Ransomware là gì? Cách đối phó với ransomware? 

Chắc hẳn bạn đã nghe nhiều câu chuyện về ransomware (phần mềm tống tiền), nhưng thực chất nó là gì và hoạt động như thế nào? Ransomware có thực sự ăn cắp dữ liệu của bạn không - và bạn có thể ngăn chặn nó như thế nào?

• Ransomware giả là gì? Tại sao Ransomware giả lại tồn tại?
• Fargo Ransomware là gì? Phòng tránh nó như thế nào?
• Phần mềm độc hại là gì? Phần mềm độc hại hoạt động như thế nào?
• Ransomware như một dịch vụ (RaaS) là gì? Cách bảo vệ chống lại RaaS
• Cách bảo vệ máy tính khỏi phần mềm tống tiền với Windows Defender

Có rất nhiều mối đe dọa an ninh mạng khác nhau trên internet, nhưng ransomware là một trong những mối đe dọa phổ biến nhất hiện có. Chính vì vậy bạn nên tìm hiểu về mối đe dọa này, cách nó hoạt động và những gì bạn phải làm gì khi bị nó tấn công.

Ransomware là gì?

Ransomware (phần mềm tống tiền) là một thuật ngữ bao hàm bất kỳ vi rút hoặc phần mềm độc hại (malware) nào giữ máy tính của bạn làm ‘con tin’. Có một số phương pháp khác nhau mà ransomware có thể sử dụng trong một cuộc tấn công, nhưng chúng đều có một điểm chung là khóa bạn khỏi một phần hoặc tất cả máy tính của bạn.

Ransomware hoạt động như thế nào?

Để khám phá cách thức hoạt động của ransomware, trước tiên chúng ta phải đi sâu vào các loại ransomware khác nhau, cách thức hoạt động và mục tiêu của chúng. 

Ransomware dựa trên mã hóa thông thường

Đây là phiên bản phổ biến nhất của ransomware. Nó hoạt động bằng cách khóa bạn khỏi các tệp trên máy tính của bạn và một số thậm chí sẽ ngăn hệ điều hành khởi động. Sau đó, ransomware yêu cầu người dùng thanh toán để lấy lại tệp của họ.

Để ngăn người dùng truy cập vào dữ liệu của họ, virus sẽ để tất cả các tệp vào một thư mục, sau đó khóa chúng bằng mã hóa. Bằng cách đó, các tệp sẽ không bị xóa vĩnh viễn, nhưng người dùng không thể sử dụng chúng nếu không có mã khóa thích hợp.

Sau khi người dùng thanh toán, tin tặc sau đó sẽ cung cấp mã khóa để mở khóa PC của họ. Chúng có thể còn thúc đẩy nạn nhân trả tiền bằng cách thêm bộ đếm thời gian cho ransomware. Khi thời gian về 0, tất cả các tệp sẽ bị xóa.

Scareware (phần mềm hù dọa) mạo danh một thực thể hợp pháp

Đôi khi một chương trình ransomware mạo danh một thực thể hợp pháp với hy vọng rằng nó đánh lừa người dùng thực hiện hành động mà nó muốn.

Ví dụ, virus Reveton là ransomware giả danh theo báo cáo của FBI (Cục Điều tra Liên bang Mỹ) và khóa máy tính của người dùng. 

Virus tuyên bố rằng nạn nhân đã tải xuống các tệp bất hợp pháp, vì vậy PC của họ bị thu giữ để ngăn chặn các hoạt động bất hợp pháp tiếp theo. Để tiếp tục sử dụng PC, nạn nhân phải chuyển tiền để “nộp phạt”, số tiền này sẽ đi thẳng vào túi của những kẻ lừa đảo.

Ransomware cũng có thể giả danh các công ty công nghệ chính thức. Theo tạp chí Forbes, có một loại phần mềm độc hại không khóa toàn bộ máy tính nhưng khiến trình duyệt của bạn bị đóng băng.

Người dùng được thông báo rằng phần mềm này đến từ Microsoft và nó đã khóa trình duyệt của bạn để ngăn chặn thiệt hại do virus đã xâm nhập vào PC. Malware yêu cầu người dùng gọi đến một “đường dây hỗ trợ” để khắc phục sự cố PC với cước phí cuộc gọi cao.

Các dòng phần mềm độc hại này thường được gọi là “phần mềm hù dọa” vì chúng tập trung vào việc khiến bạn phải đưa ra quyết định hấp tấp mà không suy nghĩ một cách logic. Cảnh báo virus và phần mềm độc hại giả rất phù hợp với danh mục này.

Leakware, ‘em họ’ của ransomware

Có một chủng loại ransomware khác được gọi là leakware (leakware).Ransomware và leakware giống nhau ở chỗ chúng đều khóa tệp của người dùng và yêu cầu một khoản tiền chuộc để trả cho việc mở khóa.

Điểm khác biệt là điều gì sẽ xảy ra khi người dùng không trả tiền. Phần mềm tống tiền điển hình có thể đe dọa việc xóa các tệp của bạn, nhưng leakware thì ngược lại. Nếu bạn không trả tiền, leakware sẽ trả lại các tệp của bạn … bằng cách công khai chúng trên các diễn đàn công cộng.

Chiến thuật này đặc biệt hiệu quả với tất cả các loại nạn nhân. Người bình thường có thể không muốn bạn bè và gia đình của họ phát hiện ra những điều tồi tệ hoặc bất hợp pháp mà họ đang làm và các doanh nghiệp không muốn dữ liệu bí mật của họ bị rò rỉ lên dark web.

Ransomware tấn công ở đâu?

Do bản chất của ransomware, nó không xác định được một người hoặc một PC cụ thể khi khóa máy tính. Miễn là ai đó vô tình chạy một tệp bị nhiễm và sử dụng hệ điều hành không an toàn, cuộc tấn công sẽ được thực hiện.

Tuy nhiên, các nhà phát triển phần mềm độc hại gần đây đã và đang chọn mục tiêu của chúng. Trong thời kỳ hoàng kim của các cuộc tấn công ransomware, chúng sẽ phát hành ransomware lên internet một cách rộng rãi. Ý tưởng ở đây là ‘số lượng hơn chất lượng’ bằng cách thu hút càng nhiều người nhiễm càng tốt để tăng lợi nhuận từ tiền chuộc.

Tuy nhiên, có hai điều đã buộc các nhà phát triển ransomware phải thay đổi chiến lược. Cả hai đều bắt đầu sau khi phương thức tấn công ransomware bắt đầu trở nên nổi tiếng và các công ty bảo mật bắt đầu ứng phó với mối đe dọa đang gia tăng này.

Thế giới chuẩn bị cho các cuộc tấn công bằng Ransomware

Sự phát triển đầu tiên là sự gia tăng của các trang web chống ransomware. Các dịch vụ như No More Ransom  đặc biệt giải quyết ransomware bằng cách phát hành các chương trình và khóa có thể giải phóng PC bị mã hóa.

Do vậy, một loại ransomware mới ra đời phải tránh bị phát hiện càng lâu càng tốt. Càng có nhiều người bị tấn công, cơ hội báo động được nâng lên càng cao và giải pháp sẽ  nhanh chóng được tìm ra.

Do đó, một nhà phát triển ransomware phải đảm bảo chương trình của họ tiếp cận được càng nhiều nạn nhân sẵn lòng trả tiền càng tốt trước khi bị phát hiện. Ví dụ, một người bình thường người sử dụng PC để xem meme mèo có nhiều khả năng không trả phí chuộc. Tuy nhiên, một người giàu có các tài liệu nhạy cảm trên PC của họ có nhiều khả năng mở ví hơn.

Sự phát triển thứ hai là nhận thức của công chúng về ransomware được nâng cao. Sau khi ransomware trở thành một chủ đề nóng trong an ninh mạng, mọi người được khuyến khích tạo bản sao lưu máy tính của họ. Rốt cuộc, tiền chuộc có ích gì nếu nạn nhân đã có tệp dự phòng?

Không chỉ vậy, các hệ điều hành cũng bắt đầu cung cấp các công cụ chống ransomware cho người dùng của họ. Ví dụ: bạn có thể bảo vệ khỏi phần mềm tống tiền bằng Windows Defender mà không phải trả thêm phí.

Các nhà phát triển Ransomware thay đổi trọng tâm

Do đó, các nhà phát triển phần mềm độc hại bắt đầu thiết kế và triển khai ransomware với hai mục tiêu. Phần mềm tống tiền phải tấn công một doanh nghiệp hoặc tổ chức lớn có đủ tiền để trả tiền chuộc, và nó phải tấn công vào điểm mà chỉ cần hành động khóa máy tính là thảm họa, ngay cả khi nạn nhân có bản sao lưu dữ liệu.

Có một báo cáo trên Security Intelligence thảo luận về những ngành bị ảnh hưởng nặng nề nhất đối với ransomware:

“Về mục tiêu, IBM Security X-Force đã quan sát thấy sự thay đổi chung trong các cuộc tấn công ransomware. Ransomware tấn công mạnh nhất vào các công ty sản xuất, chiếm gần một phần tư tổng số các sự cố được phản hồi trong năm nay. Lĩnh vực dịch vụ là ngành được nhắm mục tiêu nhiều thứ hai và chiếm 17% các cuộc tấn công bằng ransomware. Các tổ chức chính phủ theo sau ở vị trí thứ ba với 13% các cuộc tấn công.”

Những ngành này thường xảy ra nhiều cuộc tấn công nhất vì chúng rất nhạy cảm với sự gián đoạn nếu PC ngừng hoạt động. Trong những lĩnh vực kinh doanh này, việc khóa tệp chỉ là một phần nhỏ của cuộc tấn công bằng ransomware; PC không sử dụng được mới là cái gây tổn thất hàng triệu USD khi họ buộc phải ngừng giao dịch để giải quyết vấn đề.

Tổn thất gây ra bởi ransomware là rất lớn. Emsisoft báo cáo rằng ước tính khoảng 25 tỷ đô la đã được chi vì các vụ phần mềm tống tiền vào năm 2020 và gần 170 tỷ đô la đã bị mất do sự kết hợp của các khoản thanh toán ransomware và chi phí thời gian chết.

Cách ngăn chặn ransomware

Loại chống virus tốt nhất là không cho phép virus xâm nhập vào PC của bạn ngay từ đầu. Nếu ý tưởng về ransomware khiến bạn thấy sợ hãi, có nhiều cách để bảo vệ bản thân.

Giữ các bản sao lưu hiện tại của dữ liệu PC 

Một bản sao lưu tốt sẽ ngăn chặn tất cả các cuộc tấn công ransomware mà không phải là leakware. Tại sao phải trả tiền chuộc khi bạn chỉ có thể xóa sạch mọi thứ và cài đặt lại?

Hoặc bạn có thể sao lưu máy tính Windows của mình lên đám mây. Có rất nhiều dịch vụ tự động sao lưu toàn bộ PC của bạn với một khoản phí hàng tháng, một Kế hoạch B hoàn hảo nếu PC của bạn bị ransomware tấn công.

Hãy cảnh giác với Ransomware

Bây giờ nội dung của bạn đã được sao lưu, đã đến lúc ngăn chặn ransomware lây nhiễm vào PC của bạn ngay từ đầu.

Không may là không có một thủ thuật nào có thể bảo vệ bạn khỏi phần mềm tống tiền, nhưng nguy cơ gặp phải ransomware sẽ thấp nếu bạn tuân theo một số quy tắc cơ bản.

Làm thế nào để loại bỏ Ransomware

Không trả tiền chuộc!

Trong khi đọc bài viết này, bạn có thể tự hỏi điều gì ngăn cản một nhà phát triển ransomware nhận tiền chuộc trả phí và chuồn mất trước khi mở khóa PC của bạn. Câu trả lời là: không có gì cả.

Nếu bạn trả tiền chuộc, điều này có nghĩa là bạn đang nói với tin tặc rằng ransomware hoạt động, do đó khuyến khích chúng phát triển và lây lan nhiều phần mềm độc hại hơn. Trong trường hợp xấu nhất, chúng sẽ không quan tâm đến việc cho bạn chìa khóa để mở khóa PC.

Tìm kiếm một giải pháp hiện có

Có rất nhiều trang web mà bạn có thể truy cập để tìm giải pháp cho tình trạng khó khăn của mình. Nếu ai đó đã tìm được một khóa hoặc phát triển một chương trình có thể giải phóng PC của bạn, thì nó sẽ được liệt kê trên một trong những trang web này.

• No More Ransom Project
• Kaspersky Ransomware Decryptors
• Công cụ giải mã Ransomware Avast
• McAfee Ransomware Recover
• Công cụ giải mã AVG Ransomware

Các công cụ trên đều được sử dụng miễn phí, vì vậy hãy dùng thử và xem chúng có sửa được PC của bạn không.

Nói không với Ransomware

Ransomware là một loại phần mềm độc hại gây nhiều tổn thất, nhưng bạn không phải bó tay trước nó. Hy vọng sau bài viết này bạn sẽ biết cách thức hoạt động của ransomware, cách bảo vệ nó và phải làm gì nếu bị nó tấn công.

Vân Nguyễn (theo Makeuseof)