Hướng dẫn loại bỏ mã độc đào tiền trên máy tính đã lây nhiễm

Mã độc đào tiền lây lan qua tin nhắn Facebook Messenger xuất hiện từ ngày 18/12 và tới nay vẫn chưa có dấu hiệu dừng lại. Các chuyên gia bảo mật tại Việt Nam cho biết mã độc này cài một tiện ích mở rộng lên trình duyệt Chrome, không đánh cắp thông tin mà lén cài công cụ đào tiền ảo lên máy nạn nhân, sử dụng phần cứng của thiết bị để làm lợi cho kẻ đứng sau phát tán.

Ông Vũ Ngọc Sơn, Phó chủ tịch phụ trách mảng Chống mã độc - Anti Malware của Bkav cho biết: "Mục đích phát tán của mã độc là chiếm quyền điều khiển máy tính, lợi dụng thiết bị để đào tiền ảo, khiến máy tính của nạn nhân luôn trong tình trạng giật lag và gần như không thể sử dụng được".

Ông nhận định, mã độc phát tán qua Facebook Messenger nguy hiểm bởi cách lây lan, qua đó đối tượng xấu có thể có danh sách bạn bè của nhiều người để tiếp tục gửi các tin nhắn giả mạo có chứa file mã độc tới người khác để tiếp tục mở rộng phạm vi.

Các chuyên gia của Công ty an toàn thông tin mạng CyRadar khuyến cáo một số biện pháp cụ thể để người dùng xử lý loại mã độc này trên máy tính cá nhân.

Để kiểm tra liệu máy mình có nhiễm loại mã độc đào tiền mới xuất hiện hay không, người dùng mở thẻ (tab) mới trên trình duyệt Chrome của máy, nhập chrome://extensions/ vào thanh địa chỉ và nhấn Enter để chạy. Nếu thẻ này tự động đóng, đồng nghĩa thiết vị đã nhiễm mã độc.

Khi đó, người dùng cần tắt Chrome, vào phần Start Menu (biểu tượng Windows ở góc dưới, bên trái màn hình, hoặc bấm nút Windows trên bàn phím), gõ run để hiện ra một bảng thông tin nhỏ. Tại đây gõ %APPDATA% rồi vào thư mục trùng tên với tên người dùng (User) trên máy, sau đó xóa toàn bộ thư mục này rồi khởi động lại máy.

Cách này sẽ xóa các tệp tin độc hại lén cài vào máy, bao gồm cả tiện ích mở rộng. Tuy nhiên, việc làm trên sẽ khiến Chrome báo lỗi nếu mở từ Shortcut (dùng để mở trình duyệt Chrome). Để khắc phục, người dùng bấm chuột phải vào shortcut > Properties > xóa đoạn “--enable-automation --disable-infobars --load-extension=” trong ô Target > OK.

Phương thức lan rộng của mã này không mới, nhưng đánh vào tâm lý tò mò. Theo đó, người dùng sẽ nhận được các tên tin có tựa đề "video_XXXX.zip" (XXXX là 4 chữ số ngẫu nhiên) gửi qua trình nhắn tin Messenger của Facebook. Đây đều là các tin nhắn từ những người bạn trong danh sách Bạn bè trên Facebook nên đa phần người dùng không nghi ngờ mà tải tệp tin trên về.

Nếu chỉ tải về máy và bỏ đấy, thiết bị vẫn an toàn, tuy nhiên nhiều người sẽ có xu hướng mở file ra để xem nội dung được gửi và động thái này đã "mở cửa" an ninh của máy tính để mã độc bắt đầu tấn công thiết bị.Mã độc được viết bằng ngôn ngữ AutoIT với các hàm chính đã làm rối để người phân tích khó có thể biết được chức năng của nó.