Theo ghi nhận của Bkav, địa chỉ IP phát động tấn công xuất phát từ Nga, châu Âu và châu Mỹ. Hiện tại có rất nhiều cơ quan, tổ chức tại Việt Nam bị hacker tấn công, xâm nhập máy chủ, sau đó thực hiện mã hóa toàn bộ dữ liệu trên server.
Mặc dù chưa có thống kê đầy đủ, tuy nhiên, theo ước tính của Bkav, đến cuối buổi chiều ngày 14-2, số nạn nhân có thể đã lên đến hàng trăm cơ quan, tổ chức. Không giống như những lần trước đó, đợt này hacker tập trung chủ yếu vào máy chủ thay vì máy trạm.
Cụ thể, hacker sẽ rà quét server cài hệ điều hành Windows của các cơ quan, tổ chức tại Việt Nam, dò mật khẩu bằng từ điển (brute force). Nếu thành công, hacker sẽ tiến hành đăng nhập từ xa, cài mã độc mã hóa dữ liệu để tống tiền nạn nhân.
Những file dữ liệu bị mã hóa thường là văn bản, file cơ sở dữ liệu, file thực thi,… Nếu muốn lấy lại dữ liệu, bạn cần phải trả tiền chuộc cho hacker theo thỏa thuận cụ thể. Theo ghi nhận của Bkav thì mỗi máy chủ bị mã hóa dữ liệu, hacker đang để lại một email khác nhau để liên hệ.
Hiện tại, Bkav đã cập nhật mẫu nhận diện mã độc mã hóa dữ liệu W32.WeakPass vào các phiên bản phần mềm diệt virus Bkav, bao gồm cả bản miễn phí, người dùng có thể tải Bkav để quét và kiểm tra cho các máy chủ.
Tuy nhiên, để phòng chống triệt để loại tấn công này, quản trị viên nên tiến hành rà soát toàn bộ máy chủ đang quản lý, đặc biệt là các máy chủ thuộc dạng public ra ngoài Internet, cần đặt mật khẩu mạnh cho máy chủ, đồng thời tắt dịch vụ remote desktop cho máy chủ nếu không thực sự cần thiết. Trong trường hợp vẫn cần phải duy trì remote desktop, cần giới hạn quyền truy cập, cấu hình chỉ cho các IP cố định, biết trước được phép remote vào.
