Hotline : 1800 1093 - 07 088 44444
Thích
Chia sẻ

Ransomware là gì? Cách phát hiện và ngăn chặn mã độc tống tiền

23/06/2021

Ransomware là gì?

Ransomware (mã độc tống tiền) là phần mềm độc hại sử dụng mã hóa để giữ thông tin của người dùng nhằm mục đích đòi tiền chuộc. Dữ liệu quan trọng của người dùng hoặc tổ chức được mã hóa để họ không thể truy cập file, database hoặc ứng dụng. Một khoản tiền chuộc sau đó được yêu cầu để cung cấp quyền truy cập. Ransomware thường được thiết kế để lây lan trên mạng và nhắm mục tiêu đến database và file server. Do đó có thể nhanh chóng làm tê liệt toàn bộ tổ chức.

ransomware là gì

Đây là một mối đe dọa ngày càng tăng, tạo ra hàng tỷ đô la thanh toán cho hacker và gây ra thiệt hại và chi phí đáng kể cho các doanh nghiệp và tổ chức chính phủ.

Cách thức hoạt động của Ransomware

Ransomware sử dụng mã hóa bất đối xứng. Đây là mật mã sử dụng một cặp key để mã hóa và giải mã một file. Cặp key public-private được hacker tạo ra duy nhất cho người dùng. Với private key để giải mã các file được lưu trữ trên server của hacker. Hacker chỉ cung cấp private key cho người dùng sau khi nhận tiền chuộc. Nếu không có quyền truy cập vào private key, gần như không thể giải mã file đang bị giữ để đòi tiền chuộc.

cách thức hoạt động của ransomware

Ransomware có nhiều biến thể khác nhau. Thường thì ransomware (và các phần mềm độc hại khác) được phát tán bằng cách sử dụng các chiến dịch spam email hoặc thông qua các cuộc tấn công có chủ đích. Phần mềm độc hại cần một attack vector để thiết lập sự hiện diện của nó trên một endpoint.

Sau khi khai thác thành công, ransomware tải xuống và thực thi một file độc hại trên hệ thống bị nhiễm. Sau đó, file này tìm kiếm và mã hóa file có giá trị. Chẳng hạn như tài liệu Microsoft Word, hình ảnh, cơ sở dữ liệu, v.v. Phần mềm Ransomware cũng có thể khai thác các lỗ hổng hệ thống và mạng để lây lan sang các hệ thống khác và có thể trên toàn bộ tổ chức.

Sau khi các file được mã hóa, ransomware sẽ nhắc người dùng trả tiền chuộc trong vòng 24 đến 48 giờ để giải mã các file, nếu không chúng sẽ bị mất vĩnh viễn. Nếu không có bản backup dữ liệu hoặc bản sao lưu, người dùng phải đối mặt với việc trả tiền chuộc để khôi phục các file cá nhân.

Ransomware WannaCry là gì?

wannaCry ransomware

WannaCry là một ví dụ về ransomware crypto, một loại phần mềm độc hại (malware) được hacker sử dụng để tống tiền.

Ransomware thực hiện điều này bằng cách mã hóa các file có giá trị, vì vậy bạn không thể đọc chúng. Bằng cách khóa máy tính của bạn để bạn không thể sử dụng nó.

Ransomware sử dụng mã hóa được gọi là ransomware crypto. Loại ransomware khóa máy tính được gọi là ransomware locker.

WannaCry nhắm mục tiêu vào các máy tính sử dụng Microsoft Windows làm hệ điều hành. Nó mã hóa dữ liệu và yêu cầu thanh toán tiền chuộc bằng tiền điện tử Bitcoin để được trả lại.

Cơ chế làm việc của ransomware wannacry sau khi lây nhiễm vào máy tính nạn nhân là gì?

Các hacker chịu trách nhiệm cho cuộc tấn công đã lợi dụng điểm yếu trong hệ điều hành Microsoft Windows bằng cách sử dụng một bản hack được cho là do Cơ quan An ninh Quốc gia Hoa Kỳ phát triển.

Được biết đến với cái tên EternalBlue, vụ hack này được công khai bởi một nhóm hacker có tên là Shadow Brokers trước cuộc tấn công của WannaCry.

Microsoft đã phát hành một bản vá (patch) bảo mật nhằm bảo vệ hệ thống của người dùng chống lại sự khai thác này gần hai tháng trước khi cuộc tấn công ransomware WannaCry bắt đầu. Thật không may, nhiều cá nhân và tổ chức không thường xuyên cập nhật hệ điều hành của họ và do đó đã bị nhiễm ransomware.

Những người chưa chạy bản cập nhật Microsoft Windows trước cuộc tấn công không được hưởng lợi từ bản vá (patch).

Khi nó lần đầu tiên xảy ra, mọi người cho rằng cuộc tấn công mã độc tống tiền WannaCry ban đầu đã lây lan thông qua một chiến dịch lừa đảo. Tuy nhiên, EternalBlue là cách khai thác cho phép WannaCry phát tán và lây lan. Với DoublePulsar là ‘backdoor’ được cài đặt trên các máy tính bị xâm nhập ( được sử dụng để thực thi WannaCry).

Tại sao Ransomware lại lan rộng?

Các cuộc tấn công ransomware và các biến thể của chúng đang phát triển nhanh chóng để chống lại các công nghệ ngăn chặn vì một số lý do:

  • Dễ dàng có sẵn các bộ phần mềm độc hại có thể được sử dụng để tạo các mẫu phần mềm độc hại mới theo yêu cầu
  • Sử dụng các trình thông dịch tốt để tạo ransomware đa nền tảng (ví dụ: Ransom32 sử dụng Node.js với tải trọng JavaScript)
  • Sử dụng các kỹ thuật mới, chẳng hạn như mã hóa ổ cứng toàn bộ thay vì các file đã chọn

Cách ngăn chặn Ransomware

cách ngăn chặn ransomware

Để tránh ransomware và giảm thiểu thiệt hại nếu bạn bị tấn công, hãy làm theo các mẹo sau:

  • Backup dữ liệu của bạn: Cách tốt nhất để tránh nguy cơ bị khóa khỏi các file quan trọng của bạn là đảm bảo rằng bạn luôn có các bản backup của chúng. Tốt nhất là trên cloud và trên ổ cứng ngoài. Bằng cách này, nếu bạn bị nhiễm ransomware, bạn có thể xóa sạch mọi thứ trong máy tính hoặc thiết bị của mình và cài đặt lại các file từ bản backup. Các bản backup sẽ không ngăn chặn ransomware, nhưng nó có thể giảm thiểu rủi ro.
  • Đảm bảo an toàn cho các bản backup: Đảm bảo rằng dữ liệu backup của bạn không thể truy cập được để sửa đổi hoặc xóa khỏi hệ thống nơi lưu trữ dữ liệu. Ransomware sẽ tìm kiếm các bản backup và mã hóa hoặc xóa chúng để chúng không thể khôi phục. Vì vậy hãy sử dụng các hệ thống backup không cho phép truy cập trực tiếp vào các file backup.
  • Sử dụng phần mềm bảo mật và cập nhật phần mềm: Đảm bảo tất cả các máy tính và thiết bị của bạn được bảo vệ bằng phần mềm bảo mật. Và hãy luôn cập nhật thường xuyên các phần mềm của bạn, vì các bản vá lỗi thường được bổ sung trong mỗi bản cập nhật.
  • Lướt web an toàn: Hãy cẩn thận nơi bạn nhấp vào. Không trả lời email và tin nhắn văn bản từ những người bạn không biết. Chỉ tải xuống ứng dụng từ các nguồn đáng tin cậy. Điều này rất quan trọng vì các tác giả phần mềm độc hại thường sử dụng social engeering để cố gắng khiến bạn cài đặt các file nguy hiểm.
  • Sử dụng mạng an toàn: Tránh sử dụng các mạng Wi-Fi công cộng vì nhiều mạng không an toàn và hacker có thể rình mò việc sử dụng internet của bạn. Thay vào đó, hãy cân nhắc cài đặt VPN, VPN cung cấp cho bạn kết nối Internet an toàn cho dù bạn đi đâu.
  • Cập nhật thông tin: Luôn cập nhật về các mối đe dọa ransomware mới nhất để bạn biết những gì cần chú ý. Trong trường hợp bạn bị nhiễm ransomware và chưa backup các file của mình, hãy biết rằng một số công cụ giải mã được công ty công nghệ cung cấp để giúp đỡ bạn.
  • Triển khai chương trình nâng cao nhận thức về việc bảo mật: : Cung cấp chương trình đào tạo nhận thức về bảo mật thường xuyên cho mọi thành viên trong tổ chức của bạn để họ có thể tránh lừa đảo và các cuộc tấn công social engineering khác.

Lời Kết

Qua bài viết này, Vietnix hy vọng bạn hiểu rõ Ransomware là gì và những tác hại đáng kể của nó đến dữ liệu cá nhân của bạn, cách nó hoạt động như thế nào và làm sao để tránh Ransomware, chúc bạn thành công!

Nếu bạn có thắc mắc hay có vấn đề cần hỗ trợ, bạn có thể liên hệ trực tiếp với Vietnix thông qua các kênh sau:
  • Hotline: 1800 1093 - 07 088 44444
  • Email: support@vietnix.vn
  • Hoặc chat trực tiếp với Vietnix thông qua biểu tượng Livechat ở góc phải màn hình. Đội ngũ chuyên viên của chúng tôi luôn sẵn sàng tư vấn và hỗ trợ bạn 24/7.
Vietnix hiện đang có chương trình khuyến mãi lớn nhất trong năm, giảm giá 50%  dịch vụ Hosting. Đăng ký dùng thử ngay và Vietnix sẽ hoàn tiền 100% nếu quý khách không hài lòng với chất lượng sản phẩm, dịch vụ!
Mình là Bo - admin của Quản Trị Linux. Mình đã có 10 năm làm việc trong mảng System, Network, Security và đã trải nghiệm qua các chứng chỉ như CCNP, CISSP, CISA, đặc biệt là chống tấn công DDoS. Gần đây mình trải nghiệm thêm Digital Marketing và đã hòan thành chứng chỉ CDMP của PersonVUE. Mình rất thích được chia sẻ và hỗ trợ cho mọi người, nhất là các bạn sinh viên. Hãy kết nối với mình nhé!
Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments