Sở TT&TT Bình Thuận ra hướng dẫn loại bỏ mã độc đặc biệt nguy hiểm

Một số giải pháp giúp loại bỏ những mã độc đặc biệt nguy hiểm

Tại Việt Nam các hoạt động tấn công vào các hệ thống thông tin của các cơ quan, tổ chức nhà nước ngày càng gia tăng, phức tạp.

Đặc biệt, ngày 29/7/2016 đã xảy ra sự cố tấn công thay đổi giao diện website và các hệ thống thông tin thuộc sự quản lý của Tổng Công ty Hàng không Việt Nam và một số đơn vị liên quan khác bị tấn công, xảy ra sự cố.

Hệ thống máy tính đã được cài đặt đầy đủ phần mềm diệt virus, về cơ bản có thể ngăn chặn loại mã độc. Tuy nhiên, sẽ có thể xảy ra trường hợp mã độc quá mới mà phần mềm diệt virus trên máy tính chưa kịp cập nhật thông tin nhận biết.

Đặc biệt, máy tính xách tay và máy tính cá nhân trang bị cho cán bộ, công chức, viên chức nếu chưa được cài đặt hoặc cập nhật phần mềm diệt virus sẽ có nguy cơ nhiễm mã độc rất cao.

Bảo đảm an toàn, an ninh thông tin không chỉ là nhiệm vụ của đơn vị chuyên trách mà là của cả đơn vị quản lý, vận hành và tất cả người dùng. Do vậy, cần nhanh chóng loại bỏ những mã độc đặc biệt nguy hiểm và triển khai một số biện pháp nhằm phòng tránh các cuộc tấn công có thể xảy ra:

Để loại bỏ những mã độc đặc biệt nguy hiểm, cần thực hiện các bước dưới đây:

     Bước 1: Theo dõi và ngăn chặn kết nối đến các tên miền sau:

     a) playball.ddns.info

     b) nvedia.ddns.info

     c) air.dcsvn.org

     Bước 2: Rà quét hệ thống và xoá các thư mục và tập tin mã độc có kích thước tương ứng:

C:\Program Files\Common Files\McAfee\McAfee.exe (137.28 KB)

       - MD5: 884D46C01C762AD6DDD2759FD921BF71

       - SHA-1: D201B130232E0EA411DAA23C1BA2892FE6468712

C:\Program Files\Common Files\McAfee\McUtil.dll (3.50 KB)

       - MD5: C52464E9DF8B3D08FC612A0F11FE53B2

       - SHA-1: E464D10AD93600232D7A24856D69F00510949A40

C:\Windows\system32\DiskMgers.dll (85.00 KB)

       - MD5: 9BF793EF195CC62F8A61093F77B03158

       - SHA-1: 46844B0ACF2BB67ADBF2304A61BE07738D2DDD64

Tập tin “diskperf.exe”: tìm tất cả các file trong ổ Hệ điều hành có:

       - MD5: 29E656E1256FC998B7CE8494656B3EF8

       - SHA-1: 8C073B63D85CBF48BD742A62C7A59EEB064DA74D

     Bước 3: Kiểm tra mã MD5, SHA-1 của tập tin và cách thức xoá tập tin chữa mã độc:

     - Kiểm tra mã hash MD5, SHA-1:

       a) Download phần mềm tại: http://www.nirsoft.net/utils/hashmyfiles.zip

       b) Kiểm tra: Giải nén tập tin hashmyfiles.zip trên, tiến hành mở file “HashMyFiles.exe”. Nhấn vào File -> Add Files; Trỏ đến file cần kiểm tra mã Hash. Mã MD5 và SHA-1 sẽ hiển thị bên khung chương trình. Bạn chỉ cần đối chiếu mã MD5 và SHA-1 tương ứng trong Bước 2.

     - Gỡ bỏ tập tin chứa mã độc:

Xác định mã độc: Nếu mã MD5 và SHA-1 trùng nhau thì tập tin trên máy tính là phần mềm có chứa mã độc. Nếu không trùng thì chưa khẳng định 100% nó không phải là mã độc. Có thể không xoá trong trường hợp này.

Cách xoá tập tin chứa mã độc: Do tập tin này đang chạy nên ta cần dừng hoặc tắt tiến trình này trước khi xoá. Trước tiên cần tải phần mềm miễn phí có tên “Process Explorer” của Microsoft tại địa chỉ: https://download.sysinternals.com/files/ProcessExplorer.zip

Sau khi tải về giải nén, chạy file “procexp.exe”. Tiến hành tìm kiếm các tiến trình tương ứng trong Bước 2 và nhấn chuột phải chọn “Suspend” hoặc “Kill Process”. Sau khi chọn xong, vào đường dẫn tương ứng để xoá.

Thực hiện một số biện pháp bảo đảm ATTT

Để bảo đảm ATTT, cần có cán bộ kỹ thuật, bộ phận chuyên trách hoặc thuê ngoài dịch vụ giám sát an ninh thông tin cho tổ chức. Các sự kiện hệ thống cần được lưu trữ tập trung ra một hệ thống độc lập nhằm thuận tiện cho việc theo dõi, đồng thời lưu trữ thông tin cần thiết hỗ trợ cho việc truy vết sự cố, hạn chế việc tin tặc xâm nhập hệ thống sau đó cố tình xóa dấu vết.

Thực hiện sao lưu các dữ liệu hệ thống đầy đủ, định kỳ và bản lưu trữ phải ở vị trí an toàn về mặt vật lý nhằm đảm bảo khả năng phục hồi dữ liệu trong tình huống xấu nhất khi hệ thống dữ liệu chính bị phá hủy hoàn toàn.

Đối với các hệ thống quan trọng cần thay đổi mật khẩu định kỳ đăng nhập của các tài khoản đặc quyền – các tài khoản hệ thống có quyền hạn cao. Tránh sử dụng chung các định danh truy cập hệ thống.

Về lâu dài, cần có quy trình định kỳ hoặc thường xuyên rà soát các rủi ro có khả năng gây mất ANTT trên hệ thống và có phương án xử lý kịp thời. Thường xuyên tổ chức diễn tập phòng chống tấn công mạng, gỡ xóa mã độc…, đào tạo nâng cao chuyên môn về bảo mật và an toàn thông tin để nâng cao tính sẵn sàng và tinh nhuệ cho đội ngũ quản trị hệ thống CNTT. Tăng cường các giải pháp, đầu tư trang bị thiết bị, công cụ chuyên dùng để đảm bảo an toàn và bảo mật thông tin cho hệ thống.

Phổ biến nâng cao nhận thức về an toàn thư điện tử, an toàn Internet cho các cán bộ sử dụng máy tính trong cơ quan, đơn vị mình, phổ biến cho người dùng cảnh giác với các tập tin đính kèm theo các thư điện tử, không truy cập vào các liên kết (link) không rõ nguồn gốc...

Trong trường hợp phát hiện hệ thống CNTT có dấu hiệu bị tấn công thì cần thực hiện một số bước cơ bản như sau:

Ghi nhận và cung cấp các hiện tượng, dấu hiệu ban đầu cho đơn vị chuyên trách xử lý sự cố an ninh thông tin. Ví dụ: chụp màn hình thể hiện hệ thống bị nhiễm mã độc, thu thập log và gửi cho đội ngũ chuyên gia.

Nhanh chóng cách ly hệ thống có dấu hiệu bị tấn công, đồng thời giữ nguyên hiện trường hệ thống đang bị nhiễm, tạm thời sử dụng hệ thống máy chủ dự phòng cho các hệ thống chính.

Tiến hành thay đổi mật khẩu toàn hệ thống, đặc biệt là các hệ thống quan trọng như domain, cơ sở dữ liệu, ứng dụng core… . Backup dữ liệu mới nhất sang các bộ lưu trữ ngoài.

Khi xảy ra sự cố cần thông báo cho bộ phận thường trực Tổ Ứng cứu sự cố mạng máy tính tỉnh Bình Thuận - Trung tâm CNTT&TT Bình Thuận, số điện thoại: 062.3750293, 062.3636666, thư điện tử: [email protected] để phối hợp xử lý.