Ransomware là loại phần mềm độc hại nhằm mục đích tống tiền người dùng bằng cách xâm nhập vào các máy tính và thao túng dữ liệu của người dùng. Trong vài năm gần đây, ransomware là mối đe dọa lớn nhất đối với nhiều tổ chức và doanh nghiệp. Những quản trị viên hệ thống IT luôn cố tìm cách để ngăn chặn sự xâm nhập của loại mã độc này. Sau đây, hãy cùng
Mona Media tìm hiểu kiến thức tổng quan nhất để trả lời cho câu hỏi “
Ransomware là gì?” trong bài viết này.
Định nghĩa Ransomware
Ransomware là
phần mềm độc hại chuyên mã hóa dữ liệu, khóa quyền truy cập thiết bị của người dùng. Để được trả lại quyền truy cập dữ liệu hoặc thiết bị, người dùng cần trả cho
hacker một khoản tiền nhất định gọi là tiền chuộc. Ransomware còn được biết tới với cái tên là mã độc tống tiền hoặc phần mềm tống tiền.
Mức tiền chuộc thông thường rơi vào khoảng $250 – $500 cho một máy tính cá nhân. Đối với các doanh nghiệp hay tổ chức thì có thể lên đến hàng ngàn đô la. Hacker chủ yếu sẽ yêu cầu nạn nhân trả tiền chuộc bằng
bitcoin và chuyển khoản. Trong một vài năm gần đây, những người phát tán Ransomware ưa chuộng việc giao dịch tiền chuộc bằng bitcoin vì nó tính bảo mật cao và rất khó để truy lùng dấu vết.
Cơ chế hoạt động của Ransomware
Ransomware khi lây nhiễm vào máy tính của người dùng sẽ mã hóa các file dữ liệu thành các đuôi kí tự lạ. Ví dụ như *.Doc > *.docm ; *.xls > *.cerber. Ở từng thời điểm, những đuôi mã hóa này lại khác nhau khiến ta tốn rất nhiều công sức để xác định được. Máy tính tính khi bị nhiễm ransomware sẽ không hề hiện ra bất kỳ thông báo từ hacker. Một máy tính khi bị nhiễm Ransomware thì có khả năng cao các máy còn lại trong hệ thống cũng sẽ gặp tình trạng tương tự.
Nguồn gốc của Ransomware
Giai đoạn hình thành
Ransomware được phát hiện đầu tiên ở Nga vào năm 2005 – 2006. Ở những giai đoạn đầu tiên, Ransomware có dạng là biến thể TROJan CRYZIP.A. Những nhà phân tích dữ liệu phát hiện ra khi biến thể dạng
Trojan này xâm nhập được vào máy, các dữ liệu sẽ ngay lập tức bị mã hóa. Nếu muốn truy cập vào lại thì cần phải có mật khẩu. Để nhận lại được mật khẩu, người dùng sẽ được yêu cầu phải trả $300.
Giai đoạn phát triển
Theo thời gian, Ransomware ngày càng mở rộng phạm vi của mình. Nó ăn vào cả những tệp văn bản, bảng tính có định dạng đuôi như *.xl, *.doc, *.exe,… Vào năm 2011, truyền thông thế giới ghi nhận sự xuất hiện của một loại Ransomware khác có tên là SMS Ransomware. Ngoài các đặc tính thông thường, SMS Ransomware còn gửi các thông báo yêu cầu người dùng liên lạc với hacker qua số điện thoại đã được cung cấp cho đến khi chuyển tiền đúng theo yêu cầu. Ngoài ra, có một phiên bản khác của Ransomware làm mưa làm gió khi tấn công MBR của hệ điều hành máy chủ. Nói theo cách khác, nó khiến cho hệ điều hành không có khả năng hoạt động được.
Giai đoạn lan rộng
Ransomware xuất hiện đầu tiên ở Nga nhưng chỉ trong một khoảng thời gian ngắn, loại virus này đã lan rộng khắp châu Âu. Đỉnh điểm là vào năm 2012, một lượng lớn vụ tấn công bởi Ransomware được ghi nhận ở châu Âu và cả Canada, Mỹ. Đến bây giờ, Ransomware vẫn có thể xuất hiện ở bất cứ nơi đâu trên thế giới.
Phân loại các Ransomware
Locker Ransomware
Locker Ransomware hay còn được gọi là Non-encrypting Ransomware, là một loại phần mềm không mã hóa các file của nạn nhân. Tuy nhiên, nó khóa cũng như chặn người dùng khỏi những thiết bị. Nạn nhân sẽ không thể thực hiện bất cứ thao tác nào trên máy tính ngoại trừ việc bật và tắt màn hình. Trên màn hình máy tính cũng sẽ xuất hiện các hướng dẫn chi tiết về việc thanh toán tiền chuộc để chủ máy tính có thể truy cập và sử dụng lại thiết bị của mình.
Ransomware Crypto
Ransomware Crypto hay còn gọi là Encrypting Ransomware, là một loại phần mềm tống tiền phổ biến nhất. Chúng thường mã hóa dữ liệu như tệp tin hay các thư mục của người dùng. Sau khi xâm nhập vào máy tính, chúng sẽ âm thầm kết nối với server của người tấn công và tạo ra hai chìa khóa. Một chìa khóa công khai dùng để mã hóa những file của bạn, một khóa riêng còn lại do server của hacker nắm giữ dùng để giải mã. Những file này sẽ bị đổi đuôi thành các định dạng nhất định và sẽ báo lỗi khi người dùng cố gắng mở nó.
Sau khi mã hóa file, Ransomware Crypto sẽ hiển thị thông báo trên máy tính của bạn. Nó thông báo về việc bạn đã bị tấn công và buộc phải trả tiền chuộc cho chúng nếu muốn lấy lại mật khẩu. Trong một số trường hợp, kẻ tấn công sẽ tạo thêm áp lực bằng cách đòi nạn nhân phải trả tiền trong một thời hạn nhất định. Sau thời hạn đó, giải mã file sẽ bị phá hủy và mức tiền chuộc sẽ tăng lên.
Tham khảo thêm: Quản trị server – Quản trị máy chủ như thế nào?
Các chủng nguy hiểm nhất
Hiện nay, người ta ghi nhận được vô số chủng Ransomware với mức độ nguy hiểm khác nhau. Trong số những loại Ransomware được biết đến, ba loại nguy hiểm nhất được ghi nhận đó là: CryptoLocker, WannaCry và Petya. Ngoài ra các cái tên khác cũng có thể làm hại một cách đáng kể đến máy tính của bạn như TeslaCrypt, Locky,…
Phân biệt Ransomware với những phần mềm malware bình thường
Sự khác biệt
Ransomware hay những phần mềm malware độc hại thông thường sẽ có điểm chung là làm mọi cách để có thể ẩn mình cũng như phá hoại các file trong âm thầm. Thế nhưng, một sự khác biệt to lớn của Ransomware đó là cơ chế mã hóa cực kỳ phức tạp. Những mã hóa này sẽ mở đường cho những phần mềm độc hại ăn sâu vào các file dữ liệu của người dùng. Nó vượt qua được cả các rào cản mà nhiều phần mềm diệt virus tạo ra. Tuy nhiên, những
phần mềm diệt virus hiện nay cũng đang dần dần trở nên nhạy hơn với Ransomware.
Phương pháp ẩn mình của Ransomware
Ransomware hiện nay được những hacker trang bị cho rất nhiều thuật toán ẩn mình, phổ biến nhất có thể kể đến các thuật toán sau đây:
Detection
Detection là một phương pháp do thám. Những phần mềm độc hại thường sẽ dò xét môi trường để có thể đề phòng nguy cơ chúng đang ở trong môi trường bị ảo hóa, trốn tránh được khỏi sự phát hiện của nhà nghiên cứu. Nhưng đổi lại, phương pháp này sẽ khiến chúng không thể tạo ra bất kỳ một chữ ký bảo mật cập nhật nào.
Timing
Tất cả mọi thứ đều không thể đạt đến một mức độ hoàn hảo và phần mềm diệt virus cũng vậy. Dù liên tục phát ra cảnh báo nhưng chúng vẫn khó có khả năng bảo vệ mọi khía cạnh của hệ thống. Nhất là khi đối mặt với loại virus nguy hiểm như Ransomware. Ransomware sẽ xâm nhập vào khoảng thời gian khi thiết bị đang bật hoặc tắt, lúc mà phần mềm diệt virus chưa kịp khởi động.
Communication
Khi xâm nhập vào các file dữ liệu, Ransomware sẽ ngay tức thì liên lạc với máy chỉ huy để nhận hướng dẫn. Thế nhưng những phần mềm diệt virus có thể lợi dụng vào các đặc điểm này để phát hiện ra những
địa chỉ IP cụ thể và ngăn chặn được các giao tiếp đó.
False Operation
Khi máy tính của người dùng bị nhiễm Ransomware, một chương trình giả mạo có thể sẽ hiện ra. Người dùng không có được nhiều kỹ năng sẽ lầm tưởng đây là chương trình bình thường của hệ điều hành. Họ sẽ làm theo các hướng dẫn của chúng và khiến các virus lây lan nhanh hơn.
Cách ngăn chặn Ransomware
Nếu muốn ngăn chặn Ransomware, bạn có thể áp dụng một vài cách sau đây: không sử dụng những mạng wifi miễn phí và có nguồn gốc không rõ ràng, hạn chế click vào những đường link lạ hoặc các email không rõ địa chỉ. Ngoài ra, nên thường xuyên sao lưu dữ liệu, cài đặt những phần mềm chống virus và thường xuyên cập nhật. Thay đổi mật khẩu mặc định trên tất cả những điểm truy cập, tạo nên nhiều rào cản trên các hệ thống mạng của chính bạn và có kế hoạch phục hồi khi không may bị mất dữ liệu.
Nên làm gì khi bị nhiễm Ransomware?
- Bước 1: Cô lập, tách mạng và hệ thống: hãy cách ly ngay phần đã bị nhiễm với hệ thống, tắt các hệ thống đó và rút mạng ngay để đề phòng trường hợp virus bắt đầu lây lan.
- Bước 2: Xác định và xóa những Ransomware: hãy cố gắng tìm ra những phần độc hại đang bị lây nhiễm trên máy tính, xác định chủng và lên kế hoạch để xóa bỏ chúng.
- Bước 3: Xóa máy bị nhiễm, khôi phục từ bản sao lưu: để phòng trường hợp những Ransomware còn sót lại. Bạn hãy xóa toàn bộ dữ liệu bị nhiễm và khôi phục lại từ đầu qua những bản sao lưu.
- Bước 4: Phân tích, giám sát hệ thống: sau khi đã loại bỏ được hoàn toàn những Ransomware, bạn nên ngồi lại để phân tích những yếu tố lây nhiễm. Từ đó, có cách bảo vệ dữ liệu phù hợp hơn.
Một số vụ tấn công nổi tiếng
WannaCry
Đứng đầu trong danh sách đó là WannaCry, loại mã độc đã gây hoang mang trên toàn thế giới vào năm 2017. WannaCry lợi dụng lỗ hổng của hệ điều hành Microsoft và lan rộng, ảnh hưởng đến những máy tính khác cùng mạng. Mã độc này đã lây lan đến hơn 260.000 máy tính trên 117 nước (bao gồm cả Việt Nam). Để lại một thiệt hại khổng lồ với hơn hàng trăm triệu USD. Sau khi đã được xử lý, chính phủ Anh, Mỹ cùng cả tập đoàn Microsoft đã buộc tội Triều Tiên vì cho rằng Triều Tiên là chủ mưu đứng sau những vụ tấn công này.
GandCrab
Năm 2018, một mã độc được phát tán qua các trang quảng cáo đã đưa người dùng đến trang chứa mã độc hoặc các email. Mã độc này được mang tên GandCab. Để xóa bỏ nó, người dùng được yêu cầu cài đặt trình duyệt tên Thor, thanh toán bằng tiền ảo như Bitcoin với giá từ khoảng 3200 – $1400 tùy vào mức độ lây nhiễm.
Bad Rabbit
Vào năm 2017, nhiều quốc gia ở Đông Âu đã ghi nhận sự xuất hiện của loại mã độc mang tên Bad Rabbit. Chỉ trong một khoảng thời gian ngắn, mã độc này đã gây ra khủng hỏa trầm trọng tới nhiều doanh nghiệp, chính phủ. Qua yêu cầu cập nhật Adobe Flash giả, Bad Rabbit đã xâm nhập thành công vào máy chủ với việc dụ dỗ người dùng download về một file Adobe Flash đã bị hack.
NotPetya
Cũng giống với WannaCry, NotPetya đã lợi dụng lỗ hổng của Microsoft để ăn vào những dữ liệu của người dùng. Nhưng điểm nguy hiểm của loại Ransomware này là chúng có thể tự lây lan từ máy tính này sang các máy tính khác, từ dữ liệu này sang một dữ liệu khác. Hơn thế nữa, chúng còn phá hủy cả ổ cứng của nạn nhân dù có được trả khoản tiền chuộc hay không.
Bài viết trên đã cung cấp một cách tổng quát nhất về
Ransomware là gì cũng như tác hại to lớn của nó. Mong rằng với những kiến thức về Ransomware này, bạn sẽ có thể chủ động phòng ngừa cũng như biết cách xử lý khi gặp phải những vấn đề trên.
Xem thêm: