Blog

Ransomware là gì? Tác hại và cách phòng chống mã Ransomware

- by Hoangcuc - Leave a Comment

Ransomware là gì? Ransomware chính là một mã độc mà bất kỳ người dùng máy tính nào cũng không muốn máy tính của mình bị nhiễm phải. Vậy thực chất thì mã độc Ransomware này là gì mà đáng sợ đến vậy? Hãy cùng thapgiainhietliangchi.com đi tìm hiểu qua bài viết sau đây nhé!

Phần mềm tống tiền – Ransomware là gì?

Ransomware là gì? Ransomware chính là một loại phần mềm độc hại, mà sau khi lây nhiễm vào máy tính, sẽ mã hóa hoặc chặn truy cập dữ liệu trên đĩa và sau đó thông báo đến nạn nhân về khả năng khôi phục chúng. Tất nhiên là, không miễn phí mà nếu muốn khôi phục lại dữ liệu thì ta cần phải chuyển tiền vào tài khoản được chỉ định.

Tìm hiểu Ransomware là gì?
Ransomware là gì?

Các trường hợp tấn công đầu tiên sử dụng loại mã độc này đã diễn ra vào năm 1989. Phần mềm tống tiền Ransomware AIDS / PC Cyborg đã nhắm mục tiêu chủ yếu là các máy tính của các công ty trong lĩnh vực y tế. Mã độc được cấy vào các ổ đĩa 5,25 inch và mạo danh một cuộc khảo sát về nguy cơ nhiễm HIV. Tin nhắn yêu cầu tiền chuộc được in ra trên máy in được kết nối với máy tính của nạn nhân.

Cơ chế của một cuộc tấn công Ransomware là gì?

Ransomware thường lây lan, phát tán qua thư rác hoặc email lừa đảo, và cũng có thể thông qua các trang web hoặc dữ liệu tải xuống theo ổ đĩa, cuối cùng máy tính bị nhiễm mã độc tống tiền Ransomware và bị xâm nhập vào mạng.

Khi đã xâm nhập, Ransomware sẽ ngay lập tức khóa tất cả các tệp mà nó có thể truy cập bằng thuật toán mã hóa mạnh nhất. Cuối cùng, phần mềm tống tiền này sẽ yêu cầu bạn phải trả tiền chuộc dữ liệu (thường phải trả bằng Bitcoin) để giải mã các tệp và khôi phục lại toàn bộ hoạt động cho các hệ thống Công nghệ thông tin bị ảnh hưởng. Trong một số trường hợp nhất định, phần mềm Ransomware sẽ được cài đặt cùng với Trojan để nắm quyền kiểm soát nhiều hơn thế trên thiết bị nạn nhân.

Lây nhiễm

Sau khi mã độc Ransomware được gửi đến hệ thống qua các email lừa đảo, Ransomware sẽ tự động cài đặt trên thiết bị đầu cuối và mọi thiết bị mạng mà nó có thể truy cập được.

Tạo khóa mã hóa 

Các Ransomware sẽ liên lạc với máy chủ chỉ huy và kiểm soát được điều hành bởi các tổ chức tội phạm mạng đằng sau cuộc tấn công để tạo ra các khóa Ryptographic được sử dụng trên hệ thống cục bộ.

Mã hóa

Các Ransomware sẽ bắt đầu mã hóa mọi dữ liệu mà nó có thể tìm thấy trên các máy cục bộ và mạng.

Ngoại trừ 

Sau khi các công việc mã hóa được thực hiện, Ransomware sẽ hiển thị các hướng dẫn về tống tiền và thanh toán tiền chuộc, đe dọa sẽ hủy dữ liệu của bạn nếu thanh toán (thường bằng đồng Bitcoin) không được thực hiện.

Các tổ chức đứng sau phần mềm Ransomware sẽ đòi được trả tiền chuộc
Các tổ chức đứng sau phần mềm Ransomware sẽ đòi được trả tiền chuộc

Mở khóa

Các tổ chức bị phần mềm Ransomware kiểm soát có thể trả tiền chuộc và hy vọng các tổ chức tội phạm mạng sẽ thực sự giải mã các tệp dữ liệu bị ảnh hưởng (trong nhiều trường hợp thì không xảy ra). Hoặc họ cũng có thể thử phục hồi bằng cách xóa đi các tệp và hệ thống bị nhiễm mã độc khỏi mạng và khôi phục lại dữ liệu từ các bản sao lưu sạch.

Nguồn gốc của phần mềm tống tiền Ransomware là gì?

Giai đoạn hình thành

Ransomware được phát hiện lần đầu tiên ở Nga vào năm 2005-2006. Ở những giai đoạn đầu tiên, Ransomware có dạng biến thể của TROJ_CRYZIP.A. Các nhà phân tích dữ liệu đã phát hiện ra rằng khi biến thể dạng Trojan này xâm nhập vào máy tính, dữ liệu sẽ ngay lập tức bị mã hóa, nếu muốn truy cập vào lại thì phải có mật khẩu. Và để nhận được mật khẩu, chủ dữ liệu sẽ được yêu cầu trả $300.

Giai đoạn phát triển

Theo thời gian, phần mềm Ransomware đã mở rộng phạm vi của mình, xâm nhập vào cả các tệp văn bản, bảng tính có định dạng đuôi như là *.doc, *.xl, *.exe, …

Năm 2011, giới thông tin thế giới đã ghi nhận sự xuất hiện của một dạng Ransomware khác có tên gọi là SMS Ransomware. Ngoài những đặc trưng thông thường, SMS Ransomware còn gửi thông báo yêu cầu người dùng phải liên lạc với các hacker qua số điện thoại được cung cấp cho đến khi nào chuyển đúng số tiền như đã yêu cầu.

Các tổ chức bị phần mềm Ransomware kiểm soát sẽ phải trả tiền chuộc
Các tổ chức bị phần mềm Ransomware kiểm soát sẽ phải trả tiền chuộc

Ngoài ra, một phiên bản khác nữa của Ransomware cũng làm mưa làm gió sau khi tấn công vào MBR của hệ điều hành máy chủ. Nói cách khác, nó sẽ khiến cho hệ điều hành này không thể nào hoạt động được.

Lan rộng

Sau lần đầu tiên xuất hiện tại Nga, chỉ trong một khoảng thời gian ngắn, loại virus này đã không ngừng lan khắp châu Âu. Đỉnh điểm nhất là vào năm 2012, một số lượng lớn các vụ tấn công bởi mã độc Ransomware đã được ghi nhận tại châu Âu và cả Hoa Kỳ, Canada. Cho đến bây giờ, Ransomware vẫn có thể xuất hiện ở bất kỳ nơi đâu trên thế giới.

Cách phân loại của Ransomware là gì?

Dựa vào một số đặc điểm khác nhau trong cách thức hoạt động, mà ta có thể chia Ransomware thành 3 loại chính như sao: Encrypting, Non-encrypting, Leakware.

Tuy nhiên hiện nay Ransomware đã có thể theo kịp tốc độ phát triển của công nghệ và xuất hiện thêm một số chủng Ransomware trên mobile (Android và iOS), Ransomware trong IoT hay thậm chí là trên máy ảnh DSLR cũng có thể bị lây nhiễm phần mềm độc hại này.

Locker Ransomware

Locker Ransomware hay còn có một tên gọi khác là Non-encrypting Ransomware. Loại phần mềm này sẽ không mã hóa các file mà thay vào đó là chặn hoàn toàn người dùng có thể truy cập thiết bị. Ví dụ như có một máy tính bị nhiễm locker Ransomware thì bạn sẽ không thể thao tác được gì trên máy ngoài bật tắt máy. Trên màn hình máy tính lúc này sẽ xuất hiện thông báo hướng dẫn cách gửi tiền chuộc để trả máy về trạng thái bình thường.

Locker Ransomware
Locker Ransomware

Ransomware Crypto

Ransomware Crypto hay còn được gọi là Encrypting Ransomware. Đây là loại Ransomware phổ biến nhất hiện nay. Chúng mã hóa các file dữ liệu bằng cách bí mật kết nối với server của các hacker, tạo một chìa khóa để mã hóa và đổi tên đuôi của các file.

Đồng thời, các hacker này cũng sẽ gửi thông báo đòi tiền chuộc về máy tính và đôi khi còn tạo áp lực về thời gian cho nạn nhân. Nếu không trả tiền trong thời gian quy ước, file đó có thể bị nâng cấp mã hóa, khiến ảnh hưởng xấu đến dữ liệu.

Ransomware Crypto
Ransomware Crypto

Leakware (hay Doxware)

Một số loại Ransomware sẽ đe dọa công khai dữ liệu cá nhân của nạn nhân lên mạng nếu như không chịu trả tiền chuộc. Nhiều người có thói quen lưu trữ lại các file nhạy cảm hoặc ảnh cá nhân ở máy tính nên sẽ không tránh khỏi việc hoảng loạn khi gặp tình huống này và cố gắng trả tiền chuộc cho hacker. Loại Ransomware này thường được gọi là leakware hay doxware.

Vấn đề đáng nói ở đây với các nạn nhân là, ngay cả khi họ có trả tiền chuộc, thì không có gì đảm bảo rằng dữ liệu đó sẽ không bị rò rỉ sẽ bị xóa – đó chỉ là lời hứa của bọn tội phạm. Dữ liệu bị rò rỉ có thể sẽ được bán trong nền kinh tế ngầm hay được sử dụng trong các cuộc tấn công khác trong tương lai và thậm chí được sử dụng để tống tiền cùng một nạn nhân với cùng một nguồn dữ liệu vào thời điểm ngay sau đó.

Mobile Ransomware

Thông thường, Mobile Ransomware sẽ xuất hiện dưới dạng phần mềm chặn người dùng khỏi việc truy cập dữ liệu (chính là loại non-encrypting) thay vì mã hóa dữ liệu. Bởi vì dữ liệu trên mobile chúng ta có thể dễ dàng khôi phục thông qua đồng bộ hóa trực tuyến (tức online sync).

Mobile Ransomware thường nhắm vào điện thoại sử dụng nền tảng Android, vì hệ điều hành này có cấp quyền “Cài đặt ứng dụng” cho bên thứ ba.

Khi người dùng cài đặt phải file .APK chứa mobile Ransomware, sẽ có 2 kịch bản có thể xảy ra như sau:

  • Chúng sẽ hiển thị pop-up (tin nhắn thông báo) chặn không cho người dùng thiết bị truy cập vào tất cả các ứng dụng khác.
  • Sử dụng hình thức “bắt buộc nhấp chuột” (hay còn gọi là clickjacking) để khiến cho người dùng vô tình cấp quyền quản trị thiết bị. Khi đó, mobile Ransomware sẽ có thể truy cập sâu hơn vào hệ thống và thực hiện được các hình thức vi phạm khác.
Mobile Ransomware
Mobile Ransomware

Đối với hệ điều hành iOS, kẻ tấn công sẽ cần phải áp dụng những chiến thuật phức tạp hơn, chẳng hạn như là khai thác tài khoản iCloud và sử dụng đến tính năng “Find my iPhone” để khóa quyền truy cập vào thiết bị.

IoT và máy ảnh DSLR

Gần đây, các chuyên gia an ninh mạng đã ghi nhận và chứng minh rằng Ransomware cũng có thể nhắm mục tiêu đến các kiến ​​trúc ARM. Cũng như có thể dễ dàng được tìm thấy trong các thiết bị Internet-of-Things (IoT) khác nhau, chẳng hạn như là các thiết bị IoT công nghiệp.

Máy ảnh DSLR của Canon có thể dễ dàng bị tấn công bởi Ransomware

Vào tháng 8 năm 2019, các nhà nghiên cứu đã chứng minh được rằng có thể lây nhiễm máy ảnh DSLR bằng Ransomware. Các máy ảnh kỹ thuật số thường được sử dụng Giao thức truyền hình ảnh PTP (Picture Transfer Protocol – giao thức chuẩn được sử dụng để truyền ảnh).

Xem thêm: Anonymous là gì? Biệt đội hacker khét tiếng nhất thế giới

Các nhà nghiên cứu đã chỉ ra rằng có thể khai thác lỗ hổng trong giao thức để lây nhiễm máy ảnh mục tiêu bằng Ransomware (hoặc là thực thi bất kỳ mã tùy ý nào).

Trong khi phần mềm độc hại truyền thống, chỉ đơn thuần là ăn cắp các thông tin và mật khẩu người dùng, phần mềm tống tiền Ransomware sẽ ảnh hưởng trực tiếp đến bản thân người dùng và làm xáo trộn môi trường máy tính ngay lập tức khi xâm nhập. Ngoài ra, hậu quả mà nó để lại rất dễ nhận thấy.

Các chủng Ransomware nguy hiểm nhất

Hiện nay, người ta đã ghi nhận thêm rất nhiều chủng Ransomware với mức độ nguy hiểm khác nhau. Trong số các loại Ransomware được biết đến hiện nay, có ba loại nguy hiểm nhất là WannaCry, CryptoLocker và Petya. Ngoài ra một số cái tên khác cũng có thể làm hại đến máy tính của bạn có thể kể đến như Locky, TeslaCrypt,…

Tầm ảnh hưởng và tác hại của Ransomware

Khả năng phát tán của Ransomware được đánh giá rất cao. Mã độc Ransomware có một khả năng “phát tán” rất rộng thông qua các email, các đường link, các tập tin nhiễm virus. Hiện nay, mã độc này chủ yếu nhắm vào những máy tính có sử dụng hệ điều hành Window. Không những vậy, nó còn có khả năng lây nhiễm từ máy tính này sang các máy tính khác cùng cấp, tức là các máy tính trong cùng một hệ thống, khiến cho mức độ thiệt hại không ngừng tăng cao hơn.

Như đã nói ở trên, mã độc Ransomware sẽ thường tấn công vào lỗ hổng bảo mật của Window, mã hóa các dữ liệu trên máy tính khiến người dùng không thể nào sử dụng và gửi thông báo đòi tiền chuộc. Nhất là đối với doanh nghiệp, tổ chức, các công ty tài chính… việc mất dữ liệu lưu trữ sẽ gây ra những hậu quả rất lớn, không thể nào lường trước được.

Cách phòng chống mã Ransomware

Tính đến thời điểm hiện tại, Ransomware vẫn rất khó để có thể loại bỏ. Vì thế, để đỡ mất nhiều thời gian cũng như công sức, bạn nên chủ động bảo vệ dữ liệu của mình trước nhất.

Cách phòng chống mã Ransomware
Cô lập và tách khỏi mạng, hệ thống: hãy cách ly phần đã bị nhiễm mã độc với hệ thống, tắt các hệ thống đó, rút dây mạng để phòng trường hợp virus lây lan

Nếu muốn phòng chống phần mềm Ransomware, bạn có thể áp dụng nhanh chóng một trong số mẹo sau đây:

  • Không sử dụng các mạng wifi miễn phí khi không biết nguồn gốc không rõ ràng.
  • Hạn chế, tốt nhất không nên click vào các đường link lạ, các email không có rõ địa chỉ.
  • Thường xuyên sao lưu lại dữ liệu, cài đặt thêm các phần mềm chống virus và thường xuyên cập nhật chúng.
  • Thay đổi lại mật khẩu mặc định trên tất cả các điểm truy cập.
  • Tạo ra nhiều rào cản trên các hệ thống mạng của bạn.
  • Có kế hoạch phục hồi lại khi lỡ bị mất dữ liệu.

Đứng trước những hiểm họa mà Ransomware gây ra, các nhà chức trách cùng các chuyên gia bảo mật đã nhanh chóng vào cuộc để tìm ra các giải pháp khắc phục. Dưới đây là những cách cụ thể bạn có thể sử dụng ngay để bảo vệ máy tính của mình:

Update Window

Cập nhật bản vá bảo mật cho Window, để bảo vệ người dùng, Microsoft đã nhanh chóng đưa ra bản vá bảo mật cho tất cả các phiên bản Windows (Kể cả với Window Xp). Ngay bây giờ bạn có thể tải về và cài đặt bản cập nhật phù hợp với dòng máy tính của mình thông qua Window Update của máy tính.

Cài đặt các phần mềm diệt virus bản quyền

Cách thứ 2 là các chủ cửa hàng có thể dùng để phòng tránh nguy cơ bị tấn công từ Ransomware chính là cài ngay cho mình, đơn vị mình một phần mềm diệt virus có bản quyền. Hiện nay có các phần mềm diệt virus nổi tiếng bạn có thể dùng như là McAfee, Bitdefender, Norton Antivirus, Kaspersky, Eset…

Xem thêm: Captcha là gì? Vì sao website nên sử dụng captcha?

Backup các dữ liệu ra bộ nhớ ngoài

Chủ cửa hàng, các doanh nghiệp nên chủ động sao lưu những dữ liệu quan trọng ra một bộ nhớ ngoài chẳng hạn như là ổ cứng di động, USB… để có thể khôi phục lại ngay khi bị virus tấn công hay khi mất dữ liệu bất ngờ do các nguyên nhân khác.

Hạn chế, không nên lưu trữ các dữ liệu “nhạy cảm” trên ổ cứng máy tính

Virus không những làm hư hại các dữ liệu lưu trữ của bạn mà còn làm gián đoạn công việc của bạn. Bởi vậy, đối với những dữ liệu quan trọng như thông tin khách hàng, dữ liệu mua bán… bạn nên được lưu trữ ở một nơi an toàn hơn, thay vì lưu trực tiếp trên ổ cứng máy tính.

Phân biệt phần mềm Ransomware với các phần mềm malware bình thường

Sự khác biệt

Ransomware hay các phần mềm malware độc hại khác thông thường có điểm chung là làm mọi cách để có thể ẩn mình và phá hoại file trong âm thầm. Thế nhưng, sự khác biệt lớn nhất của Ransomware chính là cơ chế mã hóa vô cùng phức tạp. Các mã hóa này sẽ mở đường cho phần mềm độc hại ăn sâu vào các file dữ liệu, vượt qua cả những rào cản mà các phần mềm diệt virus tạo ra. Tuy nhiên, các phần mềm diệt virus hiện nay cũng đang dần trở nên “nhạy” hơn với Ransomware.

Phân biệt phần mềm Ransomware với malware

Phương pháp ẩn mình của phần mềm tống tiền Ransomware là gì?

Ransomware được các hacker trang bị cho rất nhiều thuật toán “ẩn mình”, phổ biến nhất là các thuật toán sau đây:

  • Detection: Đây là một phương pháp do thám. Các phần mềm độc hại sẽ dò xem xét môi trường để đề phòng các nguy cơ chúng đang ở trong một môi trường bị ảo hóa và trốn tránh được sự phát hiện của các nhà nghiên cứu về bảo mật. Nhưng đổi lại, phương pháp này sẽ khiến chúng không thể nào tạo ra một chữ ký bảo mật cập nhật.
  • Timing: Mọi thứ đều không thể đạt được đến mức hoàn hảo và các phần mềm diệt virus cũng như vậy. Dù liên tục phát ra các cảnh báo nhưng chúng vẫn khó có thể nào bảo vệ mọi khía cạnh của hệ thống, nhất là khi phải đối mặt với các virus nguy hiểm như Ransomware. Ransomware sẽ tranh thủ xâm nhập vào khoảng thời gian khi mà thiết bị đang bật/tắt, lúc các phần mềm diệt virus vẫn chưa kịp khởi động.
  • Communication: Khi thâm nhập được vào file dữ liệu, các Ransomware sẽ ngay lập tức liên lạc về với máy chỉ huy (C&C server) để nhận hướng dẫn. Thế nhưng các phần mềm diệt virus lại có thể lợi dụng đặc điểm này để phát hiện ra các địa chỉ IP cụ thể và ngăn chặn các giao tiếp đó.
  • False Operation: Khi máy tính của bạn bị nhiễm Ransomware, một chương trình giả mạo có thể sẽ hiện ra. Người dùng không có nhiều kỹ năng sẽ bị lầm tưởng đây là một chương trình bình thường của hệ điều hành và làm theo đúng các hướng dẫn của chúng khiến cho các virus lây lan nhanh hơn.

Cách gỡ bỏ Ransomware

Cách gỡ bỏ Ransomware. Nên làm gì khi bị nhiễm Ransomware?

Trong trường hợp máy tính của bạn không may bị nhiễm Ransomware, hãy thực hiện ngay những bước sau đây:

Bước 1: Cô lập và tách khỏi mạng, hệ thống: hãy cách ly phần đã bị nhiễm mã độc với hệ thống, tắt các hệ thống đó, rút dây mạng để phòng trường hợp virus lây lan.

Bước 2: Xác định và xóa đi các Ransomware: Cố gắng tìm ra các phần độc hại đang bị lây nhiễm trên máy, xác định được chủng và lên kế hoạch loại bỏ chúng.

Bước 3: Xóa máy bị nhiễm đi và khôi phục từ bản sao lưu: Phòng trường hợp các Ransomware còn sót lại, bạn hãy xóa toàn bộ các dữ liệu bị nhiễm và khôi phục chúng lại từ đầu qua các bản sao lưu.

Bước 4: Phân tích và giám sát hệ thống: Sau khi đã loại bỏ được hoàn toàn các Ransomware, bạn nên ngồi lại và phân tích các yếu tố lây nhiễm để có được cách bảo vệ dữ liệu phù hợp.

Bài viết trên là những thông tin về Ransomware là gì? Tác hại và cách phòng chống mã Ransomware. Có thể thấy kể từ khi mới xuất hiện cho đến nay Ransomware đã khẳng định được mình là anh lớn trong lĩnh vực phần mềm “tống tiền”, bị tấn công bởi Ransomware sẽ ảnh hưởng trực tiếp đến bản thân người dùng và làm xáo trộn ngay lập tức môi trường máy tính. Vì vậy, bảo vệ máy tính, phòng chống mã Ransomware hiệu quả khỏi những cuộc tấn công của Ransomware là một trong những ưu tiên hàng đầu.

Related Posts

Tản mạn là gì

Tản mạn là gì? Tìm hiểu về tản mạn cuộc sống, văn học

Bâng khuâng nhằm để diễn tả trạng thái mơ hồ, thiếu tập trung

Bâng khuâng là gì? Băn khoăn hay bâng khuâng? Ý nghĩa

Người sở hữu thân hình thắt đáy lưng ong thường có sự nghiệp phát triển

Thắt đáy lưng ong là gì? Nguồn gốc, ý nghĩa câu thành ngữ

About Hoangcuc

Tôi là Hoàng Thị Cúc - Tôi đã có nhiều năm kinh nghiệm review các loại thiết bị vệ sinh công nghiệp và các kiến thức đời sống khác. Hy vọng những thông tin mà tôi chia sẻ sẽ giúp ích cho quý vị và các bạn!

View all posts by Hoangcuc →

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *