Ransomware là một loại phần mềm độc hại nhắm mục tiêu vào máy tính và thao túng dữ liệu để lấy tiền từ nạn nhân của chúng. Mối đe dọa đối với các tổ chức và doanh nghiệp trong những năm gần đây đã chuyển từ virus sang ransomware. Các quản trị viên hệ thống IT không ngừng tìm kiếm các giải pháp để ngăn chặn loại ” ransomware” này xâm nhập vào hệ thống của họ. Hãy cùng giavang.com tìm hiểu thông qua bài viết dưới đây.

Mục Lục

1 Ransomware là gì?
2 Cơ chế hoạt động của Ransomware
3 Nguồn gốc hình thành Ransomware
4 Các loại Ransomware
5 Những vụ tấn công ransomware nổi tiếng
6 Những ai có thể trở thành nạn nhân của ransomware?
7 Làm gì khi máy tính bị nhiễm ransomware?
8 Cách phòng chống ransomware hiệu quả
9 Lời kết

Ransomware là gì?

Bộ Tư pháp Hoa Kỳ gọi ransomware là dạng virus mã hóa, là một mô hình về tội phạm mạng gây ra mối đe dọa cho tất cả các mạng quốc tế lớn. Dữ liệu trên đĩa được mã hóa hoặc không thể truy cập được khi ransomware tấn công máy. Người dùng phải thanh toán vào tài khoản để mở khóa phần mềm độc hại và tiếp tục hoạt động bình thường.

Bài viết liên quan

Hashrate là gì? Ảnh hưởng của Hashrate khi đào Coin

Ví lạnh là gì? Mua ví lạnh ở đâu uy tín? Cách sử dụng ví lạnh

DApp là gì? Kiến thức toàn tập về DApp cập nhật mới nhất

Funding rate là gì? Hướng dẫn theo dõi Funding rate trên Binance

Cơ chế hoạt động của Ransomware

Khi máy tính người dùng bị nhiễm ransomware, phần mềm độc hại này sẽ mã hóa các tệp dữ liệu thành các phần mở rộng ký tự bất thường.

Ví dụ: *.Doc > *.docm ; *.xls > *.cerber, …

Bởi vì các đuôi mã hóa thay đổi mỗi lần nên việc tìm kiếm chúng đòi hỏi rất nhiều công sức. Không có thông báo tin tặc nào hiển thị trên máy tính bị nhiễm mã độc tống tiền. Có khả năng cao là các máy tính khác trong hệ thống sẽ bị ảnh hưởng bởi ransomware nếu một máy tính bị nhiễm. Người dùng phải trả tiền cho tin tặc bằng các loại tiền kỹ thuật số như Bitcoin hoặc Litecoin để khôi phục các tệp bị nhiễm ransomware.

Nguồn gốc hình thành Ransomware

Vào năm 2005–2006, ransomware đã được tìm thấy ở Nga. Biến thể ransomware có dạng TROJ CRYZIP.A khi xuất hiện trong giai đoạn đầu. Các nhà phân tích dữ liệu đã phát hiện ra rằng ngay khi biến thể Trojan này xâm nhập vào máy tính, dữ liệu sẽ được mã hóa và cần có mật khẩu để giải mã. Ngoài ra, chủ sở hữu dữ liệu phải trả 300 đô la để có được mật khẩu.

Theo thời gian, Ransomware mở rộng phạm vi của mình, ăn vào cả các tệp văn bản, bảng tính có định dạng đuôi như *.doc, *.xl, *.exe,…

Cộng đồng thông tin toàn cầu ghi nhận sự xuất hiện của SMS Ransomware vào năm 2011, đây là một loại ransomware khác. Cùng với các đặc điểm tiêu chuẩn, SMS Ransomware còn thông báo cho khách hàng rằng họ phải gọi cho tin tặc theo số điện thoại đã cho đến khi số tiền được yêu cầu được chuyển.

Một biến thể khác của ransomware cũng gây bão khi nó nhắm mục tiêu MBR của hệ điều hành máy chủ. Nói cách khác, hệ điều hành sẽ trở nên không sử dụng được.

Virus này lần đầu tiên xuất hiện ở Nga, nhưng nó đã nhanh chóng lan rộng khắp châu Âu. Số vụ tấn công ransomware lên đến đỉnh điểm vào năm 2012, khi chúng lan rộng khắp Châu Âu, Hoa Kỳ và Canada. Ransomware hiện có thể xuất hiện ở bất cứ đâu trên thế giới.

Các loại Ransomware

Locker ransomware

Locker ransomware còn có một tên gọi khác là Non-encrypting ransomware. Thay vì mã hóa các tệp, loại phần mềm này ngăn chặn hoàn toàn mọi người truy cập vào thiết bị. Chẳng hạn, một máy tính đã bị nhiễm ransomware sẽ chỉ có thể bật và tắt. Một thông báo mô tả cách gửi tiền để khôi phục tiện ích về trạng thái ban đầu sẽ hiển thị trên màn hình của máy.

Ransomware Crypto

Ransomware Crypto hay Encrypting Ransomware là loại ransomware điển hình nhất. Bằng cách kết nối kín đáo với trang web của tin tặc, chúng mã hóa các tệp dữ liệu bằng cách tạo khóa mã hóa và đổi tên các tệp. Những tin tặc này sẽ gửi thông báo đòi tiền chuộc đến máy tính cùng một lúc và đôi khi chúng còn đặt nạn nhân vào tình trạng ràng buộc về thời gian. Tệp có thể được cập nhật thành mã hóa nếu không nhận được khoản thanh toán trong thời gian quy định, điều này sẽ tác động tiêu cực đến dữ liệu.

Các chủng nguy hiểm nhất

Ransomware hiện có nhiều biến thể với mức độ đe dọa khác nhau. Ba chủng ransomware nguy hiểm nhất là WannaCry, CryptoLocker và Petya. Locky, TeslaCrypt và các tên khác cũng nằm trong số những thứ có thể làm hỏng máy tính của bạn.

Những vụ tấn công ransomware nổi tiếng

WannaCry

Đối với những cá nhân quan tâm đến công nghệ và bảo mật, WannaCry có lẽ không còn là cái tên xa lạ. Trên khắp 116 quốc gia, trong đó có Việt Nam, đã có 250.000 máy tính bị nhiễm loại virus nguy hiểm này trong năm 2017.

Cho đến năm 2017, WannaCry được coi là “sự bùng phát ransomware tồi tệ nhất từ trước đến nay”, với ước tính thiệt hại tổng thể từ hàng trăm triệu đến hàng tỷ đô la. Loại virus độc hại này lợi dụng một điểm yếu trong giao thức SMB của hệ điều hành Microsoft Windows để tự động lây lan sang các máy khác trên cùng một mạng.

Với gần 250.000 phần mềm độc hại được tìm thấy, WannaCry đã lây lan sang 116 quốc gia chỉ trong 4 ngày. FedEx, Dịch vụ Y tế Quốc gia của Vương quốc Anh và Bộ Nội vụ Nga chỉ là một vài trong số các tổ chức thương mại và chính phủ quan trọng ở Châu Âu đã bị ảnh hưởng bởi phần mềm tống tiền này.

Vài tháng sau vụ việc, chính phủ Hoa Kỳ đã đưa ra cáo buộc chính thức rằng Triều Tiên chịu trách nhiệm về các vụ tấn công WannaCry. Những tin đồn tương tự được nắm giữ bởi Microsoft và thậm chí cả chính phủ Vương quốc Anh.

GandCrab

Vào cuối tháng 1 năm 2018, ransomware GandCrab đã được tìm thấy. Quảng cáo liên kết đến các trang đích hoặc email lừa đảo được sử dụng để phát tán phần mềm độc hại nguy hiểm này. Người dùng phải cài đặt trình duyệt Tor để trả tiền chuộc, dao động từ 200 đô la đến 1200 đô la tùy thuộc vào số lượng dữ liệu được mã hóa.

Ghi nhận của Bkav cho thấy tính đến cuối năm 2018, có 3.900 trường hợp máy bị mã độc tống tiền này mã hóa dữ liệu dùng để tống tiền. Ngoài ra, tin tặc đã phát triển và cải tiến qua bốn thế hệ với mức độ tinh vi ngày càng tăng.

Bad Rabbit

Sau WannaCry và NotPetya, Bad Rabbit là một ransomware đã trở thành mối đe dọa an ninh mạng lớn thứ ba kể từ đầu năm 2017. Với tốc độ lây lan rất nhanh, loại ransomware này đã tàn phá nhiều quốc gia Đông Âu, ảnh hưởng đến cả các tổ chức doanh nghiệp và chính phủ. Ba ấn phẩm của Nga, Bộ giao thông Ukraine, sân bay Odessa ở Thổ Nhĩ Kỳ và hệ thống tàu điện ngầm của Kiev chỉ là một vài nạn nhân của Bad Rabbit.

Một yêu cầu giả mạo để nâng cấp lên Adobe Flash là cách mà Bad Rabbit lan truyền. Người dùng bị phần mềm độc hại này dụ dỗ truy cập các trang web bị xâm nhập để lấy các tệp cài đặt Adobe Flash. Những tin nhắn như vậy không quá xa lạ với người dùng Internet. Do đó, bạn có thể dễ dàng sa vào bẫy nếu không cảnh giác.

Những ai có thể trở thành nạn nhân của ransomware?

Doanh nghiệp

Ransomware thường nhắm mục tiêu vào các doanh nghiệp. Hầu như không bất ngờ khi tin tặc nhắm đến những doanh nghiệp đang phát triển nhưng có hệ thống bảo mật lỏng lẻo để tấn công ransomware. Những công ty này có tài chính tốt, và thường sẽ chi trả cho hacker khi đứng trước những lời đe dọa xóa hoặc mã hóa dữ liệu khách hàng.

Tổ chức y tế – chính phủ – giáo dục

Ngoài ra, một số tổ chức cũng có thể trở thành đối tượng bị tấn công vì hacker cho rằng họ có khả năng sẽ trả tiền chuộc trong thời gian ngắn. Ví dụ như các cơ quan chính phủ hay các cơ sở, dịch vụ y tế – những đơn vị phải thường xuyên truy cập vào cơ sở dữ liệu. Các công ty luật và các doanh nghiệp khác có lượng lớn dữ liệu nhạy cảm cũng có thể sẵn sàng trả tiền để những kẻ tấn công giữ im lặng.

Các trường đại học là một mục tiêu tiềm năng khác của tin tặc vì họ thường có bộ phận an ninh thiếu nhân lực mặc dù có cơ sở dữ liệu người dùng khá lớn.

Cá nhân

Hoạt động của ransomware không chỉ nhắm mục tiêu vào các doanh nghiệp mà còn cả cá nhân. Nhiều cuộc tấn công ransomware đã được thực hiện nhằm vào các CEO, người sáng lập và quản lý của các doanh nghiệp và doanh nghiệp lớn vì kẻ xấu nghĩ rằng họ có tiền.

Tuy nhiên, điều đó không có nghĩa là những cá nhân bình thường sử dụng Internet thì không có nguy cơ bị tấn công bởi ransomware. Trên thực tế, ransomware có thể ảnh hưởng đến bất kỳ ai bởi vì nhiều biến thể ransomware khác nhau hiện có thể tự phát tán qua Internet. PC của người dùng có thể bị “tê liệt” chỉ bằng một cú nhấp chuột.

Làm gì khi máy tính bị nhiễm ransomware?

Nói một cách đơn giản, tin tặc muốn kiếm tiền bằng cách lây nhiễm máy tính của bạn bằng các chương trình độc hại. Bạn càng hoảng loạn và trả tiền càng nhanh, chúng sẽ lại càng lộng hành. Ngoài ra, bạn đang giao dịch với một kẻ lừa đảo, do đó đây không phải là một giao dịch công bằng. Bạn không thể chắc chắn rằng bạn sẽ lấy lại dữ liệu của mình nếu bạn trả tiền chuộc cho chúng. Do đó, các cơ quan chức năng và các chuyên gia an ninh mạng khuyên không nên trả tiền chuộc cho tin tặc.

Cách xử lý khi máy tính nhiễm ransomware — Cách xử lý khi máy tính nhiễm mã độc

Trong trường hợp bị nhiễm Ransomware, hãy thực hiện những bước sau đây:

Bước 1: Tách mạng ra khỏi hệ thống bằng cách rút phích cắm mạng và cách ly khu vực bị nhiễm độc với phần còn lại của hệ thống. Điều này sẽ ngăn virus lây lan.

Bước 2: Tìm các thành phần độc hại đang lây nhiễm vào máy tính, xác định chúng và lập kế hoạch loại bỏ ransomware.

Bước 3: Xóa phần mềm bị tốn tiền ra khỏi thiết bị và khôi phục từ bản sao lưu: Nếu phần mềm tống tiền vẫn còn, hãy xóa tất cả dữ liệu bị ảnh hưởng và bắt đầu lại bằng cách sử dụng bản sao lưu.

Bước 4: Phân tích và theo dõi hệ thống : Khi phần mềm tống tiền đã được loại bỏ hoàn toàn, hãy kiểm tra và phân tích các nguồn lây nhiễm có thể xảy ra để xác định hướng hành động tốt nhất để bảo vệ dữ liệu.

Cách phòng chống ransomware hiệu quả

Ransomware vẫn cực kỳ khó loại bỏ. Do đó, bạn nên bảo vệ dữ liệu của mình trước để tiết kiệm thời gian và công sức. Bạn có thể tham khảo một số cách dưới đây để bảo vệ dữ liệu của máy tính:

Tránh sử dụng những mạng wifi miễn phí, không xác định được nguồn gốc rõ ràng.
Không nên click vào những đường link lạ, các email không rõ địa chỉ.
Thường xuyên sao lưu dữ liệu, cài đặt các phần mềm chống virus và thường xuyên cập nhật.
Thay đổi mật khẩu mặc định trên tất cả các điểm truy cập.
Tạo nhiều rào cản trên các hệ thống mạng của bạn.
Có kế hoạch phục hồi khi lỡ bị mất dữ liệu.

Lời kết

Bài viết trên đây chia sẻ về mã độc ransomware và những cách giải quyết khi không may bị nhiễm. Hy vọng những thông tin trên đem đến cho bạn những kiến thức bổ ích. Đừng quên truy cập giavang.com để cập nhật nhiều kiến thức thú vị.

DYOR là gì? Tại sao DYOR lại quan trọng?

GameFi là gì? Hướng dẫn tham gia IDO trên GameFi

2 cách thêm mạng BSC vào Metamask nhanh chóng

Cách thêm mạng Polygon vào Metamask nhanh chóng trong 30 giây