7 loại ransomware khiến bạn phải kinh ngạc

Ransomware thường khiến nạn nhân bị bất ngờ, nhưng những 7 loại ransomware mới này đang còn ở một cấp độ cao hơn.

• Ransomware giả là gì? Tại sao Ransomware giả lại tồn tại?
• Fargo Ransomware là gì? Phòng tránh nó như thế nào?
• Phần mềm độc hại là gì? Phần mềm độc hại hoạt động như thế nào?
• Ransomware như một dịch vụ (RaaS) là gì? Cách bảo vệ chống lại RaaS
• Cách bảo vệ máy tính khỏi phần mềm tống tiền với Windows Defender

Bạn đang duyệt web hoặc kiểm tra email, thì đột nhiên một thông báo bật lên. Máy tính của bạn và dữ liệu trên đó đã bị khóa — được mã hóa bởi ransomware. Quyền truy cập bị từ chối cho đến khi bạn trả tiền chuộc.

Hầu hết mọi người đều biết ransomware hoạt động như thế nào, đó là lý do tại sao các tin tặc đứng đằng sau nó đang tìm ra những cách mới và sáng tạo để khiến bạn phải trả tiền. Dưới đây là một số loại ransomware mới mà bạn nên biết.

1. Talking Ransomware (Ransomware biết nói)

Nếu máy tính của bạn bị nhiễm ransomware Cerber (thường thông qua tệp đính kèm email giả dạng tài liệu Microsoft Office), dữ liệu của bạn sẽ được mã hóa, với mỗi tệp được cung cấp một phần mở rộng tệp (file extension) mới: .cerber .

Bạn sẽ biết rằng mình bị Cerber lây nhiễm khi một thông báo xuất hiện trên màn hình của bạn. Hơn nữa, hướng dẫn về cách thanh toán sẽ được tìm thấy trong mọi thư mục, ở định dạng TXT và HTML. Bạn cũng sẽ tìm thấy một tệp VBS (Visual Basic Script), khi mở ra, sẽ hướng dẫn bạn cách trả tiền chuộc và giải mã dữ liệu.

2. Chơi trò chơi của chúng tôi, nếu không thì…

PUBG Ransomware có cách tiếp cận khác để giữ máy tính của bạn để đòi tiền chuộc. Thay vì đòi tiền cho các tệp bị khóa của bạn, người viết mã đằng sau phần mềm độc hại kỳ quặc này cho bạn một lựa chọn:

• Chơi trò chơi điện tử PlayerUnknown’s Battlegrounds (có sẵn với giá $29,99 trên Steam).
• Chỉ cần dán mã mà chúng tôi đã cung cấp trên màn hình cho bạn, thế là xong.

Trên thực tế, đây không phải là malware. Mặc dù có khả năng gây khó chịu và trông có vẻ giống ransomware thực sự, PUBG Ransomware thực chất chỉ là một công cụ quảng cáo phức tạp. Ngoài thực tế là nó chắc chắn có mã hóa các tệp của bạn và đổi tên các phần mở rộng tệp thành .pubg. 

2. Tôi sẽ xóa từng tệp một

Jigsaw xóa tệp của bạn, từng tệp một.

Được phát hiện lần đầu tiên vào tháng 4 năm 2016, Jigsaw đã lây lan qua các email spam và tệp đính kèm bị nhiễm virus. Khi được kích hoạt, Jigsaw sẽ khóa dữ liệu của người dùng và hệ thống Master Boot Record (chương trình dùng để khởi động máy tính), sau đó hiển thị thông báo đính kèm.

Đây thực chất là một lời đe dọa: nếu tiền chuộc không được trả (bằng Bitcoin) trong vòng một giờ, một tệp sẽ bị xóa khỏi máy tính của bạn. Mỗi giờ bạn trì hoãn, số lượng tệp bị xóa sẽ tăng lên. Nếu bạn khởi động lại máy hoặc cố gắng kết thúc quá trình (Jigsaw giả mạo là trình duyệt Mozilla Firefox hoặc Dropbox trong trình quản lý tác vụ Windows – Windows task manager), 1000 tệp sẽ bị xóa.

4. Cầm tiền và chạy

Chúng ta đã quen với cách thức hoạt động của ransomware. Một phần mềm độc hại mã hóa dữ liệu quan trọng (hoặc toàn bộ máy tính), sau đó buộc bạn phải trả tiền chuộc để mở khóa. Sau đó, các tệp của bạn sẽ trở về với bạn thông qua một khóa giải mã.

Thông thường thì là như vậy, nhưng với Ranscam thì không.

Bọn tội phạm đứng đằng sau Ranscam đơn giản cầm tiền và chạy mất, sau khi đã xóa sạch dữ liệu của bạn. 

Tuy ít phức tạp hơn các loại ransomware khác, Ranscam vẫn hiệu quả. Dòng ransomware Petya khét tiếng hơn cũng xóa sạch dữ liệu, thay vì trả lại quyền truy cập cho người dùng.

5. Ransomware khóa cả TV của bạn

Vào tháng 6 năm 2016, người ta phát hiện ra rằng phần mềm tống tiền FLocker (ANDROIDOS_FLOCKER.A) trước đây đã tấn công điện thoại và máy tính bảng Android, đã phát triển và bổ sung TV thông minh Android vào danh sách mục tiêu của nó.

FLocker hiển thị cảnh báo “pháp luật”, thông báo cho bạn rằng tài liệu bất hợp pháp đã được xem trên hệ thống của bạn. Thanh toán được yêu cầu trả bằng phiếu mua hàng iTunes và sau khi nhận được, quyền kiểm soát điện thoại Android hoặc TV của bạn sẽ được trả lại.

6. Chúng tôi thực sự đã khóa dữ liệu của bạn!

Đáng ngạc nhiên là có những chủng ransomware không thực sự làm bất cứ điều gì mà chỉ đơn giản là giả mạo một cửa sổ bật lên (popup), tuyên bố đã chiếm quyền kiểm soát máy tính của bạn.

Nhiều nạn nhân trả tiền, hoàn toàn không biết rằng họ không cần phải làm như vậy. Dữ liệu của họ không được mã hóa.

Các cuộc tấn công ransomware như vậy thường xuất hiện dưới dạng cửa sổ được bật lên trên trình duyệt (browser window popup) và không thể đóng lại.

Nếu bạn muốn kiểm tra xem bạn có đang thực sự bị tấn công bởi phần mềm tống tiền, hãy thử đóng cửa sổ. Trong Windows, sử dụng Alt + F4 hoặc Cmd + W trên Mac. Nếu cửa sổ đóng, hãy cập nhật phần mềm chống vi-rút ngay lập tức và quét PC của bạn.

7. Ransomware ngụy trang

Cuối cùng, cần xem xét một số cách ransomware có thể đánh lừa bạn. Bạn đã biết rằng các tệp đính kèm email giả được sử dụng để đưa phần mềm tống tiền vào máy tính. Trong trường hợp này, các tệp đính kèm xuất hiện dưới dạng tệp DOC hợp pháp, được gửi cùng với email spam tuyên bố rằng bạn nợ tiền; phần đính kèm là hóa đơn. Sau khi tải xuống, hệ thống của bạn bị xâm phạm.

Tuy nhiên, các loại ngụy trang khác cũng được sử dụng. Ví dụ: ransomware DetoxCrypto (Ransom.DetoxCrypto) giả mạo là phần mềm Chống Phần mềm độc hại Malwarebytes phổ biến, mặc dù tên có một chút thay đổi (“Malwerbyte”). Cryptolocker (CTB-Locker) thì lại đóng giả là một Windows Update.

Bạn nghĩ rằng bạn đã biết tất cả về ransomware? Hãy nghĩ lại đi! Vì những kẻ lừa đảo sẽ không ngừng nỗ lực để lấy tiền của bạn và luôn đưa ra các loại ransomware mới.

Nếu bạn lo lắng về việc bị đòi tiền chuộc, hãy xem hướng dẫn của chúng tôi để biết các bước tự vệ trước phần mềm tống tiền. 

Vân Nguyễn (theo Makeuseof)