Ransomware là một loại phần mềm độc hại có mục đích tống tiền người dùng bằng cách xâm nhập vào máy tính và thao túng dữ liệu của nạn nhân. Trong những năm gần đây, không phải virus, mà chính ransomware mới là mối đe dọa đối với các tổ chức, doanh nghiệp. Các quản trị viên hệ thống IT luôn tìm mọi cách để ngăn chặn sự xâm nhập của loại “mã độc tống tiền” này.
Chúng ta hãy cùng tìm hiểu những kiến thức tổng quát nhất về ransomware qua bài viết dưới dây.
Ransomware là một dạng phần mềm độc hại chuyên mã hóa dữ liệu hoặc khóa quyền truy cập thiết bị của người dùng. Để được trả lại quyền truy cập thiết bị hoặc dữ liệu, người dùng phải trả cho hacker một khoản tiền nhất định, gọi là tiền chuộc. Ransomware còn được biết đến với cái tên phần mềm tống tiền hay mã độc tống tiền.
Mức tiền chuộc thông thường rơi vào khoảng $150 – $500 cho máy tính cá nhân. Đối với các tổ chức, doanh nghiệp thì có thể lên đến hàng ngàn đô. Hacker chủ yếu yêu cầu nạn nhân trả tiền chuộc bằng bitcoin hoặc chuyển khoản. Trong vài năm gần đây, những kẻ phát tán ransomware ưa thích giao dịch tiền chuộc bằng bitcoin vì tính bảo mật cao và khó để truy lùng dấu vết.
Máy tính của bạn có nguy cơ bị nhiễm ransomware khi:
Máy tính người dùng thường bị nhiễm ransomware chỉ ngay sau một thao tác nhỏ mà chính họ cũng không để ý. Hacker tạo cho những file chứa mã độc tống tiền một vẻ ngoài vô hại, giống như một file word, excel hay PDF. Tuy nhiên, thực tế thì đây lại là các file thực thi mã (.exe). Một khi người dùng click vào chúng, các file này sẽ ngay lập tức chạy ngầm trên nền máy tính.
Dựa vào một số điểm khác nhau trong cách thức hoạt động, có thể chia ransomware thành 3 loại chính: Encrypting, Non-encrypting, Leakware. Tuy nhiên hiện nay ransomware đã theo kịp tốc độ phát triển của công nghệ và xuất hiện thêm các chủng ransomware trên mobile (Android và iOS), ransomware trong IoT hay thậm chí máy ảnh DSLR cũng có thể bị lây nhiễm phần mềm độc hại này.
Encrypting Ransomware là loại phần mềm tống tiền phổ biến nhất, chúng mã hóa dữ liệu (tệp tin và thư mục) của người dùng. Tên khác của Encrypting Ransomware là Crypto Ransomware.
Sau khi xâm nhập vào máy tính của bạn, chúng sẽ âm thầm kết nối với máy chủ của kẻ tấn công, tạo ra hai chìa khóa – một khóa công khai để mã hóa các file của bạn, một khóa riêng do máy chủ của hacker nắm giữ, dùng để giải mã. Các file này sẽ bị đổi đuôi thành những định dạng nhất định và báo lỗi khi người dùng cố gắng mở.
Thông báo máy tính bị hack từ Encryting Ransomware
Sau khi mã hóa file, crypto ransomware sẽ hiển thị một thông báo trên máy tính của bạn, thông báo về việc bạn đã bị tấn công và phải trả tiền chuộc cho chúng. Trong một vài trường hợp, kẻ tấn công còn tạo thêm áp lực bằng cách đòi hỏi nạn nhân phải trả tiền trong thời hạn nhất định. Sau thời hạn đó, khóa giải mã file sẽ bị phá hủy hoặc mức tiền chuộc sẽ tăng lên.
Non-encrypting ransomware (hay còn gọi là Locker) là loại phần mềm không mã hóa file của nạn nhân. Tuy nhiên, nó khóa và chặn người dùng khỏi thiết bị. Nạn nhân sẽ không thể thực hiện được bất kỳ thao tác nào trên máy tính (ngoại trừ việc bật – tắt màn hình). Trên màn hình cũng sẽ xuất hiện hướng dẫn chi tiết về cách thanh toán tiền chuộc để người dùng có thể truy cập lại và sử dụng thiết bị của mình.
Reveton (một loại locker ransomware) giả mạo cảnh sát, cáo buộc người dùng truy cập thông tin phạm pháp để đòi tiền chuộc.
Một số loại ransomware đe dọa công khai dữ liệu của nạn nhân lên mạng nếu không chịu trả tiền chuộc. Nhiều người có thói quen lưu trữ các file nhạy cảm hoặc ảnh cá nhân trong máy tính nên sẽ không tránh khỏi việc hoảng loạn, cố gắng trả tiền chuộc cho hacker. Loại ransonware này thường được gọi là leakware hoặc doxware.
Với sự phổ biến của smartphone và xu hướng sử dụng điện thoại di động thường xuyên hơn diễn ra trên toàn cầu, ransomware đã xuất hiện trên mobile. Thông thường, Mobile Ransomware xuất hiện dưới dạng phần mềm chặn người dùng khỏi việc truy cập dữ liệu (loại non-encrypting) thay vì mã hóa dữ liệu. Bởi vì dữ liệu trên mobile có thể dễ dàng khôi phục thông qua đồng bộ hóa trực tuyến (online sync).
Mobile ransomware thường nhắm vào nền tảng Android, vì hệ điều hành này cấp quyền “Cài đặt ứng dụng” cho bên thứ ba. Khi người dùng cài đặt file .APK chứa mobile ransomware, sẽ có 2 kịch bản có thể xảy ra:
Đối với hệ điều hành iOS, kẻ tấn công cần áp dụng những chiến thuật phức tạp hơn, chẳng hạn như khai thác tài khoản iCloud và sử dụng tính năng “Find my iPhone” để khóa quyền truy cập vào thiết bị.
Gần đây, các chuyên gia an ninh mạng đã chứng minh rằng ransomware cũng có thể nhắm mục tiêu các kiến trúc ARM. Cũng như có thể được tìm thấy trong các thiết bị Internet-of-Things (IoT) khác nhau, chẳng hạn như các thiết bị IoT công nghiệp.
Vào tháng 8 năm 2019, các nhà nghiên cứu đã chứng minh rằng có thể lây nhiễm máy ảnh DSLR bằng ransomware. Các máy ảnh kỹ thuật số thường sử dụng Giao thức truyền hình ảnh PTP (Picture Transfer Protocol – giao thức chuẩn được sử dụng để truyền ảnh). Các nhà nghiên cứu nhận thấy rằng có thể khai thác lỗ hổng trong giao thức để lây nhiễm máy ảnh mục tiêu bằng ransomware (hoặc thực thi bất kỳ mã tùy ý nào). Cuộc tấn công này đã được thử nghiệm tại hội nghị bảo mật Defcon ở Las Vegas hồi tháng 8 năm nay.
Mục đích quan trọng nhất của hacker khi cài mã độc vào máy tính của bạn đơn giản là tiền. Bạn càng hoảng loạn và trả tiền càng nhanh, chúng sẽ lại càng lộng hành. Không chỉ vậy, bạn đang đối mặt với một kẻ lừa đảo, và đây không phải một vụ trao đổi công bằng. Trả tiền chuộc cho chúng sẽ không thể đảm bảo được việc bạn có lấy lại được dữ liệu hay không. Chính vì vậy, các chuyên gia an ninh mạng và chính quyền khuyến cáo không nên trả tiền chuộc cho hacker.
Nếu máy tính của bạn đang kết nối với mạng chung của công ty, việc đầu tiên bạn cần làm là ngắt kết nối mạng từ thiết bị của mình để mã độc không lan truyền rộng ra nhiều thiết bị khác trên cùng network.
Nếu máy tính của bạn không bị khóa mà chỉ có dữ liệu bị mã hóa, bạn có thể tham khảo hướng dẫn chi tiết cách gỡ bỏ ransomware với các chuyên viên kỹ thuật. Các bước bao gồm: bật chế độ Safe Mode, chạy phần mềm antivirus để loại bỏ ransomware, hoặc gỡ bỏ thủ công.
Nếu máy tính của bạn đã bị khóa, công đoạn gỡ bỏ ransomware sẽ phức tạp hơn. Nếu không có chuyên môn về máy tính, hãy nhờ một ai đó có hiểu biết hơn hoặc sử dụng các dịch vụ bảo mật bên ngoài.
Đối với các loại ransomware nổi tiếng mà nhiều người đã bị nhiễm, một số chuyên gia đã phát triển các chương trình loại bỏ ransomware và khôi phục dữ liệu cho người dùng. Những chương trình này đòi hỏi trình độ chuyên môn nhất định về máy tính. Nếu quan tâm, bạn có thể tham khảo No More Ransom, Free Ransom Decryptors.
Tuy nhiên, thủ đoạn của hacker ngày càng tinh vi, cách thức hoạt động của các loại ransomware cũng không thể lường trước được. Khi một loại ransomware mới bị phát tán, hầu hết các trường hợp bị nhiễm đều không thể khôi phục dữ liệu. Chính vì vậy, điều quan trọng nhất là bạn cần trang bị kiến thức phòng chống ransomware ngay hôm nay, để không gặp phải những tình huống đáng tiếc.
Có một số thủ thuật có thể giúp bạn bảo vệ mình càng nhiều càng tốt từ loại hành vi sai trái này. Đó là:
Subscribe to get the latest posts sent to your email.
