Mã độc tống tiền – Ransomware và biện pháp xử lý, phòng chống

Cao Lương Mạnh Toàn 14/09/2021 46 lượt xem

 

Mã độc tống tiền (ransomware) là loại mã độc vô cùng nguy hiểm, nó thực hiện mã hóa các dữ liệu cá nhân hoặc khóa quyền truy cập thiết bị của người dùng, bao gồm cả máy tính và các thiết bị di động và yêu cầu một khoản tiền chuộc nhất định để mở khóa dữ liệu trả lại quyền truy cập thiết bị hoặc dữ liệu. Hacker chủ yếu yêu cầu nạn nhân trả tiền chuộc bằng tiền điện tử hoặc chuyển khoản. Trong vài năm gần đây, những kẻ phát tán ransomware ưa thích giao dịch tiền chuộc bằng tiền điện tử vì tính bảo mật cao, ẩn danh và khó truy lùng dấu vết.

Vậy Ransomware là gì?

Ransomware là một dạng phần mềm độc hại, nó mã hóa ngăn chặn người dùng có thể truy cập và sử dụng dữ liệu bên trong thiết bị (máy chủ hoặc máy tính nói chung kể cả thiết bị di động). Kẻ tấn công sẽ yêu cầu một khoản tiền chuộc từ nạn nhân để khôi phục quyền truy cập dữ liệu (không phải 100% lúc nào người dùng cũng lấy lại được dữ liệu khi thanh toán theo yêu cầu của kẻ tấn công). Nếu không đáp ứng được yêu cầu về tiền hoặc thời gian thì dữ liệu có thể sẽ bị kẻ tấn công xóa đi hoặc thậm chí hỏng cả thiết bị đang bị tấn công.

Ransomware – GrandCrab (2018) Xuất hiện lần đầu tiên vào tháng 1 năm 2018, ransomware này đã lừa đảo hơn 50.000 nạn nhân trong chưa đầy một tháng, trước khi bị tiêu diệt bởi các nhà chức trách Rumani cùng với Bitdefender và Europol (một bộ phục hồi dữ liệu miễn phí). GrandCrab được lan truyền thông qua các email phishing và malvertising và là phần mềm ransomware đầu tiên được biết đã yêu cầu thanh toán tiền chuộc bằng tiền điện tử DASH. Khoản tiền chuộc ban đầu trong khoảng từ 300 đến 1500 đô la Mỹ.

WannaCry (2017) Một cuộc tấn công mạng trên toàn thế giới đã lây nhiễm hơn 300.000 máy tính trong 4 ngày. WannaCry được truyền bá thông qua một kênh khai thác được gọi là EternalBlue và các hệ điều hành Microsoft Windows được nhắm mục tiêu (hầu hết các máy tính bị ảnh hưởng đang chạy Windows 7). Cuộc tấn công đã bị dừng lại do các bản vá lỗi khẩn cấp do Microsoft phát hành. Các chuyên gia an ninh Mỹ tuyên bố rằng Bắc Triều Tiên chịu trách nhiệm về vụ tấn công, mặc dù không có bằng chứng nào được cung cấp.

Mã độc tống tiền xâm nhập vào thiết bị và hoạt động như thế nào?

Thiết bị của người dùng có thể bị nhiễm mã độc tống tiền khi người dùng thực hiện một trong số hành vi sau:

  • Tìm và sử dụng các phần mềm bẻ khóa, không có bản quyền, không rõ nguồn gốc.
  • Kích vào hoặc mở các file hoặc đường link độc hại đính kèm trong e-mail
  • Kích vào các quảng cáo chứa mã độc tống tiền
  • Truy cập vào website chứa nội dung không lành mạnh có nhúng mã độc.

Điển hình và thông dụng nhất là hình thức tấn công bằng mã độc tống tiền thực hiện thông qua các e-mail giả mạo chứa các file thực thi. Khi người dùng mở file đính kèm, mã độc được cài đặt vào máy tính của nạn nhân. Ngoài ra, hacker cũng có thể nhúng mã độc vào website, khi người dùng truy cập các website này, mã độc được cài đặt vào hệ thống.

Người dùng thường không nhận thức được về quá trình xâm nhập và lây nhiễm của mã độc bởi vì nó hoạt động âm thầm trong nền của hệ thống (background), cho đến khi cơ chế khóa dữ liệu được kích hoạt. Sau đó một hộp thoại xuất hiện thông báo với người dùng rằng dữ liệu đã bị khóa/mã hóa và yêu cầu một khoản tiền chuộc để mở khóa/giải mã dữ liệu.


Bị nhiễm mã độc tống tiền Ransomware sẽ mất bao nhiêu tiền??

Điều này phụ thuộc vào hacker. Đối với mức nhẹ thì có thể chỉ 20$, nhưng những có nhiều trường hợp phải trả hàng nghì và phải trả qua tiền điện tử. Không có gì đảm bảo hacker sẽ giải mã dữ liệu. Vì vậy, người dùng hạn chế thực hiện các yêu cầu của Hacker, nên thường xuyên sao lưu dữ liệu cá nhân để đảm bảo an toàn.

Bất kỳ ai cũng có thể trở thành nạn nhân của mã độc tống tiền. Khi phát hiện thiết bị bị nhiễm loại mã độc này, chúng ta không nên trả tiền chuộc bởi 3 nguyên nhân chính sau đây: Không thể đảm bảo dữ liệu của chúng ta sẽ được khôi phục thậm chí khi đã trả tiền chuộc. Ví dụ: có một lỗi (bug) trong mã độc làm cho các file đã được mã hóa không thể khôi phục thậm chí có khóa giải mã. Nếu chúng ta trả tiền chuộc sẽ chứng minh rằng mã độc tống tiền hoạt động hiệu quả, khi đó, hacker sẽ tiếp tục thực hiện các hành động để tìm kiếm những phương thức mới nhằm khai thác hệ thống, mã hóa dữ liệu và đòi tiền chuộc. Một số mã độc tống tiền đã có bộ giải mã (Decryption Tool). Chúng ta có thể sử dụng các công cụ này để giải mã, khôi phục dữ liệu đã bị khóa hoặc mã hóa nhưng cơ hội vẫn là mong manh.


Làm thế nào để chống Ransomware?

Để phòng chống Ransomware tiến hóa hàng ngày trên Internet, người dùng nên thực hiện một số khuyến nghị sau:
Sao lưu dữ liệu thường xuyên, cài đặt và cập nhật mới phần mềm diệt virus.
– Hạn chế click vào liên kết hoặc e-mail khi không biết rõ đó là gì. Không khởi chạy bất kỳ tập tin đáng nghi khi được gửi nhận
– Không sử dụng các mạng Wifi miễn phí, không rõ nguồn gốc.
– Sử dụng phần mềm bản quyền và luôn cập nhật các bản vá bảo mật.






Bài viết liên quan