinhive sẽ tự động chạy trên máy tính người dùng dưới dạng tiện ích mở rộng hoặc trực tiếp trong trình duyệt nhằm mục đích “đào” tiền ảo Bitcoin, Monero… bằng cách sử dụng trái phép tài nguyên của người dùng như: CPU, ổ cứng, bộ nhớ… và gửi về ví điện tử của tin tặc.

Theo VNCERT, với các mã độc đào tiền ảo này người dùng nên kiểm tra hiệu suất sử dụng CPU của máy tính bằng các ứng dụng như Windows Task Manager và Resource Monitor.

Nếu máy tính có dấu hiệu chậm chạp và kiểm tra thấy hiệu suất sử dụng CPU của các trình duyệt hoặc tiện ích mở rộng tăng lên cao thì có thể máy tính đó đã bị nhiễm Coinhive, cần thông báo gấp cho quản trị mạng, chuyên gia để xử lý.

Ngoài ra, cần thường xuyên kiểm tra và quét các lỗ hổng tồn tại trên hệ thống để phát hiện kịp thời sự xuất hiện của các đoạn mã độc hại. Trong trường hợp phát hiện ra các lỗ hổng, lập tức triển khai biện pháp khắc phục, cập nhật các bản vá bổ sung và loại bỏ các chương trình độc hại đã bị tin tặc chèn vào.

Mã độc phát tán qua Facebook Messenger không phải là một hình thức mới nhưng lại đánh đúng vào tâm lý tò mò của người dùng Việt Nam. Chính vì vậy, trong ngày 19/12, hàng ngàn người dùng đã “dính bẫy” một loại mã độc đào tiền ảo mới hết sức nguy hiểm.

Theo đó, hàng loạt người dùng Facebook phản ánh nhiều người bạn trong danh sách bạn bè (Friend List) đã gửi cho họ một tin nhắn chứa file nén Zip (có tên dạng “Video_xxxx”, trong đó xxxx là 4 con số ngẫu nhiên) qua Facebook Messenger.

Khi mở file này, họ thấy một file video giả mạo bên trong. Nếu mở tiếp file giả mạo, máy tính sẽ bị nhiễm mã độc. Nếu máy tính dùng trình duyệt Google Chrome, mã độc sẽ cài một Extension (tiện ích mở rộng) để tiếp tục phát tán file Zip qua Facebook Messenger tới danh sách bạn bè của nạn nhân.

Theo các chuyên gia, nguy hiểm hơn, với loại mã độc mới phát tán qua Facebook Messenger, các đối tượng xấu có thể có danh sách bạn bè của rất nhiều người để phát tán tin nhắn lừa đảo. Hiện Bkav đã cập nhật mẫu nhận diện mã độc này với tên là W32.FBCoinMiner.Worm.

Ông Lê Thành Nhân- chuyên gia tại Trung tâm Đào tạo an ninh mạng ATHENA TP Hồ Chí Minh- cảnh báo: Hiện nay, có hiện tượng nhiều chủ trang web chủ động cài đặt các mã độc đào tiền ảo lên website của mình.

Khi người dùng truy cập các website này thì máy tính sẽ bị nhiễm mã độc. Mã độc này sau khi lây sang máy tính của người dùng sẽ sử dụng để đào tiền ảo, sau đó gửi tiền về ví điện tử cho chủ các trang web kia.

Hacker có thể biến PC của bạn thành botnet “đào” tiền ảo.

Ngoài ra, nhiều hacker còn tấn công các website mà chủ nhân không hề hay biết. Hậu quả là khi người dùng truy cập các website này thì sẽ bị dính mã độc. Chúng sẽ lợi dụng máy tính của người dùng để đào tiền ảo gửi về cho hacker.

Tình trạng này đang rất phổ biến. Vì vậy, theo các chuyên gia, người dùng phải hết sức cẩn thận khi truy cập các website, đặc biệt là các web lạ.

Với mã độc mới tấn công qua Facebook Messenger, Bkav khuyến cáo người dùng nên lập tức đổi mật khẩu cho tài khoản đăng nhập trên trình duyệt của mình nếu đã lỡ mở file nén đính kèm.

Theo VNCERT, để tránh bị mã độc đào tiền ảo tấn công, ẩn mình vào website thì cần kiểm tra, rà soát mã nguồn nhằm phát hiện các mã được chèn vào. Dấu hiệu nhận biết gồm các từ khóa trong mã nguồn website “coinhive.com”, “coinhive”, “coin-hive”, “coinhive.min.js”, “authedmine.com”, authedmine.min.js.

Nếu phát hiện website bị chèn các mã khai thác như đã nêu trên, cần rà soát và kiểm tra lại lỗ hổng trên máy chủ, lỗ hổng trên website. Ngoài ra, cần rà quét, kiểm tra hệ thống để tìm và loại bỏ các đoạn mã có trong các phần mềm mở rộng “Add-on” của trình duyệt web.

ĐÔNG PHƯƠNG (tổng hợp từ NLĐ)