- Tham gia
- 30/6/17
- Bài viết
- 26
- Được thích
- 14
1964
#1
Trong thời gian gần đây, ransomware đang là một trong những vấn đề được quan tâm nhất khi liên tục xuất các tin tức về những đợt tấn công máy tính bằng mã độc. Những cái tên như WannaCry hay Petya, NotPetya có lẽ đã không còn xa lạ đối vối người dùng. Vậy ransomware là gì? Vì sao nó lại nguy hiểm? Hãy cùng tìm hiểu qua bài này nhé.
1. Ransomware là gì?
Ransomware là một bộ phần mềm có khả năng hạn chế các thao tác của người dùng đến hệ thống máy tính lợi dụng một số lỗ hỗng (chủ yếu liên quan đến phần mềm máy tính). Nó được những người viết ra nhằm mục đích tống tiền là chính, một số ít khác chỉ để trêu cho vui. Nói một cách dễ hiểu khác, ransomware có khả năng khóa cả căn nhà của bạn bằng chính ổ khóa của người đã tạo ra nó. Muốn vào nhà thì phải có chìa khóa mà làm thế nào để có chìa khóa? Đó là TRẢ TIỀN cho người đã tạo ra ransomware để chuộc lại chìa khóa.
Giá một "chiếc chìa khoá" như thế nào thì còn tùy vào trái tim ấm áp của người tạo ra ransomware. Có những chiếc chìa chỉ có 20-30 USD, cao hơn nữa là vài trăm USD (điển hình là WannaCry đòi 300 USD tiền phục hồi) hay thậm chí là có những chiếc dao động lên tới hàng nghìn đô (Cerber ransomware đòi tiền chuộc lên tới 1.25 bitcoin tương ứng gần 3000 USD tính theo thị trường bitcoin hiện nay).
2. Những đặc điểm của ransomware
2.1. Cách thức hoạt động của bộ ransomware:
Bộ ransomware chủ yếu gồm 2 thành phần chính ransomware và server (máy chủ).
Đầu tiên, ngay khi máy tính bị nhiễm ransomware thì nó sẽ hoạt động theo 2 phương thức chủ yếu là khóa truy cập dữ liệu người dùng (các ransomware kiểu này gọi là "blocker") và mã hóa file người dùng (loại này phổ biến hơn gọi là "encryptor"). Đối với khóa dữ liệu người dùng, ransomware sẽ khóa toàn bộ thao tác đến máy tính khiến nạn nhân không thể thao tác được với máy tính (dù bạn có click chuột, bấm loạn xạ, Alt+F4... đều không được trừ việc tắt màn hình và rút nguồn thì không sao).
Đối với mã hóa file, ransomware sẽ lần tìm toàn bộ những file nó có thể mã hóa được như đổi đuôi file, thay đổi dữ liệu của file khiến nội dung của file đó không còn ở dạng nguyên mẫu có thể sử dụng được (thư tình, link torrent,... nó cũng không tha).
Ta thấy rằng, toàn bộ file đã bị mã hóa, đổi đuôi thành .WNCRY
Tiếp theo, ngay khoảng khắc nạn nhân vừa nhận ra mình bị tấn công thì một cửa sổ nhỏ nhỏ xinh xinh hiện ra thông báo máy tính đã bị tấn công, cách thức trả tiền, nạn nhân cần cung cấp cho chủ ransomware một khoản tiền "nhỏ" để có thể phục hồi lại máy tính về dạng trước đây và ở đâu đó có một khung thời gian đếm ngược kiểu bom hẹn giờ để cho nạn nhân lòe tiền ra nhanh hơn. Nếu nạn nhân vẫn lì không chịu trả thì ransomware một là tăng số tiền phải trả lên, hai là xóa hoàn toàn các file đã mã hóa luôn, thế là hết cứu.
Cách thức trả tiền chủ yếu hiện nay là sử dụng bitcoin, vì bitcoin rất khó quản lí, khó lần ra dấu vết người nhận tiền, khó tìm ra địa điểm nhận vì bitcoin không có tính sở hữu của một khu vực, quốc gia nhất định. Một cách xưa cũ là gọi qua điện thoại đến chủ ransomware và làm theo hướng dẫn. Tuy nhiên xài cách này ở thời đại bây giờ chẳng khác nào chui đầu vào rọ và tốn thời gian phải bắt máy từng người. Vậy để giải quyết vấn đế thời gian, tăng khoảng thu nhập cho bản thân, che dấu dấu vết thì phải làm sao? Họ sử dụng server (máy chủ).
Server có nhiệm vụ liên lạc qua lại với ransomware ở máy nạn nhân để tự động thực hiện các yêu cầu từ phía nạn nhân như thực hiện giao dịch, gửi chìa khóa giải mã, mở lại máy tính, ....
Nói thêm rằng, một số ransomware có thể trở thành lính cảm tử. Sau khi thực hiện xong yêu cầu từ phía server hay theo ý của người tạo ra nó thì nó sẽ tự hủy và xóa sạch dấu vết khiến việc điều tra, lần lại dấu vết thủ phạm rất khó khăn (điển hình là vụ ransomware WannaCry hiện vẫn chưa biết ai đứng sau cuộc tấn công).
2.2. Cách thức lây lan:
Ransomware có thể lây lan bằng rất nhiều con đường. Qua email spam, email giả danh, người dùng click vào một đường link không bảo mật, qua web đồi trụy, web lạ,.... Nhiều như thế này thì chỉ cần không click bậy hay không truy cập mạng là tránh được chứ gì? Chưa chắc nhé.
Theo công ty bảo mật TrendMicro ghi nhận thì hiện nay đã có mã độc có thể tự động tải về mà không cần click chuột (nó sử dụng powershell của powerpoint để tạo một siêu liên kết ảo khiến người dùng truy cập vào trang web mà không click bất kỳ thứ gì cũng dính chưởng) hay WannaCry 2.0 có thể lây nhiễm qua mạng LAN (mạng cục bộ) tức là nếu một máy tính trong mạng bị nhiễm thì WannyCry có thể lần theo kết nối mạng LAN để lây nhiễm sang các máy khác (giống như bệnh lao, chỉ cần một người ho trong khi bạn đứng gần đó thì lời khuyên là nên đi khám ngay).
Đó là lý do mỗi lần một ransomware mới xuất hiện thì nó lây lan cực kỳ nhanh. WannaCry từ ngày thứ 7/12, nó đã lây lan hơn 200.000 hệ thống trên khắp 150 quốc gia bao gồm bệnh viện, các cơ quan nhà nước, doanh nghiệp. Nói chung tất cả hệ thống máy tính đều có khả năng bị lây nhiễm.
(Những khu vực bị WannaCry tấn công)
2.3. Cách thức tống tiền:
Các ransomware thuyết phục nạn nhân trả một số tiền, đổi lại thì phần mềm này sẽ tự động phục hồi lại hệ thống như cũ. Nếu không, nó dọa sẽ xóa toàn bộ file đã mã hóa hay đẩy số tiền phải trả lên cao hơn.
Một số khác có khả năng ngụy trang (còn được gọi là "scareware"). Ví dụ như phần mềm sẽ thông báo rằng "Máy tính bạn đã bị nhiễm mã độc, hãy download phần mềm abcxyz để tiến hành giải độc" mà đa số các phần mềm như thế đều cần phải trả phí hay giả danh một cơ quan chức năng nào đấy thông báo rằng "bạn đã vi phạm điều abcxyz trong quá trình sử dụng" và kèm theo một khoản phạt.
3. Câu hỏi đặt ra là có nên trả tiền hay chấp nhận chịu thiệt thòi?
Câu trả lời là không nên trả tiền bằng bất kỳ cách nào vì những lý do sau:
- Bạn không biết rõ, sau khi trả tiền thì chưa chắc bạn phục hồi được dữ liệu hay mở khóa được hệ thống máy tính đúng như lời hứa hẹn của ransomware.
- Giả sử các ransomware thực hiện đúng lời hứa thì chưa chắc máy bạn lần sau hay 30s sau có thể không bị nhiễm lại vì các ransomware có thể lưu lại một file nhỏ
- nằm sâu trong hệ thống trước khi tự hủy để có cơ hội lây nhiễm trở lại.
- Lòng tham là vô đáy, ngay từ đầu các ransomware tống tiền bạn thì chắc chắn lần sau nó sẽ có cơ hội tống tiền bạn lần nữa.
4. Các cách phòng chống, bảo vệ máy tính của bạn
Sử dụng windows bản quyền để được cập nhật thường xuyên:
Vì các ransomware chủ yếu khai thác các lỗ hổng trên Windows để thực hiện vụ tấn công, nên cập nhật hệ thống thường xuyên để "bịt kín" các lỗ hổng lại. Bạn nên lướt qua các bản cập nhật của Windows sắp tới, ngày ra mắt để cập nhật nhanh nhất. Nếu bạn là người bận rộn thì tốt nhất hãy kiểm tra các gói cập nhật ít nhất 1 tháng 1 lần vì các gói cập nhật thường cách nhau khoảng 1 tháng. Cập nhật nhanh chóng là cách bảo vệ máy tính hiệu quả nhất trước các đợt tấn công từ ransomware.
Ví dụ : Xét 3 bản cập nhật liên tiếp của Microsoft
Hạn chế vào các trang web không có tính xác thực cao:
Nghe có vẻ chung chung quá, theo kinh nghiệm thì tính xác thực đầu tiên là từ cảnh báo của trình duyệt khi bạn cố gắng truy cập một trang web. Nếu không quá cần thiết thì không nên vào trang web đó làm gì. Ngoài ra, bạn có thể xem thêm tính an toàn bằng cách nhấn vào tag ngay phía trước tên miền. Nó sẽ báo cho bạn biết, trang web đó có thực sự an toàn không, nó sử dụng các đặc quyền gì, quản lí các cookie như thế nào, nếu nó ghi chữ bảo mật màu xanh lá cây thì bạn có thể an tâm khoảng 90% để truy cập trang web đó (một số trang web "bẩn" vẫn có chứng chỉ bảo mật như thế).
Tránh tải các file lạ mà bạn không chắc chắn biết về nó:
Ví dụ như bạn tải một file nén trong đó chứa 1 file PDF tên là "abc" nhưng khi giải nén ra thì không thấy nó đâu hay có thấy nhưng đuôi file lại là exe. Tốt nhất bạn nên xóa toàn bộ file đó đi cho chắc.
Backup file thường xuyên , bỏ dữ liệu backup vào ổ đĩa khác, ổ đĩa di động, USB, hay sử dụng dữ liệu đám mây:
Thường thì backup toàn bộ hệ thống thì nên thực hiện 1-2 tháng 1 lần. File bình thường thì nên backup 1 tuần 1 lần vì sau 1 tuần cũng có kha khá file mới. Những file backup như thế nên đưa vào một ổ cứng di động hay USB.
Những file quan trọng, ý nghĩa với bạn như file công việc, ảnh du lịch, ảnh người yêu, ảnh tin nhắn hay ảnh dìm của đứa khác thì nên backup 1-2 ngày 1 lần. Đối với những file này thì lưu đâu cũng được. Nên lưu trên đám mây để tiện sử dụng, tốt nhất nên lưu cả 2 vị trí nếu cần chắc chắn.
Sử dụng trình duyệt virus uy tín (nếu có kinh tế kha khá thì nên mua bản quyền) :
Nên sử dụng một số trình duyệt uy tín như AVG , Antivirus, Bkav Home (nếu không có tiền), Malwares, SpyHunter. Nếu bạn quyết định crack để sử dụng thì nên tìm ở các trang công nghệ uy tín như techrum.vn genk.vn hay tinhte.vn và hãy xem mọi người nhận xét như thế nào về phần mềm crack đó ở phần comment trước khi quyết định tải về.
Có thể chỉ xài Windows Defender cũng không sao vì đối với phiên bản Windows 10 Creator thì Windows Defender cũng đã mạnh rồi.
Nếu bạn là người có tiền thì nên mua bản quyền vì trình diệt virus bản quyền được cập nhật thường xuyên, mở thêm nhiều tính năng mới, một số trình diệt virus còn kèm theo đĩa cứu hộ (Kaspersky Rescue Disk) trong trường hợp bạn không thể truy cập được vào hệ điều hành. Và đặc biệt, một khoản tiền nhỏ của bạn sẽ giúp những người tạo ra những phần mềm đó có thêm động lực và nguồn lực để tạo ra một trình diệt virus tốt hơn. Đằng nào cũng có lợi cho bạn.
5. Nếu máy tính đã bị nhiễm ransomware thì phải làm thế nào?
Hiện tại, việc chống lại ransomware khi đã bị nhiễm gần như không có. Nếu bạn đã dính ransomware thì có 2 cách được đề xuất:
- Nếu đã có sẵn file backup thì bạn nên cài lại windows và backup lại dữ liệu.
- Sử dụng các phần mềm giúp phục hồi file (cách này chỉ mang tính hên xui), đề xuất như ShadowExplorer.
6. Đôi nét về lịch sử Ransomware:
Ransomware đã có lịch sử 20 năm hình thành và phát triển. Ransomware lần đầu xuất hiện tại Nga dưới dạng "blocker" . Sau này, khi công nghệ mã hóa đã phát triển vượt bậc cộng với việc ngày càng nhiều dịch vụ mở khóa hệ thống miễn phí xuất hiện khiến cho biến thể này ít nguy hiểm hơn. Nó dọn đường cho biến thể thứ 2 của ransomware xuất hiện là biến thể "encrytor".
*Mong với bài viết này, các bạn sẽ có thêm hiểu biết về ransomware để bình tĩnh xử lí trước các đợt tấn công mã độc trong tương lai.
*Bài viết vẫn còn thiếu một số thông tin. Mọi người có thể nhận xét ở ô bình luận bên dưới để bổ sung cho bài viết nhé.
Xem thêm:
- Những điều cần làm để "cứu vớt" máy tính cùng dữ liệu khi đã bị nhiễm malware | TECHRUM.VN
- Microsoft: Ransomware Petya có mức lan tỏa thấp, tập trung hầu hết vào Ukraine | TECHRUM.VN
- Một số mẹo nhỏ phòng chống malware tấn công Windows PC | TECHRUM.VN
- Hướng dẫn phòng chống Petya ransomware bằng một số cách đơn giản | TECHRUM.VN
- Cuộc tấn công của ransomware mới đã xuất hiện ở châu Âu và có thể lây lan trên toàn thế giới | TECHRUM.VN
Bùi Quang Đính
Last edited by a moderator:
