Những điều bạn cần biết về Chaos, phần mềm ransomware nguy hiểm mới

Chaos là một ransomware (phần mềm tống tiền) mới được phát triển vào năm 2021. Bạn có thể làm gì để bảo vệ dữ liệu của mình không bị mã hóa?

• Ransomware giả là gì? Tại sao Ransomware giả lại tồn tại?
• Fargo Ransomware là gì? Phòng tránh nó như thế nào?
• Phần mềm độc hại là gì? Phần mềm độc hại hoạt động như thế nào?
• Ransomware như một dịch vụ (RaaS) là gì? Cách bảo vệ chống lại RaaS
• Cách bảo vệ máy tính khỏi phần mềm tống tiền với Windows Defender

Thuật ngữ phần mềm độc hại (malware) được sử dụng để mô tả bất kỳ phần mềm độc hại nào được thiết kế với mục đích làm hỏng hoặc phá hủy một thiết bị điện tử.

Máy tính của bạn gần như chắc chắn đã từng phải chống lại phần mềm độc hại — có lẽ là virus, trojan hoặc sâu — nhưng bạn đã bao giờ gặp phải ransomware chưa?

Nếu có, bạn biết nó có thể nguy hiểm như thế nào. Nếu chưa, bạn vẫn có nguy cơ gặp phải chúng trong tương lai, bởi vì các cuộc tấn công ransomware đang gia tăng.

Ransomware là gì?

Như tên gọi của nó, ransomware (kết hợp của ransom – tiền chuộc và malware) mô tả một cuộc tấn công khóa dữ liệu trên thiết bị và nạn nhân bị yêu cầu trả tiền chuộc để mở khóa.

Có vô số chủng loại ransomware, nhưng loại phần mềm độc hại này chủ yếu chia thành hai loại: ransomware dựa trên mã hóa và scareware (phần mềm sợ hãi).

Loại Ransomware thông thường, dựa trên mã hóa, hoạt động bằng cách khóa nạn nhân khỏi tệp của họ.

Scareware phức tạp hơn và sử dụng các kỹ thuật xã hội, chẳng hạn như mạo danh một tổ chức hợp pháp (ví dụ: chính phủ, công ty chống vi-rút) để lừa nạn nhân trả tiền phạt hoặc mua phần mềm không mong muốn.

Ransomware Chaos là gì?

Kể từ tháng 6 năm 2021, các nhà nghiên cứu của Trend Micro đã theo dõi Chaos, một trình xây dựng ransomware đang được cung cấp trên các diễn đàn hacker ngầm, nơi nó được quảng cáo là một phiên bản mới của Ryuk, mà FBI từng mô tả là ransomware có lợi nhuận cao nhất trong lịch sử. .

Chaos hiện tại có vẻ không nguy hiểm và hiệu quả như Ryuk, nhưng điều đó không có nghĩa là trong tương lai cũng vậy. Trên thực tế, theo Monte de Jesus và Don Ovid Ladores của Trend Micro, nó đã trải qua một quá trình phát triển nhanh chóng trong những tháng gần đây.

Phiên bản 1.0, được phát hành vào ngày 9 tháng 6 năm 2021 có vẻ giống như một Trojan hơn là ransomware, vì nó phá hủy các tệp thay vì thực sự mã hóa chúng.

Phiên bản 2.0 phức tạp hơn một chút, được phát hành vào ngày 17 tháng 6, có khả năng vô hiệu hóa chế độ khôi phục Windows (Windows recovery mode) và các tùy chọn nâng cao cho đặc quyền của quản trị viên. Tuy nhiên, nó ghi đè lên các tệp thay vì mã hóa chúng, khiến nạn nhân không có động cơ trả tiền chuộc.

Được phát hành vào ngày 5 tháng 7, phiên bản 3.0 đi kèm với trình tạo giải mã của riêng nó và có khả năng mã hóa các tệp có kích thước dưới 1MB.

Phiên bản 4.0, được phát hành vào ngày 5 tháng 8, đã tăng giới hạn trên của tệp có thể được mã hóa lên 2MB và cung cấp cho người dùng của trình tạo ransomware nhiều tùy chọn hơn, chẳng hạn như khả năng thay đổi hình nền máy tính của nạn nhân, mỗi lần đi cùng thông báo tiền chuộc sau đây, với địa chỉ ví Bitcoin ở dưới cùng.

“Tất cả các tệp của bạn đã được mã hóa. Máy tính của bạn đã bị nhiễm vi-rút ransomware. Các tệp của bạn đã được mã hóa và bạn sẽ không thể giải mã chúng nếu không có sự trợ giúp của chúng tôi. Tôi có thể làm gì để lấy lại tệp của mình? Bạn có thể mua phần mềm giải mã đặc biệt của chúng tôi, phần mềm này sẽ cho phép bạn khôi phục tất cả dữ liệu của mình và xóa ransomware khỏi máy tính của bạn. Giá cho phần mềm là 1.500 đô la. Chỉ có thể thanh toán bằng Bitcoin. “

Theo Trend Micro, mặc dù “không phải là một sản phẩm hoàn chỉnh,” Chaos có thể gây ra thiệt hại lớn “trong tay của một kẻ độc hại có cơ sở hạ tầng để phân phối và triển khai phần mềm độc hại”.

Vì vậy, làm thế nào để xóa Chaos hoặc các ransomware tương tự?

Làm thế nào để loại bỏ Chaos Ransomware

Không bao giờ tin tưởng tội phạm mạng: Chúng không có động cơ để mở khóa tệp của bạn ngay cả khi bạn trả tiền chuộc.

Nếu bạn muốn tự mình loại bỏ ransomware, đây là cách thực hiện.

Ngắt kết nối Internet

Trước tiên, bạn cần phải cách ly thiết bị bị nhiễm để ngăn ransomware lây nhiễm sang các thiết bị khác trong mạng của bạn.

Nếu PC của bạn được kết nối với Internet qua Ethernet, hãy rút cáp Ethernet ngay lập tức.

Nếu đang kết nối qua mạng không dây, bạn cần tắt Wi-Fi của mình. Có nhiều cách khác nhau để làm điều đó.

Giải pháp nhanh nhất là bật Chế độ trên máy bay, bạn có thể thực hiện bằng cách điều hướng đến Cài đặt> Mạng & Internet (Settings > Network & Internet). 

Nhấp vào Chế độ trên máy bay (Airplane mode) tại trang Mạng và Internet (Network & Internet), sau đó sử dụng nút chuyển đổi ở trên cùng để bật Chế độ trên máy bay.

Rút phích cắm tất cả các thiết bị lưu trữ bên ngoài

Tiếp theo, hãy rút phích cắm của tất cả các thiết bị lưu trữ bên ngoài (ổ cứng di động, ổ đĩa flash, v.v.) để ngăn ransomware xâm nhập vào chúng, nhưng đừng chỉ rút phích cắm theo cách thủ công.

Điều hướng đến Máy tính này (This PC), bấm chuột phải vào từng thiết bị được kết nối, chọn Đẩy ra (Eject), sau đó rút phích cắm các thiết bị theo cách thủ công.

Bạn cũng nên đăng xuất khỏi tài khoản lưu trữ đám mây của mình (Microsoft OneDrive, Google Drive, Dropbox, Amazon Drive, v.v.) để ngăn ransomware làm hỏng hoặc mã hóa dữ liệu đám mây của bạn.

Xác định Ransomware

Sử dụng một thiết bị khác, truy cập Internet và tìm kiếm manh mối trực tuyến. Ví dụ: bạn có thể gõ thông báo đòi tiền chuộc, tìm kiếm địa chỉ ví tiền điện tử hoặc gửi email mà ransomware đã cung cấp.

Nếu không có gì xuất hiện, hãy truy cập ID Ransomware. Tại đây, bạn có thể nhập bất kỳ địa chỉ email nào mà ransomware cung cấp cho bạn để liên hệ. ID Ransomware sau đó sẽ xác định phần mềm độc hại và cung cấp thêm thông tin chi tiết về nó.

Giải mã

Khi đã xác định được ransomware, bạn có thể thử và giải mã các tệp của mình. Truy cập trang web của No More Ransom Project và nhấp vào Công cụ giải mã (Decryption Tools) ở góc trên bên phải.

Nhập tên của ransomware đã xác định vào thanh tìm kiếm.

Nếu có sẵn bộ giải mã, công cụ này sẽ cung cấp cho bạn hướng dẫn chi tiết về cách loại bỏ ransomware đã xâm nhập vào máy tính của bạn và mở khóa hoặc khôi phục các tệp đã mã hóa.

Để minh họa cách hoạt động của trang web này, chúng tôi sẽ nhập “Jigsaw” vào thanh tìm kiếm.

Jigsaw là phần mềm độc hại mã hóa ransomware được tạo ra vào năm 2016 và đã lây nhiễm cho hàng nghìn máy tính.

Như bạn có thể thấy bên dưới, trang web cung cấp một số trình giải mã khác nhau và hướng dẫn cách thực hiện.

Nếu không có bộ giải mã nào có sẵn cho ransomware đã lây nhiễm vào máy tính của bạn, cách tốt nhất là bạn nên liên hệ với chuyên gia CNTT.

Sao lưu dữ liệu

Vào năm 2019, các nhà nghiên cứu an ninh mạng dự đoán rằng chi phí thiệt hại do ransomware gây ra trên toàn cầu cho năm 2021 sẽ vào khoảng 20 tỷ USD. Chưa biết dự đoán của họ có thành hiện thực hay không, nhưng đã có một số cuộc tấn công ransomware lớn trong năm nay.

Ví dụ, vào tháng 5, công ty chế biến thịt JBS Foods đã trả 11 triệu đô la tiền chuộc sau khi bị tấn công. Cùng tháng đó, hệ thống đường ống dẫn dầu của Mỹ Colonial Pipeline đã trả 5 triệu USD tiền chuộc sau khi bị nhóm hackẻ DarkSide tấn công.

Cho dù bạn có cẩn thận đến đâu, việc lây nhiễm ransomware vẫn có thể xảy ra, đó là lý do tại sao tốt nhất bạn nên thực hiện các biện pháp ngăn chặn kịp thời. Nếu bạn muốn bảo vệ dữ liệu quan trọng, hãy sao lưu nó.

Bạn có thể dùng các thiết bị lưu trữ bên ngoài hoặc sử dụng dịch vụ đám mây để lưu trữ và sao lưu dữ liệu của mình.

Link gốc: https://www.makeuseof.com/chaos-ransomware/

Vân Nguyễn (theo Makeuseof)