Ransomware là gì? Biện pháp xử lý và phòng chống Ransomware

  • Saturday 04/09/2021

Ransomware là gì? Biện pháp xử lý và phòng chống Ransomware

Ransomware (mã độc tống tiền) là phần mềm gián điệp hay phần mềm tống tiền, nó là tên gọi chung của 1 dạng phần mềm độc hại – Malware, là loại mã độc vô cùng nguy hiểm, nó thực hiện mã hóa các dữ liệu cá nhân hoặc khóa quyền truy cập thiết bị của người dùng, bao gồm cả máy tính và các thiết bị di động và yêu cầu một khoản tiền chuộc nhất định để mở khóa dữ liệu trả lại quyền truy cập thiết bị hoặc dữ liệu. Hacker chủ yếu yêu cầu nạn nhân trả tiền chuộc bằng tiền điện tử hoặc chuyển khoản. Những năm gần đây, kẻ phát tán ransomware ưa thích giao dịch tiền chuộc bằng tiền điện tử vì tính bảo mật cao, ẩn danh và khó truy lùng dấu vết.


1. Ransomware là gì?

Ransomware là một dạng phần mềm độc hại (Malware), nó mã hóa ngăn chặn người dùng có thể truy cập và sử dụng dữ liệu bên trong thiết bị (máy chủ hoặc máy tính nói chung kể cả thiết bị di động). Kẻ tấn công sẽ yêu cầu một khoản tiền chuộc từ nạn nhân để khôi phục quyền truy cập dữ liệu (không phải lúc nào người dùng cũng lấy lại được dữ liệu khi thanh toán theo yêu cầu của chúng). Nếu không đáp ứng được yêu cầu về tiền hoặc thời gian thì dữ liệu có thể sẽ bị kẻ tấn công xóa.

2. Một số Ransomware đã từng xuất hiện

WannaCry (2017) còn được gọi là WannaDecryptor 2.0. Một cuộc tấn công mạng trên toàn thế giới đã lây nhiễm hơn 300.000 máy tính trong 4 ngày. WannaCry được truyền bá thông qua một kênh khai thác được gọi là EternalBlue và các hệ điều hành Microsoft Windows được nhắm mục tiêu (hầu hết các máy tính bị ảnh hưởng đang chạy Windows). Cuộc tấn công đã bị dừng lại do các bản vá lỗi khẩn cấp do Microsoft phát hành. Các chuyên gia an ninh Mỹ tuyên bố rằng Bắc Triều Tiên chịu trách nhiệm về vụ tấn công, mặc dù không có bằng chứng nào được cung cấp.

Ransomware – GrandCrab (2018) Xuất hiện lần đầu tiên vào tháng 1 năm 2018, ransomware này đã lừa đảo hơn 50.000 nạn nhân trong chưa đầy một tháng, trước khi bị tiêu diệt bởi các nhà chức trách Rumani cùng với Bitdefender và Europol (một bộ phục hồi dữ liệu miễn phí). GrandCrab được lan truyền thông qua các email phishing và malvertising và là phần mềm ransomware đầu tiên được biết đã yêu cầu thanh toán tiền chuộc bằng tiền điện tử DASH. Khoản tiền chuộc ban đầu trong khoảng từ 300 đến 1500 đô la Mỹ.

3. Ransomware xâm nhập vào thiết bị và hoạt động như thế nào?

Thiết bị của người dùng có thể bị nhiễm mã độc tống tiền khi người dùng thực hiện một trong số hành vi sau:

– Tìm và sử dụng các phần mềm crack, phầm mềm không có bản quyền, không rõ nguồn gốc.
– Mở các file hoặc đường link độc hại đính kèm trong e-mail, tin nhắn
– Click vào các quảng cáo chứa mã độc tống tiền
– Truy cập vào website chứa nội dung không lành mạnh có nhúng mã độc.

Thông dụng nhất là hình thức tấn công bằng mã độc tống tiền thực hiện thông qua các e-mail giả mạo chứa các file thực thi. Khi người dùng mở file đính kèm, mã độc được cài đặt vào máy tính của nạn nhân. Ngoài ra, hacker cũng có thể nhúng mã độc vào website, khi người dùng truy cập các website này, mã độc được cài đặt vào hệ thống.

Người dùng thường không nhận ra được về quá trình xâm nhập và lây nhiễm của mã độc vì nó hoạt động âm thầm trong nền của hệ thống (background), cho đến khi cơ chế khóa dữ liệu được kích hoạt. Sau đó một hộp thoại xuất hiện thông báo với người dùng rằng dữ liệu đã bị khóa/mã hóa và yêu cầu một khoản tiền chuộc để mở khóa/giải mã dữ liệu.

Sau khi dữ liệu trên máy tính được mã hóa người dùng sẽ bị yêu cầu chuyển một số tiền vào tài khoản được yêu cầu. Mức nhẹ thì có thể chỉ 10$, nhưng những có nhiều trường hợp phải trả hàng hàng ngàn USD hoặc phải trả qua tiền điện tử. Không có gì đảm bảo hacker sẽ giải mã dữ liệu lại cho người dùng. Vì vậy, người dùng hạn chế thực hiện các yêu cầu của Hacker, nên thường xuyên sao lưu dữ liệu cá nhân để đảm bảo an toàn.

Bất kỳ ai cũng có thể trở thành nạn nhân của mã độc tống tiền. Khi phát hiện thiết bị bị nhiễm loại mã độc này, chúng ta không nên trả tiền chuộc bởi 3 nguyên nhân chính sau đây:
– Không thể đảm bảo dữ liệu của người dùng sẽ được khôi phục thậm chí cả khi đã trả tiền chuộc.
– Nếu chúng ta trả tiền chuộc sẽ chứng minh rằng mã độc tống tiền hoạt động hiệu quả, khi đó, hacker sẽ tiếp tục thực hiện các hành động để tìm kiếm những phương thức mới nhằm khai thác hệ thống, mã hóa dữ liệu và đòi tiền chuộc.
– Một số mã độc tống tiền đã có bộ giải mã (Decryption Tool). Chúng ta có thể sử dụng các công cụ này để giải mã, khôi phục dữ liệu đã bị khóa hoặc mã hóa nhưng cơ hội vẫn là rất nhỏ.

Ví dụ: https://www.avast.com/vi-vn/ransomware-decryption-tools

4. Hạn chế Ransomware tấn công và giảm thiểu ảnh hưởng nếu bị tấn công?

Làm thế nào để hạn chế Ransomware tấn công và giảm thiểu ảnh hưởng nếu bị tấn công?

Để phòng chống và hạn chế ảnh hưởng của Ransomware liên tục tiến hóa trên Internet, người dùng nên thực hiện một số khuyến nghị sau:

– Sao lưu dữ liệu thường xuyên (có thể sử dụng dịch vụ Backup For Server, xem tại đây), cài đặt và cập nhật mới phần mềm diệt virus.
– Hạn chế click vào liên kết hoặc file đính kèm trong e-mail khi không biết rõ đó là gì. Không khởi chạy bất kỳ tập tin đáng nghi nào khi được người khác gửi cho bạn
– Không kết nối và sử dụng các mạng internet không rõ nguồn gốc.
– Sử dụng phần mềm bản quyền và luôn cập nhật các bản vá bảo mật.
– Không truy cập vào các trang web không lành mạnh để tránh bị nhiễm Ransomware được chèn trong website.
– Đưa các tài liệu quan trọng lên các dịch vụ Cloud (ví dụ như Cloud Drive30s, xem tại đây)

Ngoài ra, bạn có thể tham khảo thêm bài viết 11 bước để phòng chống ransomware tại link bên dưới
https://kb.pavietnam.vn/11-buoc-de-phong-chong-ransomware.html