Hãy cùng CyStack khám phá những kiến thức và kỹ năng tổng quan nhất về ransomware qua bài viết dưới đây .
Ransomware (mã độc tống tiền) là nỗi lo của nhiều tổ chức, cá nhân.=> Bệnh viện ở Đức bị tiến công Ransomware khiến một bệnh nhân thiệt mạng
Mục lục nội dung
1. Ransomware là gì?
1.1. Mã độc tống tiền Ransomware
Ransomware là một dạng phần mềm độc hại chuyên mã hóa dữ liệu hoặc khóa quyền truy cập thiết bị của người dùng. Để được trả lại quyền truy cập thiết bị hoặc dữ liệu, người dùng phải trả cho hacker một khoản tiền nhất định, gọi là tiền chuộc. Ransomware còn được biết đến với cái tên phần mềm tống tiền hay mã độc tống tiền.
Mức tiền chuộc thường thì rơi vào khoảng chừng USD 150 – $ 500 cho máy tính cá thể. Đối với những tổ chức triển khai, doanh nghiệp thì hoàn toàn có thể lên đến hàng ngàn đô. Hacker đa phần nhu yếu nạn nhân trả tiền chuộc bằng bitcoin hoặc chuyển khoản qua ngân hàng. Trong vài năm gần đây, những kẻ phát tán ransomware ưa thích thanh toán giao dịch tiền chuộc bằng bitcoin vì tính bảo mật thông tin cao và khó để truy lùng dấu vết .
>> Lịch sử và thống kê về mã độc tống tiền Ransomware
1.2. Virus vs. Ransomware: giống hay khác?
Virus máy tính là một khái niệm quen thuộc với người Việt. Cũng chính vì lẽ đó, mà nhiều người gọi chung tổng thể những phần mềm ô nhiễm là virus, gồm có cả ransomware. Thực tế, chúng là 2 khái niệm trọn vẹn khác nhau .
Virus và Ransomware đều là phần mềm ô nhiễm ( hay còn gọi là mã độc, tiếng Anh là ‘ malware ’ ). Virus là thuật ngữ chỉ những malware có năng lực phát tán và lây lan cực kỳ nhanh, đến hơn cả không hề trấn áp nổi .
Trong khi đó, Ransomware là những phần mềm được phong cách thiết kế với mục tiêu “ tống tiền nạn nhân ”. Thông thường, để phát tán ransomware, kẻ xấu cần sử dụng những phương pháp lừa đảo phishing để dụ người dùng “ cắn câu ” .
>> [ Infographic ] Tổng hợp những loại mã độc thông dụng
Do 2 đặc tính khác nhau kể trên, chỉ một số ít rất ít phần mềm ô nhiễm được xét vào loại Virus Ransomware. Thuật ngữ Virus Ransomware được sử dụng để chỉ những phần mềm tống tiền có vận tốc lây lan “ đặc biệt quan trọng kinh khủng ”. Nổi bật trong đó là virus ransomware có tên WannaCry .
2. Ransomware xâm nhập vào máy tính như thế nào?
Máy tính của bạn sẽ có rủi ro tiềm ẩn bị nhiễm ransomware khi :
- Tìm và sử dụng các phần mềm crack, không rõ nguồn gốc
- Click vào file đính kèm trong email (thường là file word, PDF)
- Click vào các quảng cáo chứa mã độc tống tiền
- Truy cập vào website chứa nội dung đồi trụy, không lành mạnh
- Truy cập vào website giả mạo.
- Và còn nhiều cách lây nhiễm ransomware khác do tính sáng tạo của hacker được cải thiện theo thời gian.
3. Phân loại ransomware và cách thức hoạt động
Máy tính người dùng thường bị nhiễm ransomware chỉ ngay sau một thao tác nhỏ mà chính họ cũng không chú ý. Hacker tạo cho những file chứa mã độc tống tiền một vẻ bên ngoài vô hại, giống như một file word, excel hay PDF. Tuy nhiên, trong thực tiễn thì đây lại là những file thực thi mã (. exe ). Một khi người dùng click vào chúng, những file này sẽ ngay lập tức chạy ngầm trên nền máy tính .
Dựa vào 1 số ít điểm khác nhau trong phương pháp hoạt động giải trí, hoàn toàn có thể chia ransomware thành 3 loại chính : Encrypting, Non-encrypting, Leakware. Tuy nhiên lúc bấy giờ ransomware đã theo kịp vận tốc tăng trưởng của công nghệ tiên tiến và Open thêm những chủng ransomware trên mobile ( Android và iOS ), ransomware trong IoT hay thậm chí còn máy ảnh DSLR cũng hoàn toàn có thể bị lây nhiễm phần mềm ô nhiễm này .
3.1. Ransomware mã hóa (Encrypting)
Encrypting Ransomware là loại phần mềm tống tiền phổ cập nhất, chúng mã hóa dữ liệu ( tệp tin và thư mục ) của người dùng. Tên khác của Encrypting Ransomware là Crypto Ransomware .
Sau khi xâm nhập vào máy tính của bạn, chúng sẽ bí mật liên kết với server của kẻ tiến công, tạo ra hai chìa khóa – một khóa công khai minh bạch để mã hóa những file của bạn, một khóa riêng do server của hacker nắm giữ, dùng để giải thuật. Các file này sẽ bị đổi đuôi thành những định dạng nhất định và báo lỗi khi người dùng nỗ lực mở .
Thông báo máy tính bị hack từ Encrypting Ransomware.
Sau khi mã hóa file, crypto ransomware sẽ hiển thị một thông báo trên máy tính của bạn, thông báo về việc bạn đã bị tấn công và phải trả tiền chuộc cho chúng. Trong một vài trường hợp, kẻ tấn công còn tạo thêm áp lực bằng cách đòi hỏi nạn nhân phải trả tiền trong thời hạn nhất định. Sau thời hạn đó, khóa giải mã file sẽ bị phá hủy hoặc mức tiền chuộc sẽ tăng lên.
3.2. Ransomware không mã hóa (Non-encrypting)
Non-encrypting ransomware ( hay còn gọi là Locker ) là loại phần mềm không mã hóa file của nạn nhân. Tuy nhiên, nó khóa và chặn người dùng khỏi thiết bị. Nạn nhân sẽ không hề triển khai được bất kể thao tác nào trên máy tính ( ngoại trừ việc bật – tắt màn hình hiển thị ). Trên màn hình hiển thị cũng sẽ Open hướng dẫn cụ thể về cách giao dịch thanh toán tiền chuộc để người dùng hoàn toàn có thể truy vấn lại và sử dụng thiết bị của mình .
Reveton (một loại locker ransomware) giả mạo cảnh sát, cáo buộc người dùng truy cập thông tin phạm pháp để đòi tiền chuộc
3.3. Leakware (Doxware)
Một số loại ransomware rình rập đe dọa công khai minh bạch tài liệu của nạn nhân lên mạng nếu không chịu trả tiền chuộc. Nhiều người có thói quen tàng trữ những file nhạy cảm hoặc ảnh cá thể ở máy tính nên sẽ không tránh khỏi việc hoảng sợ, nỗ lực trả tiền chuộc cho hacker. Loại ransonware này thường được gọi là leakware hoặc doxware .
3.4. Mobile ransomware
Với sự thông dụng của smartphone và khuynh hướng sử dụng điện thoại di động liên tục hơn diễn ra trên toàn thế giới, ransomware đã Open trên mobile. Thông thường, Mobile Ransomware Open dưới dạng phần mềm chặn người dùng khỏi việc truy vấn tài liệu ( loại non-encrypting ) thay vì mã hóa dữ liệu. Bởi vì tài liệu trên mobile hoàn toàn có thể thuận tiện Phục hồi trải qua đồng điệu hóa trực tuyến ( trực tuyến sync ) .
Mobile ransomware thường nhắm vào nền tảng Android, vì hệ quản lý này cấp quyền “ Cài đặt ứng dụng ” cho bên thứ ba. Khi người dùng thiết lập file. APK chứa mobile ransomware, sẽ có 2 ngữ cảnh hoàn toàn có thể xảy ra :
- Chúng sẽ hiển thị pop-up (tin thông báo) chặn không cho người dùng truy cập vào tất cả các ứng dụng khác.
- Sử dụng hình thức “bắt buộc nhấp chuột” (clickjacking) để khiến người dùng vô tình cấp quyền quản trị thiết bị. Khi đó, mobile ransomware sẽ truy cập sâu hơn vào hệ thống và thực hiện các hình thức vi phạm khác.
Đối với hệ điều hành quản lý iOS, kẻ tiến công cần vận dụng những giải pháp phức tạp hơn, ví dụ điển hình như khai thác thông tin tài khoản iCloud và sử dụng tính năng “ Find my iPhone ” để khóa quyền truy vấn vào thiết bị .
3.5. Ransomware xuất hiện trong IoT và máy ảnh DSLR
Gần đây, những chuyên viên bảo mật an ninh mạng đã chứng tỏ rằng ransomware cũng hoàn toàn có thể nhắm tiềm năng những kiến trúc ARM. Cũng như hoàn toàn có thể được tìm thấy trong những thiết bị Internet-of-Things ( IoT ) khác nhau, ví dụ điển hình như những thiết bị IoT công nghiệp .
Vào tháng 8 năm 2019, những nhà nghiên cứu đã chứng tỏ rằng hoàn toàn có thể lây nhiễm máy ảnh DSLR bằng ransomware. Các máy ảnh kỹ thuật số thường sử dụng Giao thức truyền hình ảnh PTP ( Picture Transfer Protocol – giao thức chuẩn được sử dụng để truyền ảnh ). Các nhà nghiên cứu nhận thấy rằng hoàn toàn có thể khai thác lỗ hổng trong giao thức để lây nhiễm máy ảnh tiềm năng bằng ransomware ( hoặc thực thi bất kể mã tùy ý nào ). Cuộc tiến công này đã được thử nghiệm tại hội nghị bảo mật thông tin Defcon ở Las Vegas hồi tháng 8 năm nay .
4. Những vụ tấn công ransomware nổi tiếng
4.1. WannaCry
WannaCry chắc rằng không còn là một cái tên lạ lẫm với những ai chăm sóc đến công nghệ tiên tiến và bảo mật thông tin. Năm 2017, mã độc này đã hoành hành với quy mô cực lớn – 250.000 máy tính tại 116 vương quốc, trong đó có Nước Ta .
WannaCry được nhìn nhận là “ vụ tiến công ransomware kinh điển nhất trong lịch sử vẻ vang ” cho đến năm 2017, ước tính tổng thiệt hại lên đến hàng trăm triệu đến hàng tỉ USD. Mã độc này tận dụng một lỗ hổng trong giao thức SMB của hệ quản lý và điều hành Microsoft Windows để tự động hóa lan rộng ra những máy tính khác trong cùng mạng lưới .
Chỉ trong 4 ngày, WannaCry đã lan rộng trong 116 nước với hơn 250.000 mã độc được phát hiện. Tại châu Âu, những tổ chức triển khai cơ quan chính phủ, doanh nghiệp lớn như FedEx, Hệ thống Thương Mại Dịch Vụ Y tế Quốc gia Anh và Bộ Nội vụ Nga đều đã gánh chịu hậu quả không nhỏ từ loại ransomware này .
Vài tháng sau vụ tấn công, chính phủ Mỹ đã chính thức buộc tội Triều Tiên là quốc gia đứng sau các vụ tấn công WannaCry. Ngay cả chính phủ Anh và Microsoft cũng có suy đoán tương tự.
>> Phát hành công cụ giải thuật WannaCry không tính tiền
4.2. GandCrab
GandCrab là mã độc tống tiền được phát hiện vào cuối tháng 1/2018. Mã độc này được phát tán qua những quảng cáo dẫn tới trang đích chứa mã độc hoặc lây nhiễm qua email. Để trả tiền chuộc, người dùng phải cài trình duyệt Tor, giao dịch thanh toán bằng tiền điện tử Dash hoặc Bitcoin, với giá trị khoảng chừng USD 200 – $ 1200 tùy theo số lượng file bị mã hóa .
GandCrab 5.0.4
Theo thống kê của Bkav, vào thời gian cuối năm 2018, tại Nước Ta đã có 3.900 trường hợp máy tính bị ransomware này mã hóa dữ liệu tống tiền. Hacker cũng liên tục nâng cấp cải tiến tăng cấp qua 4 thế hệ với độ phức tạp ngày càng cao .
>> [ Miễn phí ] Công cụ giải thuật GandCrab Ransomware mọi phiên bản
4.3. Bad Rabbit
Bad Rabbit là một ransomware đã gây nên đợt tiến công an ninh mạng lớn thứ 3 kể từ đầu 2017 sau WannaCry và NotPetya. Ransomware này đã hoành hành ở nhiều vương quốc Đông Âu, trong đó có cả những đơn vị chức năng cơ quan chính phủ và doanh nghiệp với vận tốc Viral rất nhanh. Các nạn nhân của Bad Rabbit hoàn toàn có thể kể đến trường bay Odessa ở Thổ Nhĩ Kỳ, mạng lưới hệ thống tàu điện ngầm Kiev ở Ukraine, Bộ giao thông vận tải Ukraine và 3 tờ báo của Nga .
Thông báo cập nhật Adobe Flash giả mạo trên một trang web đã bị hack
Bad Rabbit được phát tán trải qua một nhu yếu update Adobe Flash trá hình. Ransomware này dụ người dùng truy vấn vào những website đã bị hack để tải về file thiết lập Adobe Flash. Đối với người dùng Internet, những thông tin như vậy không còn quá lạ lẫm. Vậy nên, nếu không cẩn trọng sẽ rất dễ mắc bẫy .
4.4. NotPetya
NotPetya cũng tận dụng lỗ hổng của Microsoft tương tự như như WannaCry. Kể từ khi Open, ransomware này đã lan rộng trên nhiều website của Ukraine, châu Âu, … Chúng hoàn toàn có thể lây lan từ máy tính này sang máy tính khác, từ mạng này sang mạng khác mà không cần trải qua thao tác của người dùng. Đặc biệt, Not Petya không chỉ mã hóa những file tài liệu thường thì, chúng tàn phá ổ cứng của máy nạn nhân đến mức không hề Phục hồi dù nạn nhân có trả tiền chuộc hay không .
Nhiều chuyên viên đã hoài nghi cuộc tiến công nhắm vào cơ quan chính phủ Ukraine này đứng sau bởi chính phủ nước nhà Nga .
4.5. Một số vụ khác
Ngoài những ransomware kể trên, còn có một vài vụ tiến công tống tiền bằng phần mềm khá nổi tiếng trên quốc tế như Reveton ( 2012 ), CryptoLocker ( 2013 ), CryptoWall ( năm trước ), TorrentLocker ( năm trước ), Fusob ( năm ngoái ), SamSam ( năm nay ). Số tiền thiệt hại mà những phần mềm này gây ra lên tới hàng triệu USD trên toàn thế giới .
5. Những ai có thể trở thành nạn nhân của ransomware?
5.1. Doanh nghiệp
Các doanh nghiệp là tiềm năng số 1 của phần mềm tống tiền. Không quá bất ngờ khi hacker chọn những doanh nghiệp đang tăng trưởng nhưng có mạng lưới hệ thống bảo mật thông tin lỏng lẻo để tiến công ransomware. Những công ty này có kinh tế tài chính tốt, và thường sẽ chi trả cho hacker khi đứng trước những lời rình rập đe dọa xóa hoặc mã hóa dữ liệu người mua .
5.2. Tổ chức y tế – chính phủ – giáo dục
Bên cạnh đó, một số ít tổ chức triển khai cũng hoàn toàn có thể trở thành đối tượng người tiêu dùng bị tiến công vì hacker cho rằng họ có năng lực sẽ trả tiền chuộc trong thời hạn ngắn. Ví dụ như những cơ quan cơ quan chính phủ hay những cơ sở, dịch vụ y tế – những đơn vị chức năng phải liên tục truy vấn vào cơ sở tài liệu. Các công ty luật hoặc những tổ chức triển khai chiếm hữu nhiều tài liệu nhạy cảm cũng sẽ sẵn sàng chuẩn bị bỏ tiền ra để kẻ tiến công giữ yên lặng .
tin tặc cũng hoàn toàn có thể nhắm đến những trường ĐH vì những đơn vị chức năng này thường có đội ngũ bảo mật thông tin nhỏ, trong khi lại chiếm hữu một nền tảng thông tin người dùng lớn .
5.3. Cá nhân
Bên cạnh những tổ chức triển khai, những chiến dịch tống tiền bằng phần mềm ô nhiễm cũng nhắm tới cá thể. Đã có nhiều vụ tiến công ransomware nhắm tới những người mà kẻ xấu tin là có tiền, những CEO – Founder – Manager của những công ty, tập đoàn lớn lớn .
Tuy nhiên, điều đó không có nghĩa là những cá thể thông thường sử dụng Internet thì không có rủi ro tiềm ẩn bị tiến công bởi ransomware. Trên thực tiễn, bất kể ai cũng hoàn toàn có thể trở thành nạn nhân của ransomware. Bởi lúc bấy giờ có rất nhiều loại ransomware hoàn toàn có thể tự động hóa lan rộng khắp Internet. Chỉ một cú click đơn thuần cũng hoàn toàn có thể làm “ tê liệt ” máy tính người dùng .
6. Cách xử lý khi máy tính nhiễm ransomware
6.1. Có nên trả tiền chuộc?
Mục đích quan trọng nhất của hacker khi cài mã độc vào máy tính của bạn đơn thuần là tiền. Bạn càng bồn chồn và trả tiền càng nhanh, chúng sẽ lại càng lộng hành. Không chỉ vậy, bạn đang đương đầu với một kẻ lừa đảo, và đây không phải một vụ trao đổi công minh. Trả tiền chuộc cho chúng sẽ không hề bảo vệ được việc bạn có lấy lại được tài liệu hay không. Chính thế cho nên, những chuyên viên bảo mật an ninh mạng và chính quyền sở tại khuyến nghị không nên trả tiền chuộc cho hacker .
Khi bị nhiễm mã độc tống tiền, không nên hấp tấp vội vàng trả tiền chuộc cho hacker vì những nguyên do : thứ nhất, dù có trả cũng không bảo vệ tài liệu sẽ bảo đảm an toàn. Thứ hai, đôi lúc người dùng bị nhiễm ransomware đã có bộ giải thuật. Bạn cần liên hệ ngay với những chuyên viên An ninh mạng để có giải pháp xử lí ít tốn kém nhất .Ông Nguyễn Hữu Trung – Giám đốc công nghệ, CyStack Security.
6.2. Gỡ bỏ ransomware khỏi máy tính như thế nào?
Nếu máy tính của bạn đang liên kết với mạng chung của công ty, việc tiên phong bạn cần làm là ngắt liên kết mạng từ thiết bị của mình để mã độc không Viral rộng ra nhiều thiết bị khác trên cùng network .
Nếu máy tính của bạn không bị khóa mà chỉ có tài liệu bị mã hóa, bạn hoàn toàn có thể tìm hiểu thêm hướng dẫn chi tiết cụ thể cách gỡ bỏ ransomware tại đây. Các bước gồm có : bật chính sách Safe Mode, chạy phần mềm antivirus để vô hiệu ransomware, hoặc gỡ bỏ bằng tay thủ công .
Nếu máy tính của bạn đã bị khóa, quy trình gỡ bỏ ransomware sẽ phức tạp hơn. Bạn hoàn toàn có thể tìm hiểu thêm hướng dẫn gỡ bỏ CryptoLocker tại đây. Tuy nhiên, nếu không có trình độ về máy tính, hãy nhờ một ai đó có hiểu biết hơn hoặc sử dụng những dịch vụ bảo mật thông tin bên ngoài .
6.3. Có thể khôi phục dữ liệu được không?
Đối với những loại ransomware nổi tiếng mà nhiều người đã bị nhiễm, 1 số ít chuyên viên đã tăng trưởng những chương trình vô hiệu ransomware và Phục hồi tài liệu cho người dùng. Những chương trình này yên cầu trình độ trình độ nhất định về máy tính. Nếu chăm sóc, bạn hoàn toàn có thể tìm hiểu thêm No More Ransom, Free Ransom Decryptors .
Tuy nhiên, thủ đoạn của hacker ngày càng phức tạp, phương pháp hoạt động giải trí của những loại ransomware cũng không hề lường trước được. Khi một loại ransomware mới bị phát tán, hầu hết những trường hợp bị nhiễm đều không hề Phục hồi tài liệu. Chính thế cho nên, điều quan trọng nhất là bạn cần trang bị kiến thức và kỹ năng phòng chống ransomware ngay ngày hôm nay, để không gặp phải những trường hợp đáng tiếc .
7. Cách phòng chống ransomware hiệu quả
7.1. Sao lưu dữ liệu
Trước tiên, cần phải tiếp tục sao lưu dữ liệu trong máy tính. Đối với lượng tài liệu cần sao lưu lớn, ổ cứng tách rời là một lựa chọn tương thích. Đối với lượng tài liệu cần sao lưu dưới 50GB, bạn hoàn toàn có thể khởi đầu với những dịch vụ tàng trữ tài liệu trên đám mây như Dropbox, Google Drive, Mega hoặc One Drive. Nếu mỗi ngày bạn đều thao tác với những tài liệu quan trọng thì nên thực thi backup tài liệu hàng ngày. Trong trường hợp máy tính bị tiến công, điều này sẽ giúp bạn không cần lo ngại về việc tài liệu bị hủy hoại .
7.2. Thường xuyên cập nhật phần mềm
Các bản cập nhật của phần mềm sẽ thường được vá lỗi bảo mật còn tồn tại trong phiên bản cũ, bảo vệ an toàn thông tin cho người dùng hơn. Bạn nên đặc biệt chú ý cập nhật thường xuyên các chương trình như trình duyệt, Flash, Java.
Ngoài ra, anti-virus cũng là một trong những chương trình quan trọng bạn nên để tâm đến. Nếu máy tính của bạn chưa có phần mềm diệt virus thì hãy thiết lập càng sớm càng tốt. Kaspersky, Norton, McAfee, ESET hoặc Windows Defender – giải pháp phòng chống virus mặc định của Windows đều là những chương trình bạn hoàn toàn có thể tin yêu. Nếu đã setup, hãy tiếp tục update phiên bản mới nhất của phần mềm. Phần mềm diệt virus sẽ giúp phát hiện những tệp ô nhiễm như ransomware, đồng thời ngăn ngừa hoạt động giải trí của những ứng dụng không rõ nguồn gốc trong máy tính của bạn .
7.3. Cẩn thận với link hoặc file lạ
Đây là phương pháp lừa đảo khá thông dụng của hacker : Gửi email hoặc gửi tin nhắn qua Facebook, đính kèm link tải về và nói rằng đó là file quan trọng hoặc chứa nội dung mê hoặc với tiềm năng. Khi tải về, file thường nằm ở dạng. docx ,. xlxs ,. pptx hoặc. pdf, nhưng thực ra đó là file. exe ( chương trình hoàn toàn có thể chạy được ). Ngay lúc người dùng click mở file, mã độc sẽ mở màn hoạt động giải trí .
Chính vì thế, trước khi click tải về về máy, nên kiểm tra kĩ mức độ an toàn và đáng tin cậy của địa chỉ người gửi, nội dung email, tin nhắn, … Nếu tải về về rồi, hãy xem kĩ đuôi file là gì, hoặc sử dụng Word, Excel, PowerPoint, … để mở file thay vì click trực tiếp. Nếu là file. exe giả dạng thì phần mềm sẽ báo lỗi không mở được .
Source: https://blogchiase247.net
Category: Hỏi Đáp
