Cách xử lý mã độc "đào tiền mã hóa chùa" lây lan nhanh qua Facebook

Từ ngày hôm qua 18/12, xuất hiện một loại mã độc mới lây lan rất nhanh qua Facebook Messenger, chúng được phát tán thông qua tập tin Zip gửi dưới dạng tin nhắn Facebook Messenger. Tên tập tin thường có dạng "video_ + 4 số ngẫu nhiên", nếu gặp ai đó gửi tin nhắn cho bạn có tập tin như vậy, đừng mở ra nhé!

Loại mã độc này được viết bằng ngôn ngữ AutoIT, các hàm chính đã được làm rối để khó phân tích. Sau khi máy tính bị lây nhiễm, chúng sẽ lợi dụng để đào các loại tiền mã hóa, khiến cho máy tính luôn trong tình trạng giật lag mà không hiểu tại sao.

Cách hoạt động của mã độc này như nào?

Khi xâm nhập vào máy tính, mã độc sẽ lấy và gửi thông tin về máy đến địa chỉ hxxp://ojoku.bigih.bid/api/cherry/login.php.

Tiếp theo, mã độc thực hiện tải và cài đặt extension độc hại vào trình duyệt của người dùng. Extension này tiếp tục phát tán các tập tin mã độc giả dạng video đến bạn bè của người lây nhiễm. Sau đó, mã độc này load extension kia vào các thư mục như desktop, taskbar, program.... bằng cách ghi file Shortcut Chrome.

Cuối cùng mã độc sẽ khởi động lại Chrome để extension hoạt động và phát tán thêm một loại mã độc khác dùng để đào các loại tiền mã hoá là “Coin Minner”.

Cách ngăn chặn mã độc "đào tiền mã hóa"

Nếu lỡ click nhầm vào tập tin mã độc, bạn nhanh chóng tiến hành sửa tập tin Hosts trên máy tính của mình và thêm vào các dòng sau:

127.0.0.1 ojoku.bigih.bid
127.0.0.1 plugin.ojoku.bigih.bid

Nếu ai chưa biết cách vào file Host trên máy tính của mình thì tham khảo bài viết sau:

• Cách mở, chỉnh sửa file Host trên Windows 10/8/7
• Cách đọc và chỉnh sửa file Host trên Mac & Linux

Ngoài ra, ngay sau khi phát hiện máy tính của mình đã bị nhiễm mã độc, bạn cần dùng một thiết bị khác đổi ngay mật khẩu Facebook của mình, đăng thoát toàn bộ tài khoản Facebook trên máy tính nhiễm độc.

Hướng dẫn gỡ bỏ mã độc ra khỏi máy tính

Theo cách mà các chuyên gia CyRadar khuyến nghị thì bạn có thể kiểm tra xem máy tính có bị nhiễm độc không bằng cách: mở trình duyệt Chrome, nhập vào thanh địa chỉ nội dung sau: chrome://extensions/ và nhấn Enter, nếu tab này tự động bị đóng lại thì máy tính đã bị nhiễm.

Nếu bạn không thể gỡ bỏ bằng cách xóa file thông thường (hoặc không biết nhiều về công nghệ), hãy dùng một số phần mềm diệt virus chuyên dụng để "xử lý" nó trong trường hợp này. Một số phần mềm diệt virus hiện nay có thể xóa bỏ mã độc "đào tiền" này bao gồm: Avast (bản dùng thử) hoặc Kaspersky Antivirus. Trước khi tiến hành quét virus thì bạn nhớ cập nhật mẫu danh sách virus mới nhất nhé!

Tuy vậy, các phương pháp trên đây chỉ là biện pháp giải quyết khi gặp phải vấn đề về mã độc Facebook, cách ngăn chặn tốt nhất là khi nhận được bất kỳ file lạ nào từ bạn bè, người lạ bạn đừng vội click vào. Ngoài ra, bạn cũng nên tham khảo bài viết cách tránh đọc nhầm tin tức giả mạo trên Facebook để không "sập bẫy" bất kỳ chiêu lừa đảo nào.