Mã độc ransomware chính là mã tống tiền được sử dụng trong vụ tấn công giả mạo Bộ công an
Vụ tấn công mã độc GandCrab 5.2 ở Việt Nam và các nước trong khu vực Đông Nam Á có lẽ đã gióng một hồi chuông cảnh báo mạnh mẽ về mức độ an toàn bảo mật trong thời gian gần đây. Theo Malwarebytes, các cuộc tấn công Ransomware trong năm 2018 có xu hướng giảm về số lượng nhưng tăng về mức độ tập trung, tinh vi và chủ yếu nhằm vào các doanh nghiệp. Cùng Bizfly Cloud tìm hiểu qua bài viết dưới đây.
Vậy cụ thể ransomware hoạt động như thế nào? Cùng tìm hiểu để nhận biết và phòng tránh
Ransomware là một dạng phần mềm độc hại, một khi khi lọt vào máy tính, mã độc sẽ chiếm quyền điều khiển máy tính và đe dọa người dùng, thường là bằng cách từ chối họ truy cập vào dữ liệu của mình. Kẻ tấn công sẽ đòi tiền chuộc từ nạn nhân để khôi phục quyền truy cập vào dữ liệu, tuy nhiên, kể cả sau khi thanh toán, người dùng chưa chắc đã được nhận lại dữ liệu như giao hẹn. Người dùng sẽ được hướng dẫn cụ thể cách trả phí để lấy khóa giải mã. Các chi phí có thể dao động từ vài trăm đến hàng ngàn đô la, và thường thanh toán bằng Bitcoin.
Trong vụ tấn công GandCrab 5.2, mã độc được phát tán thông qua thư điện tử giả mạo bộ công an và người dùng phải trả khoản tiền chuộc 400-1.000 USD (khoảng 9,3-23,3 triệu đồng), thanh toán qua đồng tiền điện tử để giải mã dữ liệu.
Cách thức hoạt động
Có một số loại phương thức được sử dụng để ransomware truy cập vào máy tính. Một trong những phương thức phân phối mã độc phổ biến nhất là phishing spam - tệp đính kèm sẽ được gửi đến nạn nhân trong email, giả mạo dưới dạng tệp tin từ đơn vị uy tín. Khi người nhận tải xuống và mở các tệp này, mã độc sẽ chiếm quyền điều khiển máy tính của người đó. Đặc biệt nếu mã có tích hợp sẵn các công cụ chiếm quyền truy cập, quản trị trên các tài khoản xã hội của nạn nhân. Một số dạng ransomware khác mạnh hơn, như NotPetya, thậm chí còn khai thác lỗ hổng bảo mật để lây nhiễm máy tính mà không cần lừa người dùng.
Sau khi chiếm máy tính của nạn nhân, phần mềm độc hại có thể thực hiện một số hoạt động độc hại khác nhau. Nhưng cho đến nay, hành động phổ biến nhất thường là mã hóa một số hoặc tất cả các tệp của người dùng. Tuy nhiên, điều đáng lưu ý nhất trong toàn bộ quá trình là bạn sẽ không thể giải mã được các tệp nếu không có mã khóa trong tay kẻ tấn công. Người dùng sẽ nhận được thông báo rằng các tệp của họ hiện không thể truy cập được và sẽ chỉ được giải mã nếu họ gửi khoản thanh toán Bitcoin ẩn danh cho kẻ tấn công giấu mặt.
Với một số dạng phần mềm độc hại, kẻ tấn công có thể mạo danh cơ quan thực thi pháp luật (ví dụ: Bộ Công an) thông báo dừng hoạt động website của nạn nhân do có nội dung khiêu dâm hoặc chứa phần mềm lậu và yêu cầu thanh toán "tiền phạt". Cách thức này thường đánh vào sự e dè của nạn nhân khi báo cáo vụ việc với chính quyền.
Ngoài ra còn có một biến thể khác, có tên là leakware hoặc doxware, trong đó kẻ tấn công đe dọa công khai dữ liệu nhạy cảm trên ổ cứng của nạn nhân trừ khi được trả tiền chuộc. Tuy nhiên, việc tìm kiếm và trích xuất thông tin như vậy thường rất khó khăn thực hiện, vì vậy cho đến nay, ransomware vẫn là loại mã độc được sử dụng phổ biến nhất.
Làm thế nào để ngăn chặn Ransomware
Có một số bước tự bảo vệ bạn có thể thực hiện để ngăn ngừa nguy cơ nhiễm ransomware. Các bước này tuy nhiên chỉ là các thao tác bảo mật tổng quan, nhưng việc tuân thủ nghiêm túc và đều đặn sẽ cải thiện khả năng phòng thủ của bạn trước tất cả các loại hình tấn công:
Luôn cập nhật hệ điều hành cũng như cập nhật các bản vá thường xuyên để đảm bảo hạn chế tới mức thấp nhất các lỗ hổng hệ thống.
Không cài đặt phần mềm hoặc cấp quyền quản trị trừ khi bạn biết chính xác phần mềm đó là gì và thực hiện tác vụ gì.
Cài đặt phần mềm chống virus, phần mềm phát hiện các chương trình độc hại như ransomware… Cài đặt phần mềm whitelisting ngăn chặn các ứng dụng trái phép ngay từ khi phát hiện.
Có thể lựa chọn sử dụng email doanh nghiệp có khả nậng lọc và chặn file đính kèm độc hại. Ví dụ Bizfly Business Email có khả năng rà soát các tập tin đính kèm, nếu phát hiện tệp tin bất thường sẽ cảnh báo tới khách hàng và từ chối nhận tập tin.
>>Tìm hiểu thêm: Bizfly Business Email - Giải pháp email hosting được các nhà cung cấp (Gmail, Hotmail…) tin tưởng
Cuối cùng, đừng quên thực hiện sao lưu thường xuyên và tự động! Hành động này thông thường không có khả năng ngăn chặn các tấn công từ phần mềm độc hại, nhưng có thể giảm thiểu mức độ nghiêm trọng của thiệt hại.
Loại bỏ ransomware
Nếu máy đã bị nhiễm ransomware, việc cần làm ngay là lấy lại quyền kiểm soát máy tính.
Các bước quan trọng để khôi phục quyền kiểm soát máy tính sử dụng Window 10 bao gồm:
Khởi động lại Windows 10 về chế độ an toàn
Cài đặt phần mềm chống mã độc hại
Quét hệ thống để tìm chương trình ransomware
Khôi phục máy tính về trạng thái trước đó
Nhưng đây mới là điều quan trọng bạn cần ghi nhớ: thực hiện các bước trên có thể xóa phần mềm độc hại khỏi máy tính và khôi phục quyền kiểm soát, nhưng sẽ không giải mã được các tệp đã bị mã hóa. Trên thực tế, với việc xóa phần mềm độc hại, bạn đã loại trừ khả năng khôi phục các tệp của mình bằng cách trả cho những kẻ tấn công số tiền chuộc mà chúng yêu cầu (các tệp bị mã hóa).
Theo Bizfly Cloud tổng hợp
>> Có thể bạn quan tâm: Petya Ransomware - Nhận biết và khắc phục