Các nhà phát triển của công ty phần mềm OSR vừa tung ra công cụ trình điều khiển lọc (filter driver) có tên gọi i30Flt, nhằm ứng cứu cho các máy tính Windows 10 vừa bị dính lỗi ổ đĩa NTFS bị hỏng.
Hồi đầu tháng này, nhà nghiên cứu an ninh máy tính Jonas Lykkegaard đã báo cáo về một câu lệnh có thể bị tin tặc lợi dụng để ngay lập tức phá hỏng ổ đĩa NTFS của các máy tính Windows 10. Ngay sau khi câu lệnh này được kích hoạt, các ổ đĩa có định dạng NTFS sẽ bị đánh dấu là dirty (dơ) và sau đó Windows sẽ báo lỗi màn hình xanh cho biết ổ đĩa đã bị hỏng, rồi yêu cầu khởi động lại để chạy công cụ kiểm tra ổ đĩa chkdsk và sửa lỗi.
Nhiều người dùng tin rằng, sau khi chạy chkdsk, máy tính sẽ khởi động lại bình thường. Tuy nhiên, trong nhiều trường hợp thực tế, Windows không thể khởi động lại bình thường.
Câu lệnh này có thể phá hỏng các phiên bản Windows 10 1803, Windows 10 bản cập nhật tháng 4-2018, cho đến phiên bản Windows 10 mới nhất. Tuy nhiên, các phiên bản Windows cũ hơn, kể cả Windows XP, cũng bị ảnh hưởng.
Vấn đề càng tồi tệ hơn khi câu lệnh này bị khai thác dưới rất nhiều hình thức. Nó có thể bị ẩn giấu trong các tập tin nén ZIP, các tập tin HTML… để khiến người dùng bất cẩn có thể vô tình kích hoạt nó.
Cách sửa lỗi từ phía thứ ba
Vấn đề này đã được thông báo cho Microsoft, nhưng chưa biết khi nào Microsoft mới tung ra bản vá lỗi chính thức. Do đó, công ty OSR đã sớm tung ra filter driver i30Flt.
Filter driver này sẽ giám sát các tiến trình cố gắng truy cập các luồng xử lý bắt đầu bằng “:$i30:”; và nếu phát hiện, nó sẽ chặn chúng trước khi chúng có thể kích hoạt lỗi.
Ðể cài đặt driver, người dùng tải nó về từ địa chỉ https://github.com/ OSRDrivers/ i30Flt, mở chế độ câu lệnh Elevated Command Prompt, rồi truy cập tới thư mục mà người dùng đã bung nén các tập tin. Sau đó, người dùng chạy các dòng lệnh sau để cài đặt driver:
RUNDLL32.EXE SETUPAPI.DLL,InstallHinfSection DefaultInstall 132 .\i30flt.inf
wevtutil im i30flt.man
fltmc load i30flt
Sau khi cài đặt driver, người dùng không cần thiết phải khởi động lại Windows. Cũng lưu ý rằng, người dùng không được gỡ bỏ driver này nếu Microsoft chưa sửa lỗi, vì vấn đề sẽ trở lại như cũ.
Sau khi Microsoft có bản vá lỗi, người dùng có thể gỡ bỏ filter driver bằng câu lệnh sau:
RUNDLL32.EXE SETUPAPI.DLL,InstallHinfSection DefaultUninstall 132 .\i30flt.inf
Theo nhà nghiên cứu Jonas Lykkegaard, tin tặc có thể phá hủy dữ liệu nếu lừa được người dùng kích hoạt một câu lệnh đơn giản. Câu lệnh này là cd c:\:$i30:$bitmap và nó có thể được dùng cho cả những ổ đĩa khác như D, E.
Người dùng được khuyến cáo không nên thử chạy câu lệnh này bằng Command Prompt trên máy tính. Ngoài ra, câu lệnh này cũng có thể kích hoạt nếu như bạn dán dòng lệnh c:\:$i30:$bitmap vào thanh địa chỉ trình duyệt web và nhấn Enter.
Người dùng cũng được khuyên nên cẩn thận với các tập tin và đường link đính kèm trong email hoặc tin nhắn, vì câu lệnh này có thể bị tin tặc đưa vào.
LÊ PHI (Theo Bleeping Computer)