Mã độc fileless là gì? cách xử lý khi dính mã độc fileless

Không như các cuộc tấn công thường thấy, Mã độc Fileless không cần bất kì nạn nhân phải cài đặt phần mềm hoặc cắm USB nào trên máy tính. Chúng là những đoạn script không tồn tại dưới dạng tập tin, do vậy các phần mềm diệt Virus hầu như không phát hiện được khi quét.

Trước tiên hãy tìm hiểu Mã Độc Fileless là gì?

Mã độc fileless thực chất chỉ là đoạn Script được các Hacker viết nhằm mục đích tranh được sự truy quét của những phần mềm diệt Virus trên thị trường hiện nay. Bởi vì không có tập tin trực tiếp nên điều đó khiến các phần mềm diệt Virus không thể nhận diện.

Ma-doc-fileless-la-gi-1

Mã độc fileless là thủ đoạn mới của những tội phạm công nghệ.

Như hàng trăm loại Malware khác, mã độc Fileless khi xâm nhập vào máy tính cũng sẽ tiến hành mã hóa các dữ liệu quan trọng trong máy tính của nạn nhân. Sau đó chúng sẽ phát đi thông điệp đòi tiền chuộc. Thậm chí, đã từng có trường hợp mã fileless được các Hacker sử dụng cho mục đích đánh cắp tiền khi xâm nhập thành công vào hệ thống ngân hàng.

Có nhiều trường hợp cho biết, nạn nhân không hề cắm USB hay thiết bị ngoại vi nào khác trên máy tính. Nhưng mã fileless được phát hiện có thể nằm ở một trang web bất kì hoặc chúng có thể nằm ở một email giả mạo. Chỉ với 1 click tải về nạn nhân đã bị chúng kiểm soát hoàn toàn hệ thống máy tính.

Cách thức tấn công của mã độc fileless

Thay vì trực tiếp tải các tệp độc hại xuống hoặc ghi nội dung vào ổ cứng, những kẻ tấn công bằng mã độc fileless sẽ khai thác lỗ hổng từ những ứng dụng sau đó đoạn Script sẽ chạy trực tiếp trên RAM của máy tính nạn nhân.

Ma-doc-fileless-la-gi-2

Cách thức mã độc Fileless tấn công.

Theo các chuyên gia phân tích, hầu hết các loại mã độc fileless đều sử dụng các ứng dụng văn phòng như notepad, notepad++ v.v..  hoặc các công cụ quản trị tại máy tính nạn nhân như Powershell hoặc WMI (Windows Management Instrumentation) để chạy đoạn Script và tải mã độc trực tiếp vào RAM.

Đúng với phong cách của các Hacker, chúng luôn muốn có cách tiếp cận người dùng một cách âm thầm lặng lẽ mà không bị phát hiện ra ngay lập tức. Và không thể không nói rằng mã độc Fileless là vũ khí tối thượng của chúng. Khi nằm yên trong máy tính nạn nhân, chúng có thể remote từ xa và thu thập dữ liệu, tất nhiên là càng nhiều càng tốt, sau đó chỉ cần ấn nút kích hoạt gần như mọi dữ liệu đó sẽ bị mã hóa. Thậm chí máy tính có thể bị treo và hiện yêu cầu đòi tiền chuộc.

Làm sao để biết máy tính nhiễm mã độc fileless?

Khi nghi ngờ máy tính bị nhiễm mã fileless, bạn cần lưu ý đến những điểm sau:

1. Máy tính hoạt động rất chậm:

Điều này là dấu hiệu đặc trưng của mã độc Filess vì chúng chủ yếu hoạt động trên Ram của máy tính nạn nhân, do vậy nếu máy tính đột ngột bị chậm hoặc RAM chạy 100% dù bạn không mở gì và kể cả khi làm đủ mọi cách thì nên nghĩ đến nhiễm mã này nhé.

2. Nhiều quảng cáo không mong muốn xuất hiện trên màn hình:

Ma-doc-fileless-la-gi-3

Các quảng cáo thường sẽ xuất hiện tràn ngập trên màn hình, nhằm mục đích trục lợi.

Đây thông thường là dấu hiệu của các loại mã độc quảng cáo, nó gây cực kì phiền nhiễu đến việc sử dụng máy tính của người dùng. Không chỉ vậy, nếu bạn vô tình click vào bất kì quảng cáo nào, chúng sẽ hiện lên Pop-up ở nhiều cửa sổ khác nữa và có thể bạn sẽ bị nhiễm tiếp thêm mã độc khác từ những quảng cáo phía trên.

3. Xuất hiện màn hình xanh:

Ma-doc-fileless-la-gi-5

Khi RAM quá tải, hiện tượng màn hình xanh chết chóc sẽ xuất hiện.

Cũng bởi chính vì chạy trên Ram nên hiện tượng bị quá tải xuất hiện màn hình xanh cũng sẽ là một trong những dấu hiệu bạn cần lưu ý. Màn hình xanh thông thường chỉ xuất hiện khi bạn mở quá nhiều chương trình làm RAM không chịu nổi phải xuất hiện Crash.

4. Ổ đĩa thường xuyên trong tình trạng hoạt động quá mức:

Ma-doc-fileless-la-gi-6

Disk luôn luôn ở mức 100% có nghĩa tài nguyên của bạn đang bị lạm dụng.

Bạn có thể sử dụng tổ hợp phím Ctrl + Alt + Del => Task Manager => Xem ở mục Disk nếu ở đây ổ đĩa thường xuyên màu đỏ và ở 100% thì bạn nên tìm cách khắc phục. Nếu thử mọi cách vẫn không thể hạ chỉ số này xuống thì đó có thể là do bạn đã nhiễm mã độc Fileless.

5. Phần mềm diệt Virus tự động tắt:

Đây là dấu hiệu chắc chắn cho việc máy tính bạn đang nhiễm mã Fileless, bởi vì Fileless cũng có những hạn chế nhất định khi xâm nhập máy tính nạn nhân. Do vậy, hành động Turn-off phần mềm diệt Virus là động thái “mở đường” cho sự xâm nhập của hàng loạt những mã độc tống tiền khác vững chắc hơn Fileless.

Giải pháp nào cho mã độc FileLess?

Các chuyên gia bảo mật tại Trend Micro cũng đã có những lời khuyên cho người dùng cá nhân, về cơ bản khi nhiễm mã độc tống tiền thì tỉ lệ lấy lại được dữ liệu là dưới 10%. Do vậy, Trend Micro cũng khuyên bạn nên ngăn chặn trước khi điều đó xảy ra. Đây là những điều bạn nên làm:

- Hãy thường xuyên nâng cấp phiên bản mới nhất cho hệ điều hành máy tính của bạn. Khó tin nhưng khi nâng cấp bạn sẽ có hơn 80% tránh được mã độc tống tiền.

- Hãy cẩn trọng khi tải dữ liệu trực tuyến bởi nguy cơ nhiễm mã độc đều từ đây ra.

- Đặc biệt thận trọng với những Email có đính kèm file, bởi theo thống kê từ các công ty bảo mật, đa phần các mã độc fileless đều đến từ các Email cá nhân.

- Với các thiết bị ngoại vi, khi cắm vào máy tính hãy cẩn trọng nếu không cần thiết tuyệt đối không cắm bất kì thứ gì vào máy tính.

- Sử dụng phần mềm diệt Virus bản quyền, bởi khi bạn sử dụng bản có trả phí bạn sẽ luôn được sự cập nhật nhanh nhất từ nhà phát hành. Không chỉ vậy, khi gặp sự cố bạn cũng sẽ có nơi để tham khảo cách xử lý nhanh nhất. Bạn cũng sẽ có nhiều cơ hội để khôi phục dữ liệu hơn.

----------

Bạn cần tư vấn hãy liên hệ ngay với Trend Micro qua hotline 19007172, chúng tôi có cả giải pháp bảo mật cho doanh nghiệp và khách hàng cá nhân:

>>> Tham khảo ngay các giải pháp của Trend Micro:
▪ Doanh nghiệp: https://trendmicro.ctydtp.vn/doanh-nghiep
▪ Cá nhân: https://trendmicro.ctydtp.vn/ca-nhan



Tin liên quan