Mã độc Ransomware là gì? Ransomware hoạt động như thế nào? Tìm hiểu về cách xử lý & phòng chống Ransomware tại đây!
Ransomware được Bộ Tư pháp Hoa Kỳ xem là một mô hình hiện đại của tội phạm mạng có khả năng gây tổn thương hệ thống trên toàn cầu. Vậy thực chất Ransomware là gì? Tại sao nó lại đáng sợ như vậy? Cách phòng chống Ransomware như thế nào? Cùng Coin98 tìm hiểu nhé!
Mã độc Ransomware là gì?
Mã độc Ransomware (Mã độc tống tiền) là một loại virus hay mã độc ác tính (Malware). Sau khi lây nhiễm vào máy tính, Ransomware ngăn chặn người dùng truy cập và sử dụng hệ thống máy tính hoặc các file tài liệu của họ (chủ yếu phát hiện trên hệ điều hành Windows).
Mục tiêu cuối cùng là thuyết phục các nạn nhân trả tiền chuộc giải mã, thường được yêu cầu bằng các loại tiền kỹ thuật số khó theo dõi (như Bitcoin hoặc các loại Cryptocurrency khác).
Một số cuộc tấn công mã độc Ransomware lớn
Ransomeware GandCrab (2018): Xuất hiện lần đầu tiên vào tháng 1 năm 2018, Ransomware này đã lừa đảo hơn 50,000 nạn nhân trong chưa đầy một tháng. GandCrab được lan truyền thông qua các email lừa đảo và malvertising. Khoản tiền chuộc yêu cầu trong khoảng từ $300 đến $1,500.
Ransomeware WannaCry (2017): Một cuộc tấn công mạng trên toàn thế giới đã lây nhiễm hơn 300,000 máy tính trong 4 ngày. WannaCry được truyền bá thông qua một kênh EternalBlue và các hệ điều hành Microsoft Windows được nhắm mục tiêu (hầu hết các máy tính bị ảnh hưởng đang chạy Windows 7).
Cuộc tấn công đã bị dừng lại do các bản vá lỗi khẩn cấp do Microsoft phát hành. Các chuyên gia an ninh Mỹ tuyên bố rằng Bắc Triều Tiên chịu trách nhiệm về vụ tấn công, mặc dù không có bằng chứng nào được cung cấp.
Ransomeware Bad Rabbit (2017): Ransomware đã được phát tán dưới dạng bản cập nhật Adobe Flash giả mạo đã được tải xuống từ các trang web bị xâm nhập. Hầu hết các máy tính bị nhiễm độc được đặt tại Nga và sự nhiễm độc là do việc cài đặt thủ công tệp .exe. Khoản tiền chuộc yêu cầu trong khoảng là 0.05 BTC.
Cơ chế của một cuộc tấn công Ransomware
Mã độc Ransomware thường lây lan qua email và đường link giả mạo, và cũng có thể thông qua các file tải xuống,… Cơ chế của một cuộc tấn công ransomware sẽ trải qua quy trình như sau:
Bước 1: Lây nhiễm: Sau khi xâm nhập hệ thống, mã độc ransomware sẽ tự cài đặt trên thiết bị đầu cuối và mọi thiết bị mạng mà nó có thể truy cập.
Bước 2: Tạo khóa mã hóa: Các mã độc ransomware liên lạc với máy chủ chỉ huy được điều hành bởi bọn tội phạm mạng đằng sau cuộc tấn công, để tạo ra các khóa cryptographic (mật mã học) được sử dụng trên hệ thống cục bộ.
Bước 3: Mã hóa: Các ransomware bắt đầu mã hóa mọi dữ liệu nó có thể tìm thấy trên các máy cục bộ và mạng.
Bước 4: Tống tiền: Sau khi mã hóa được thực hiện, mã độc ransomware hiển thị các hướng dẫn về thanh toán tiền chuộc, đe dọa hủy dữ liệu nếu không thanh toán (thường yêu cầu thanh toán bằng Bitcoin, Monero).
Bước 5: Mở khóa: Các tổ chức có thể trả tiền chuộc và hy vọng tội phạm mạng sẽ giải mã các tệp bị ảnh hưởng (trong nhiều trường hợp không xảy ra). Hoặc họ có thể thử phục hồi bằng cách xóa các tệp và hệ thống bị nhiễm khỏi mạng, rồi khôi phục dữ liệu từ các bản sao lưu sạch.
Cách phòng chống Ransomware
Một vài cách để bạn có thể tự bảo vệ mình trước một cuộc tấn công ransomware:
- Cài đặt phần mềm chống vi rút đáng tin cậy và đảm bảo rằng nó được cập nhật mới nhất.
- Thay đổi mật khẩu mặc định trên tất cả các điểm truy cập.
- Sử dụng các nguồn bên ngoài để sao lưu các tệp tin của bạn định kỳ, để bạn có thể khôi phục chúng sau khi các tệp có khả năng bị nhiễm độc đã được xóa.
- Cẩn thận với các tệp đính kèm trong email và các đường link. Tránh nhấp vào các đường dẫn quảng cáo và các trang web không rõ nguồn.
- Tránh truy cập các trang web không được bảo mật bởi giao thức HTTPS (tức là các URL bắt đầu bằng “https://”). Tuy nhiên, bạn hãy ghi nhớ rằng, nhiều trang web độc hại cũng đang triển khai giao thức HTTPS để gây nhầm lẫn cho nạn nhân, và chỉ riêng giao thức này không bảo đảm rằng trang web đó là hợp pháp hay an toàn.
Làm gì nếu bị nhiễm mã độc Ransomware?
Bước đầu tiên để kiểm tra mã độc ransomware là cách ly các hệ thống bị nhiễm khỏi phần còn lại của mạng. Tắt các hệ thống đó và rút cáp mạng ra. Tắt WIFI. Các hệ thống bị nhiễm cần được cách ly hoàn toàn khỏi các máy tính và thiết bị lưu trữ khác trên mạng.
Tiếp theo, tìm ra loại phần mềm độc hại đã lây nhiễm các máy tính xóa chúng. Để đảm bảo không sót lại ransomware nào bị ẩn trong hệ thống của bạn, bạn nên xóa toàn bộ dữ liệu và sau đó khôi phục mọi thứ từ bản sao lưu an toàn. Với điều kiện có một bản sao lưu tốt có sẵn.
Nếu lỡ không có bản sau lưu, trong hầu hết các trường hợp bạn cũng không nên trả tiền chuộc, vì trả tiền chuộc thì cũng không có gì đảm bảo là tài liệu của bạn có thể khôi phục.
Nguồn: coin98.net