Bạn đã từng nghe đến Ransomware trước đó hay chưa? Tại sao các chính phủ lại ra sức tìm cách ngăn chặn và cảnh báo người dùng về mã độc tống tiền này? Tác hại của Ransomware đáng sợ đến mức nào? Vậy Ransomware là gì? Tất cả những thắc mắc này sẽ được giải đáp một cách cụ thể, chi tiết nhất trong bài viết dưới đây.
1. Ransomware là gì?
Ransomware (mã độc tống tiền) là một loại virus hay phần mềm độc hại (Malware) được hacker sử dụng nhằm ngăn chặn người dùng truy cập và sử dụng dữ liệu bên trong thiết bị (chủ yếu là trên hệ điều hành Window).
Để lấy lại quyền kiểm soát dữ liệu, nạn nhân bắt buộc phải trả một khoản tiền chuộc theo yêu cầu của kẻ tấn công, thông thường đó là các loại tiền điện tử như Bitcoin hay một số đồng coin khác khó theo dõi. Nếu không đáp ứng được yêu cầu của hacker, nạn nhân sẽ không lấy lại được dữ liệu đã bị đánh cắp.
2. Ransomware xuất hiện từ đâu?
Tương tự như các mã độc ác tính khác, Ransomware có thể được hacker cài đặt tinh vi thông qua các phần mềm, đường link cũng như các file, tệp. Ransomware xâm nhập vào các thiết bị của nạn nhân khi họ thực hiện các thao tác sau:
- Nhấp vào các hình thức quảng cáo.
- Nhấp vào file đính kèm có trong email.
- Mở tệp trong các phần mềm đã crack.
- Truy cập vào các trang web giả mạo.
- Tải về và cài đặt những phần mềm lạ, không có nguồn gốc rõ ràng.
- Thiết bị tự động cài đặt thông qua USB hoặc các lỗ hổng của hệ thống mạng.
3. Cơ chế của cuộc tấn công Ransomware
Thông qua các hình thức xuất hiện trên, Ransomware có thể xâm nhập vào thiết bị của nạn nhân và khóa tất cả các tệp mà nó có thể truy cập bằng thuật toán mã hóa mạnh. Ngoài ra, trong một số trường hợp, mã độc tống tiền này được cài đặt cùng với trojan để có quyền kiểm soát nhiều hơn trên thiết bị nạn nhân.
Cụ thể, cơ chế của một cuộc tấn công Ransomware trải qua các bước sau:
Bước 1: Lây nhiễm
Khi nạn nhân truy cập vào các email lừa đảo, trang web lừa đảo, file tải xuống…mã độc Ransomware sẽ tự động được cài đặt trên thiết bị đầu cuối và tất cả thiết bị mạng có thể truy cập.
Bước 2: Tạo khóa mã hóa
Ransomware sẽ kết nối với máy chủ chỉ huy và được điều hành bởi những kẻ tấn công để tạo ra các khóa cryptographic (mật mã học) thường được sử dụng trên hệ thống cục bộ.
Bước 3: Mã hóa
Mã độc Ransomware bắt đầu mã hóa mọi dữ liệu bị xâm nhập trên các máy cục bộ và mạng.
Bước 4: Tống tiền
Sau khi hoàn thành việc mã hóa dữ liệu, Ransomware sẽ hiển thị những hướng dẫn về tống tiền và cách thức thanh toán tiền chuộc. Đồng thời đe dạo hủy mọi dữ liệu nếu không đáp ứng số tiền thanh toán mà hacker yêu cầu.
Bước 5: Mở khóa
Nạn nhân trả tiền chuộc và hy họng các tệp bị mã độc xâm nhập có thể được trả lại như ban đầu (trong nhiều trường hợp không xảy ra). Tuy nhiên, họ cũng có thể tự phục hồi bằng cách xóa dữ liệu và hệ thống bị nhiễm khỏi mạng và khôi phục chúng từ các bản sao an toàn.
4. Một số cuộc tấn công Ransomware lớn
Ransomware là một trong những phần mềm độc hại, đã từng xảy ra nhiều trong quá khứ và gây ra nhiều tác động vô cùng nghiêm trong cho các cá nhân hay tổ chức, dự án. Sau đây là một số cuộc tấn công Ransomware lớn gây chấn động toàn cầu và những mối lo ngại cho cộng đồng tại thời điểm diễn ra.
WannaCry
WannaCry được xem là cuộc tấn công Ransomware lớn nhất trong lịch sử xảy ra vào năm 2017. Mã độc này lợi dụng một lỗ hổng trong giao thức SMB của hệ điều hành Microsoft Windows và tự động xâm nhập vào các máy tính khác nhau trong cùng một mạng lưới.
Tại thời điểm đó, mã độc này có sức lây lan hết sức nhanh chóng trên quy mô rộng lớn với hơn 300,000 máy tính tại 116 quốc gia chỉ trong vòng 4 ngày. Thiệt hại ước tính của cuộc tấn công này lên đến hàng trăm triệu và thậm chí là hàng tỉ đô. Cuộc tấn công này đã khiến các tổ chức chính phủ tại châu Âu, các doanh nghiệp lớn như FedEx, hệ thống Dịch vụ Y tế Quốc gia Anh và Bộ Nội vụ Nga đều phải gánh chịu những thiệt hại không hề nhỏ.
GandCrab
GandCrab là mã độc tống tiền xuất hiện kể từ cuối tháng 1 năm 2018. Ban đầu phần mềm độc hại này được phát tán qua các quảng cáo và các email lừa đảo, từ đó xâm nhập vào các thiết bị của người dùng.
Để trả tiền chuộc cho dữ liệu bị đánh cắp, người dùng phải cài trình duyệt Tor, thanh toán bằng tiền điện tử Dash hoặc Bitcoin với khoản tiền khoảng $200 đến $1,200 tùy thuộc vào số lượng file bị mã hóa. Theo ước tính của Bkav, vào cuối năm 2018, có khoảng 3,900 máy tính tại Việt Nam bị mã độc ransomware này mã hóa dữ liệu tống tiền.
Bad Rabbit
Bad Rabbit là một ransomware được biết đến với cuộc tấn công mã độc tống tiền lớn thứ 3 kể từ năm 2017, chỉ đứng sau WannaCry và NotPetya. Loại mã độc này được phát tán từ một yêu cầu cập nhật Adobe Flash giả mạo.
Ransomware này lừa người dùng truy cập vào các trang web đã bị hack để tải về file cài đặt Adobe Flash, từ đó xâm nhập vào toàn bộ dữ liệu trên thiết bị máy tính của họ. Phần lớn các máy tính bị nhiễm mã độc đều xuất hiện ở Nga và vì lý do nạn nhân cài đặt thủ công tệp .exe. Những kẻ tấn công yêu cầu khoản tiền chuộc là khoảng 0.05 BTC.
Cách phòng chống Ransomware
Chính vì tác hại nghiêm trọng mà mã độc tống tiền này gây ra, do đó việc nắm rõ các dấu hiệu cũng như cách ngăn chặn các cuộc tấn công Ransomware là rất cần thiết đối với tất cả người dùng. Cụ thể, bạn có thể bảo vệ mình tránh khỏi Ransomware bằng những cách sau:
- Cài đặt các phần mềm chống virus xâm nhập, nên tải về các phiên bản mới nhất để đảm bảo áp dụng các công nghệ tân tiến nhất một cách hiệu quả.
Không nhấp vào các file lạ, web giả mạo, các email lừa đảo, các đường link không rõ nguồn gốc để tránh bị Ransomware xâm nhập.
Thay đổi mật khẩu mặc định trên mọi điểm truy cập.
Tiến hành sao lưu dữ liệu máy tính của bạn bằng cách sử dụng các nguồn an toàn bên ngoài. Điều này giúp đảm bảo khôi phục được các tệp bị nhiễm mã độc đã xóa.
Tránh truy cập vào các trang web không được bảo mật bởi giao thức “https://”. Song, các mã độc Ransomware ngày này đã được cài đặt tinh vi hơn, ngay cả đối với các trang web triển khai giao thức trên. Vì vậy, nạn nhân có thể dễ dàng bị đánh lừa.
Không kết nối và sử dụng các mạng Internet chưa rõ nguồn gốc.
5. Làm gì nếu bị tấn công Ransomware?
Nếu không may máy tính hoặc thiết bị của bạn bị nhiễm mã độc Ransomware, hãy thực hiện các thao tác sau:
- Cô lập và tách mạng, hệ thống: Sau khi phát hiện thiết bị nhiễm ransomware, hãy cách ly các dữ liệu bị nhiễm với hệ thống, tắt các hệ thống và rút mạng để mã độc không thể lây lan thêm.
- Định vị và xóa các ransomware: Tìm ra các dữ liệu hay phần mềm đã bị nhiễm mã độc trên thiết bị, xác định chủng và thực hiện biện pháp loại bỏ chúng.
- Xóa dữ liệu bị nhiễm và khôi phục từ bản sao lưu: Để tránh trường hợp các Ransomware vẫn còn, tốt nhất hãy xóa toàn bộ dữ liệu đã bị nhiễm và khôi phục lại từ đầu.
- Phân tích và giám sát hệ thống: Khi đã diệt các Ransomware thành công, hãy ngồi lại phân tích về các nguy cơ lây nhiễm từ đâu và rút kinh nghiệm cho những lần sau nếu gặp phải.
6. Tổng kết
Ransomware là một mã độc tống tiền có thể xâm nhập vào các thiết bị một cách nhanh chóng và gây ra những tác hại lớn không chỉ đối với cá nhân mà còn cả các tổ chức, chính phủ. Chính vì vậy, việc nhận ra mối nguy hại của mã độc này và cách ngăn chặn nó là điều hết sức cần thiết.
Hy vọng qua bài viết trên bạn đọc có thể hiểu rõ Ransomware là gì cũng như cơ chế của cuộc tấn công Ransomware diễn ra như thế nào