Khi chiếm được quyền điều khiển từ thiết bị của nạn nhân, ngoài việc tải xuống payload đào tiền ảo, kẻ tấn công có thể cài thêm mã độc khác thông qua máy chủ điều khiển của chúng để thực hiện các hành vi gián điệp, đánh cắp thông tin và thậm chí là mã hóa dữ liệu để tống tiền.

Các biến thể virus đào tiền ảo vừa được Trend Micro phát hiện và công bố vào ngày 28/3.

Bên cạnh các dịch vụ quảng cáo trực tuyến, tin tặc còn lợi dụng lỗ hổng SMB để phát tán virus trên diện rộng. Lỗ hổng SMB từng bị khai thác bởi mã độc WannaCry, lây nhiễm hơn 300.000 máy tính chỉ trong vài giờ. Theo thống kê, có tới hơn một nửa số máy tính tại Việt Nam tồn tại lỗ hổng này.

Theo dự đoán đầu năm từ Trend Micro, mã độc tống tiền sẽ tích hợp thêm công cụ đào tiền ảo đang phát triển mạnh trên toàn thế giới. Gần đây nhất là việc phát hiện ra biến thể của mã độc WannaCry với tên gọi Black Ruby tấn công, mã hóa thiết bị máy tính người dùng kèm theo các phần mềm độc hại đào tiền ảo. Hiện tại, vẫn chưa tìm ra cách giải mã Black Ruby vì mức độ mã hóa phức tạp.

Ông Cao Quốc Thịnh – CEO của Công ty Đỉnh Thái Phong, nhà phân phối Trend Micro tại Việt Nam cho biết: “Tình trạng diễn biến của các loại mã độc tống tiền và virus đào tiền ảo hiện nay rất phức tạp. Tiền mã hóa là nguồn lợi vô cùng hấp dẫn với những kẻ tấn công. Trend Micro đang cố gắng tăng cường hơn nữa các biện pháp bảo vệ người dùng trước tình hình biến thể virus đang ngày càng trở nên nguy hiểm”.

Các chuyên gia từ Trend Micro khuyến cáo người dùng cần cập nhật ngay bản vá lỗi mới nhất cho hệ điều hành, cũng như nâng cấp Trend Micro Security phiên bản 12 và thiết lập bảo vệ ở mức độ cao.

Cần làm gì khi máy tính bị nhiễm virus đào tiền ảo?

Nếu người dùng nghi ngờ thiết bị lây nhiễm virus đào tiền ảo này, có thể thực hiện các biện pháp sau đây:
Bước 1: Trước khi thực hiện bất kì thao tác quét nào, người dùng Windows XP, Vista và Windows 7 phải vô hiệu hóa “System Restore” đầu tiên để có thể quét toàn bộ máy tính.

Bước 2: Lưu ý rằng quá trình cài đặt hoặc hệ điều hành khác nhau sẽ dẫn đến một số tệp tin, mục, thư mục hoặc “registry key” không giống nhau. Nếu người dùng không tìm thấy những mục này trong máy tính, hãy thực hiện các bước tiếp theo.

Bước 3: Tìm và xóa file virus Coinminer dưới định dạng COINMINER_MALXMR.AB-WIN64.

–        Windows Task Manager có thể sẽ không hiển thị toàn bộ các ứng dụng đang chạy. Trong trường hợp này, người dùng có thể sử dụng một ứng dụng theo dõi hoạt động khác từ bên thứ ba như Process Explorer để phát hiện các tệp tin chứa mã độc. Người dùng có thể tải về Process Explorer tại đây.

–        Trong trường hợp Windows Task Manager và Process Explorer đều hiển thị nhưng không thể thực thiện thao tác xóa chúng, người dùng nên khởi động lại máy ở chế độ Safe Mode.

–        Trong trường hợp Windows Task Manager và Process Explorer không hiển thị tệp tin này, người dùng nên thực hiện bước tiếp theo.

Bước 4: Xóa “Registry Value”.

Lưu ý: Nếu không cẩn thận trong việc chỉnh sửa “Registry” của Windows, người dùng có thể sẽ gặp sự cố hệ thống và không thể khôi phục lại được. Trend Micro khuyên rằng chỉ nên thực hiện bước này khi bạn người dùng biết làm thế nào hoặc yêu cầu hỗ trợ từ quản trị viên của hệ thống. Người dùng có thể tham khảo trước bài viết này từ Microsoft nếu muốn tiếp tục thực hiện chỉnh sửa “Registry”.

Truy cập theo đường dẫn:

·       Trong HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run

XMRRUN = “%SystemRoot%\Windows\SysWOW64\audiodig.exe –c%SystemRoot%\Windows\SysWOW64\audiodig”

·       Trong HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Wextract_cleanup0 = “rundll32.exe%System%\advpack.dll,DelNodeRunDLL32”%User Temp%\IXP000.TMP\””

Bước 5: Tìm và xóa những tệp tin dưới đây

Lưu ý: Người dùng nên bật tính năng “Search Hidden Files and Folders” trong mục “More Avanced Options” để chắc chắn rằng những tệp tin dưới đây không bị ẩn khi tìm kiếm.

·        %User Temp%\IXP000.TMP\TMP{random}.TMP

·        %User Temp%\IXP000.TMP\audiodig

·        %User Temp%\IXP000.TMP\audiodig.exe

·        %User Temp%\IXP000.TMP\audiodig.reg

·        %User Temp%\IXP000.TMP\init.bat

·        %System Root%\SysWOW64\audiodig

·        %System Root%\SysWOW64\audiodig.exe

·        %System Root%\SysWOW64\audiodig.reg

·        %System Root%\SysWOW64\init.bat

Bước 6: Sử dụng Trend Micro Security để phát hiện và xóa các tệp tin có định dạng như COINMINER_MALXMR.AB-WIN64. Khi các tệp trên đã được phát hiện, cách li, làm sạch hoặc xóa bỏ bởi Trend Micro Security, người dùng không cần phải thực hiện thêm bất kì thao tác nào tiếp theo mà chỉ cần xóa đi những dữ liệu này.

Như Quỳnh (theo Trend Micro)