Khám phá Ransomware là gì? Tác động và giải pháp ngăn chặn

0
(0)

Chắc chắn rằng không một ai dùng máy tính muốn máy mình dính mã độc Ransomware. Vậy mã độc Ransomware là gì? Mời bạn tham khảo nội dung bài viết dưới đây của DINHNGHIA!

Ransomware là gì?

Định nghĩa

Là một loại virus được mã hóa, Ransomware sẽ mã hóa hoặc chặn những truy cập dữ liệu trên đĩa một khi lây nhiễm vào máy tính. Loại virus này được Bộ Tư pháp Hoa Kỳ đánh giá là mô hình hiện đại của tội phạm mạng có khả năng gây tổn thương đến hệ thống mạng toàn cầu.

Nếu muốn gỡ được Ransomware ra khỏi máy thì người dùng phải chuyển tiền vào tài khoản để có thể sử dụng lại bình thường.

Ransomware là một loại virus được mã hóa
Ransomware là một loại virus được mã hóa

Cơ chế hoạt động

Cơ chế hoạt động của Ransomware diễn ra như sau: Ransomware lây nhiễm vào máy tính và mã hóa file dữ liệu thành các file có đuôi ký tự khác biệt như *.Doc > *.docm ; *.xls > *.cerber,… Các đuôi mã này sẽ khác nhau tùy vào thời điểm nên rất tốn nhiều công sức để người dùng xác định.

Sẽ không hề có bất cứ thông báo nào từ hacker khi máy tính bạn bị nhiễm Ransomware. Khả năng cao khi một máy tính nhiễm Ransomware thì tình trạng này cũng sẽ xảy ra với các máy còn lại trong hệ thống. Nếu muốn chuộc lại các file đã nhiễm Ransomware thì người dùng phải trả tiền cho hacker bằng các đồng tiền ảo, chẳng hạn như bitcoin,…

Cơ chế hoạt động của Ransomware
Cơ chế hoạt động của Ransomware

Nguồn gốc

Giai đoạn hình thành

Vào khoảng năm 2005 – 2006, Ransomware đã được các nhà phân tích dữ liệu phát hiện tại Nga. Trong giai đoạn đầu, Ransomware này ở dạng biến thể TROJ_CRYZIP.A. Khi máy bị biến thể dạng Trojan này xâm nhập thì dữ liệu của bạn ngay lập tức bị mã hóa. Nếu muốn truy cập vào lại thì phải trả $300 theo yêu cầu để có được mật khẩu.

Giai đoạn hình thành của Ransomware
Giai đoạn hình thành của Ransomware

Phát triển

Ransomware phát triển theo thời gian và mở rộng phạm vi của mình. Chúng ăn vào nhiều loại tệp khác, có cả tệp nội dung và bảng tính ở dạng đuôi *.doc, *.xl, *.exe,…

Vào năm 2011, Ransomware mang tên SMS Ransomware đã được giới thông tin thế giới ghi nhận. Bên cạnh các đặc tính thông thường, SMS Ransomware sẽ thông báo cho người dùng liên hệ số điện thoại của hacker được cung cấp cho đến khi bạn trả họ số tiền như đã được yêu cầu.

Bên cạnh đó, còn một dạng khác của Ransomware cũng làm mưa làm gió. Ransomware này sẽ tấn công vào MBR làm cho hệ điều hành của máy chủ dừng hoạt động.

Giai đoạn phát triển của Ransomware
Giai đoạn phát triển của Ransomware

Lan rộng

Sau giai đoạn hình thành và phát triển, Ransomware lan rộng khắp cả châu Âu chỉ trong thời gian ngắn xuất hiện tại Nga. Có thể nhắc đến đỉnh điểm năm 2012, ghi nhận Ransomware đã tấn công lượng lớn máy tại châu ÂuCanada, Mỹ và có thể xuất hiện bất cứ nơi nào trên thế giới cho tới thời điểm này.

Ransomware là gì - Giai đoạn lan rộng của Ransomware
Ransomware là gì – Giai đoạn lan rộng của Ransomware

Phân loại Ransomware

Locker Ransomware

Locker Ransomware hay còn gọi là Non-encrypting Ransomware. Thay vì mã hóa file, loại Ransomware này chặn hoàn toàn hành động truy cập thiết bị của người dùng.

Nếu máy tính bạn bị nhiễm Locker Ransomware, bạn sẽ không thể thực hiện bất cứ thao tác nào trên máy ngoại trừ bật tắt. Máy sẽ được trả về như bình thường khi bạn gửi tiền theo hướng dẫn đã được gửi thông báo đến máy.

Locker ransomware
Locker ransomware

Ransomware Crypto

Ransomware Crypto (Encrypting Ransomware) được nhiều người biết đến là loại virus có khả năng mã hóa các file dữ liệu và đổi tên đuôi file. Chúng sẽ kết nối với server của hacker một cách bí mật và các hacker sẽ đòi tiền chuộc của nạn nhân bằng thông báo gửi về máy.

Một số trường hợp hacker sẽ tạo áp lực thời gian cho nạn nhân và nếu không trả đúng trong thời gian đã được quy định thì file sẽ được nâng cấp mã hóa, ảnh hưởng xấu cho dữ liệu.

Ransomware Crypto
Ransomware Crypto

Các chủng nguy hiểm nhất

Rất nhiều chủng loại Ransomware đã được phát hiện với nhiều mức độ nguy hiểm khác nhau. Trong đó 3 loại Ransomware nguy hiểm nhất có thể kể đến là: WannaCry, Petya, CryptoLocker. Bên cạnh đó cũng còn một số cái tên khác như Locky, TeslaCrypt,…

Ransomware là gì - Các chủng nguy hiểm nhất của Ransomware
Ransomware là gì – Các chủng nguy hiểm nhất của Ransomware

Phân biệt Ransomware với các phần mềm malware bình thường

Sự khác biệt

Điểm chung của Ransomware hay các phần mềm malware bình thường là chúng sẽ âm thầm làm mọi cách để ẩn mình và phá hoại file dữ liệu của bạn. Tuy nhiên có một điểm khác biệt lớn là cơ chế mã hóa của ransomware rất phức tạp.

Các mã hóa này giúp cho phần mềm độc hại ăn sâu vào file dữ liệu mà các phần mềm diệt virus không thể nào ngăn cản được.

Sự khác biệt của Ransomware với các phần mềm malware bình thường
Sự khác biệt của Ransomware với các phần mềm malware bình thường

Phương pháp ẩn mình của Ransomware

Các hacker sẽ trang bị cho Ransomware ẩn mình dưới nhiều thuật toán, có thể kể đến:

  • Detection: Ở phương pháp này các phần mềm độc hại sẽ dò xét môi trường. Mục đích là để đề phòng nguy cơ ở trong một môi trường bị ảo hóa và thoát khỏi sự phát hiện của các nhà nghiên cứu bảo mật. Tuy nhiên, phương pháp dò xét này khiến Ransomware không tạo ra được một chữ ký bảo mật cập nhật.
Phương pháp ẩn mình Detection của Ransomware
Phương pháp ẩn mình Detection của Ransomware
  • Timing: Bạn biết đó, không có điều gì hoàn hảo và đứng trước loại virus nguy hiểm như Ransomware thì phần mềm diệt virus cũng chịu thua. Phương pháp Timing giúp Ransomware xâm nhập vào thiết bị trong khoảng thời gian bật/tắt khi mà các phần mềm diệt virus chưa kịp khởi động.
Phương pháp Timing giúp Ransomware xâm nhập vào thiết bị trong khoảng thời gian bật/tắt của phần mềm diệt virus
Phương pháp Timing giúp Ransomware xâm nhập vào thiết bị trong khoảng thời gian bật/tắt của phần mềm diệt virus
  • Communication: Các Ransomware sẽ ngay lập tức liên lạc với máy chỉ huy (C&C server) để nhận hướng dẫn khi thâm nhập vào file dữ liệu. Tuy nhiên, lợi dụng đặc điểm này các các phần mềm diệt virus có thể phát hiện cụ thể các địa chỉ IP và ngăn chặn các giao tiếp đó diễn ra.
Các Ransomware sẽ ngay lập tức liên lạc với máy chỉ huy để nhận hướng dẫn khi thâm nhập vào file dữ liệu
Các Ransomware sẽ ngay lập tức liên lạc với máy chỉ huy để nhận hướng dẫn khi thâm nhập vào file dữ liệu
  • False Operation: Một chương trình giả mạo có thể diễn ra khi thiết bị bị nhiễm Ransomware. Nếu không có nhiều kỹ năng, người dùng sẽ lầm tưởng đây là một chương trình bình thường của hệ điều hành. Và nếu thực hiện theo các hướng dẫn thì sẽ khiến virus lây lan với tốc độ nhanh chóng.
False Operation - Một chương trình giả mạo có thể diễn ra khi thiết bị bị nhiễm Ransomware
False Operation – Một chương trình giả mạo có thể diễn ra khi thiết bị bị nhiễm Ransomware

Ngăn chặn ransomware

Tự bảo vệ dữ liệu của mình là phương án đỡ tốn thời gian và công sức nhất vì các Ransomware vẫn rất khó để loại bỏ cho đến thời điểm hiện tại. Bạn có thể áp dụng các cách phòng chống Ransomware sau:

  • Nói không với các mạng wifi miễn phí, không có nguồn gốc rõ ràng.
  • Khi gặp các đường link lạ hay email không rõ địa chỉ, hạn chế click vào.
  • Sao lưu dữ liệu, cài đặt và cập nhật các phần mềm chống virus thường xuyên.
  • Thay đổi mật khẩu mặc định đối với tất cả các điểm truy cập.
  • Khi lỡ bị mất dữ liệu phải lên kế hoạch phục hồi.
Các cách ngăn chặn ransomware
Các cách ngăn chặn ransomware

Nên làm gì khi bị nhiễm Ransomware?

Nếu máy bạn bị nhiễm Ransomware, hãy thực hiện theo các bước dưới đây:

  • Bước 1: Cô lập và tách mạng hệ thống. Hãy cách ly phần đã bị nhiễm với hệ thống bằng cách tắt các hệ thống đó. Rút luôn mạng để phòng trường hợp virus lây lan xảy ra.
  • Bước 2: Xác định và xóa các Ransomware: Hãy cố gắng tìm ra các phần độc hại đang bị lây nhiễm trên máy, sau đó xác định chủng và lên kế hoạch loại bỏ.
  • Bước 3: Xóa máy bị nhiễm và khôi phục từ bản sao lưu. Xóa tất cả các dữ liệu bị nhiễm và khôi phục dữ liệu lại từ đầu qua các bản sao lưu để tránh trường hợp các Ransomware còn sót lại.
  • Bước 4: Phân tích và giám sát hệ thống. Khi đã loại bỏ toàn bộ các Ransomware, hãy phân tích lại các yếu tố lây nhiễm để có cách bảo vệ dữ liệu phù hợp.
Ransomware là gì - Các bước cần làm khi bị nhiễm Ransomware
Ransomware là gì – Các bước cần làm khi bị nhiễm Ransomware

Một số vụ tấn công nổi tiếng

WannaCry

Đây là một loại mã độc đã từng gây hoang mang trên toàn thế giới vào năm 2017. Lợi dụng một lỗ hổng của hệ điều hành Microsoft, WannaCry đã phát triển lan rộng và ảnh hưởng đến các máy tính khác cùng mạng. Đã có hơn 116 nước (bao gồm Việt Nam) với hơn 250.000 dính mã độc này, dẫn đến thiệt hại khổng lồ với con số hàng trăm triệu USD.

Sau khi vụ việc được xử lý, Triều Tiên đã bị chính phủ Mỹ, Anh và cả tập đoàn Microsoft buộc tội vì đứng sau vụ tấn công này.

Vụ tấn công WannaCry
Vụ tấn công WannaCry

GandCrab

Mã độc này mang tên GandCrab này xảy ra vào tháng 1/2018 khi được phát tán qua các quảng cáo đưa người dùng tới trang chứa mã độc hay các email.

Nếu muốn xóa bỏ, người dùng phải cài đặt một trình duyệt tên Thor như yêu cầu và thanh toán số tiền từ $200 – $1200 bằng tiền ảo Bitcoin. Đã có hơn 3900 máy tính bị nhiễm GandCab vào cuối năm 2018 ở Việt Nam ta.

Vụ tấn công GandCrab
Vụ tấn công GandCrab

Bad Rabbit

Trong một thời gian ngắn nhưng mã độc Bad Rabbit đã gây khủng hoảng nghiêm trọng tới nhiều chính phủ, doanh nghiệp ở nhiều quốc gia Đông Âu năm 2017. Bad Rabbit đã thâm nhập vào máy chủ khi người dùng tải về file Adobe Flash giả.

Vụ tấn công Bad Rabbit
Vụ tấn công Bad Rabbit

NotPetya

NotPetya cũng lợi dụng lỗ hổng của Microsoft để ăn vào các dữ liệu của người dùng tương tự như cách của WannaCry. Nhưng NotPetya nguy hiểm ở chỗ chúng có thể tự động lây lan từ máy tính này sang máy tính khác, từ dữ liệu này sang dữ liệu khác. Ghê hơn là chúng không quan tâm nạn nhân có trả tiền chuộc hay không thì ổ cứng vẫn sẽ bị phá hủy.

Vụ tấn công NotPetya
Vụ tấn công NotPetya

Xem thêm:

  • Reboot là gì? 3 điểm khác của reboot và reset bạn nên biết
  • Zavi là gì? Ưu nhược điểm và các tính năng nổi bật cần biết
  • Workstation là gì? Có gì khác với máy chủ và máy tính thường?

Như vậy, thông qua nội dung bài viết trên DINHNGHIA đã mang đến cho bạn thông tin về Ransomware là gì và những thứ xoay quanh nó. Bạn thấy thông tin này có hữu ích hay không? Chia sẻ cho chúng mình biết với nhé!

Bạn thấy bài viết này hữu ích chứ?

Hãy chọn vào ngôi sao để đánh giá bài viết

Đánh giá trung bình 0 / 5. Lượt đánh giá 0

Hãy là người đầu tiên đánh giá bài viết

Hãy để lại bình luận

Xem nhiều

Bài tin liên quan

Mạng 5G là gì? Mạng 5G khi nào phủ sóng toàn quốc?

Mạng 5G là bước tiến vượt bậc trong công...

Mạng 4G là gì? Có nhanh không? 4G và LTE khác gì nhau?

Mạng 4G, ra đời vào năm 2010, là thế...

3G là gì? Tốc độ của mạng 3G là bao nhiêu? Khác gì với 2G và 4G

Mạng 3G, ra đời vào đầu những năm 2000,...

Mạng 2G là gì? Tại sao cắt mạng 2G? Khi nào cắt?

Mạng 2G, công nghệ di động phổ biến từ...