BLog - Tin tức
Ransomware là gì? Mối nguy hại và phương thức phòng chống
Ransomware đã trở thành mối lo bảo mật dữ liệu toàn cầu, là “cơn ác mộng” mà bất kì người dùng nào đều không muốn gặp phải. Vậy thực chất loại mã độc này là gì và mức độ nguy hiểm tới đâu? Cùng tìm hiểu với Bách Khoa Data Recovery.
Nội dung chính
Ransomware là gì?
Ransomware là một thuật ngữ gọi tên các virus máy tính được mã hóa có chức năng hạn chế hoặc ngăn chặn người dùng truy cập vào hệ thống dữ liệu trong máy tính đã bị lây nhiễm, theo Wikipedia. Các hacker phát tán Ransomware tiến hành mã hóa dữ liệu và yêu cầu khổ chủ làm theo hướng dẫn – phần lớn là nộp tiền chuộc – để được lấy lại số dữ liệu đó.
Có cơ chế xâm nhập tương tự các virus khác, Ransomware lan truyền qua mạng internet, chủ yếu qua đường email, link internet hoặc lỗ hổng bảo mật của người dùng. Sau khi xâm nhập, virus này tiến hành quét toàn bộ dữ liệu của máy tính và mã hóa các tệp tin. Nhiều dữ liệu sẽ bị đổi đuôi lạ như *.Doc > *.docm ; *.xls > *.cerber,… và người dùng không thể mở được nữa. Để giải mã dữ liệu hacker sẽ yêu cầu chi trả một khoản tiền nhất định qua ngân hàng hoặc tiền điện tử.
Quá trình phát triển của mã độc Ransomware
Nguồn gốc Ransomware
Ransomware xuất hiện lần đầu từ năm 1989 trên dạng đĩa mềm và thực sự phổ biến tại Nga những năm 2005 – 2006. Một trong những biến thể sơ khai mang tên TROJ_CRYZIP.A. Đây là dạng biến thể có cơ chế khá phổ biến đó là mã hóa và yêu cầu chủ sở hữu trả 300 USD để có mật khẩu mở khóa.
Ransomware lan rộng toàn cầu
Không lâu sau đó, Ransomware được “xuất khẩu” rộng rãi khỏi lãnh thổ Nga. Năm 2011, thế giới ghi nhận dạng ransomware mới mang tên SMS Ransomware. Phiên bản này yêu cầu thêm người dùng phải liên lạc trực tiếp với hacker qua số điện thoại để đảm bảo tiền được chuyển tới đúng nơi.
Một phiên bản Ransomware làm mưa làm gió khác chuyên tấn công hệ thống MBR của máy chủ, khiến hệ điều hành tê liệt và bị sập.
Đỉnh điểm vào năm 2012, Ransomware được ghi nhận xuất hiện trong hàng loạt vụ tấn công lớn nhỏ tại Mỹ, Canada và châu Âu. Đến ngày nay, cụm từ này không còn quá xa lạ với người dùng máy tính tại Việt Nam cũng như toàn thế giới..
Một số ransomware phổ biến
Dạng locker Ransomware
Locker Ransomware được xem là dạng sơ khai khi nó tiến hành chặn hoàn toàn người dùng truy cập dữ liệu. Máy tính nhiễm mã này không thể thao tác bất kỳ điều trị kể cả truy cập dữ liệu. Đồng thời có một màn hình hiển thị các trả tiền để nhận lại máy.
Dạng Ransomware crypto
Đây là dạng Ransomware phổ biến nhất, có chức năng mã hóa dữ liệu để tống tiền người dùng, tiến hành đổi đuôi các file. Hành động này nguy hiểm hơn dạng locker khi không những người dùng không vào được mà còn có nguy cơ bị mất dữ liệu vĩnh viễn. Thông báo đòi tiền chuộc có hạn nộp tiền và hạn mất dữ liệu.
Cách Ransomware ẩn mình trước các lớp bảo mật
Để xâm nhập thành công và chiếm quyền điều khiển dữ liệu, đặc biệt tại các server thì mã Ransomware được hacker trang bị nhiều thuật toán “ẩn mình”. Phổ biến như Detection, Timing, Communication, False Operation,…
Detection là phương pháp do thám phổ biến của các loại mã độc. Trước khi xâm nhập các Ransomware sẽ dò xét khu vực đó và đánh giá lợi thế, rủi ro bảo mật hoặc nguy cơ xâm nhập vào môi trường ảo.
Timing tức Ransomware căn thời gian khi thiết bị đang bật hoặc tắt – khi các tính năng chống xâm nhập chưa được bật – để đánh chiến máy tính.
Communication là phương thức liên lạc về server hack ngay sau khi xâm nhập thành công để nhận chỉ thị. Tính năng này tạo ra lỗ hổng trên đường truyền và tạo cơ hội để người dùng phát hiện địa chỉ IP và ngăn chặn.
False Operation là tính năng thiết lập giao diện ảo của Ransomware. Mã độc sẽ tạo chương trình hệ thống ảo để người dùng nhầm tưởng là chương trình hệ thống, vô tình phát tán mã độc nhanh hơn.
Ngăn chặn Ransomware từ xa
Ransomware luôn luôn nâng cấp để trở nên lợi hại hơn. Không chỉ lây lan qua email, những lỗ hổng khác khi cài đặt phần mềm, sử dụng mạng xã hội,… cũng là nơi tiềm ẩn nguy cơ chứa mã độc này. Người dùng cần trang bị những kiến thức phòng tránh nền tảng, đồng thời tránh xa các hoạt động có nguy cơ cao nhiễm virus.
Những việc làm cần thiết để bảo vệ dữ liệu trước Ransomware:
- Luôn bật tường lửa và các công cụ bảo mật khác của hệ điều hành
- Cân nhắc sử dụng phần mềm diệt trừ virus
- Luôn cập nhật hệ thống lên phiên bản mới nhất có thể
- Thay đổi mật khẩu thường niên trên mọi tài khoản
- Nhận diện và loại trừ các email đáng nghi
- Cẩn trọng khi kết nối internet tại khu vực lạ
- Không truy cập đường link lạ, link giả mạo, link gây tò mò,…
- Bản sao lưu ngoài được cập nhật liên tục
- Không trả tiền chuộc vì bất kỳ lý do nào
Làm gì khi phát hiện máy tính nhiễm Ransomware?
Nhiễm Ransomware không phải là dấu chấm hết cho dữ liệu của bạn. Nếu đủ tỉnh táo và làm đúng chuẩn theo các bước sau, thiệt hại sẽ giảm đáng kể:
- TUYỆT ĐỐI KHÔNG TRẢ TIỀN CHUỘC
- Ngắt kết nối thiết bị nhiễm Ransomware với mạng và hệ thống chung
- Xác định và loại bỏ các Ransomware. Việc này cần sự hỗ trợ từ chuyên gia dữ liệu.
- Nếu đã có bản sao lưu, hãy xóa toàn bộ dữ liệu bị ảnh hưởng trên máy
- Ghi chú, phân tích và phòng ngừa Ransomware cho tương lai
Nếu bản sao lưu dữ liệu của bạn không đầy đủ hoặc không có bản sao lưu khi phát hiện máy tính bị nhiễm Ransomware, hãy mang ngay tới trung tâm cấp cứu dữ liệu. Tại các trung tâm sẽ có những chuyên gia dữ liệu cùng công cụ xử lý thích hợp để loại bỏ mã độc cũng như lấy lại dữ liệu cho bạn.
Bách Khoa Data Recovery là đơn vị đi đầu trong lĩnh vực phục hồi dữ liệu tại Hà Nội. Chúng tôi đã có trên 15 năm phát triển, trong đó có trên 10 năm vinh dự trở thành đối tác của Bộ Quốc phòng, Bộ Công an trong hoạt động bảo vệ dữ liệu trên không gian mạng. Các chuyên gia của Bách khoa Data Recovery luôn sẵn sàng hỗ trợ khôi phục dữ liệu cho khách hàng trong nhiều trường hợp, trong đó có cứu dữ liệu bị mã hóa bởi virus Ransomware.
Với kinh nghiệm được tích lũy sau nhiều năm xử lý các trường hợp thiết bị nhiễm mã độc, trung tâm Bách Khoa Data Recovery khuyên khách hàng không nên tự ý xử trí một mình. Việc kết nối với chuyên gia dữ liệu càng sớm càng tốt giúp bạn tránh được thiệt hại gia tăng. Liên hệ tới chúng tôi qua số hotline 1900636196 ngay khi phát hiện máy tính bị nhiễm Ransomware.
