Ransomware - thuật ngữ chung được sử dụng cho các phần mềm độc hại tấn công máy tính để tống tiền người dùng. Các phần mềm này sẽ mã hóa dữ liệu trong máy tính nạn nhân để đòi tiền chuộc dữ liệu bị mất.
Một khi dữ liệu đã bị mã hóa thì gần như không có cách nào khôi phục lại trừ khi có khóa giải mã từ tin tặc
Nhưng cũng có một số loại Ransomware được tạo ra với mục đích là dữ liệu, và chúng ta không thể khôi phục dữ liệu khi đã bị nhiễm loại Ransomware này.
Các Malware Ransomware phổ biến là CTB Locker, CryptoWal, Tesla, CryptoLocker...
Bảng thông báo đòi tiền chuộc của TeslaCrypt sau khi lây nhiễm vào máy nạn nhân.
Ransomware xâm nhập vào máy tính của bạn bằng cách nào ?
-Khi bạn Truy cập vào các website giả mạo.
-File đính kèm qua mail.
-Cài đặt các phần mềm không rõ nguồn gốc.
-Sử dụng các phần mềm crack.
-Hoặc thậm chí có một số loại Ransomware còn khai thác lỗ hổng bảo mật để xâm nhập vào máy tính.
Cách thức hoạt động của Ransomware ?
Cách thức hoạt động khá đơn giản nhưng cực kì nguy hiểm.
Sau khi lây nhiễm, Ramsomware sẽ dò quét các tệp tin tài liệu chứa trong tất cả ổ đĩa có đuôi mở rộng như: .doc, .docx, .pdf, .xls, .xlsx, .jpg, .zip, .nar, .rar v.v… Nhưng, nó sẽ bỏ qua các tập tin/thư mục hệ thống như tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot và Windows để đảm bảo rằng người dùng vẫn khởi động được Windows bình thường, và tự động mã hóa file bằng các thuật toán mã hóa như AES, RSA... Tinh vi hơn, một số loại ransomware còn có thể chiếm quyền điều khiển và xóa toàn bộ thông tin System Restore để chặn việc khôi phục hệ thống của nạn nhân.
Ngoài ra, còn có một số loại Ransomware còn khóa màn hình thiết bị người dùng, chặn người dùng truy cập vào phân vùng chứa dữ liệu.
Cuối cùng, một bảng thông báo đến nạn nhân về việc dữ liệu của họ đã bị tấn công và yêu cầu trả tiền chuộc dữ liệu, nếu không toàn bộ dữ liệu trên thiết bị sẽ bị mất hoàn toàn. Số tiền chuộc có thể từ 200$ đến hơn 2000$ hoặc thanh toán bằng Bitcoin.
Nếu người dùng chấp nhận thanh toán tiền chuộc, chúng sẽ cung cấp đường dẫn và cách thức thanh toán. Sau khi thanh toán tiền chuộc nạn nhân mới có thể nhận lại dữ liệu.
Không chỉ lây nhiễm trên máy tính, Ransomware còn có thể lây nhiễm cả smartphone.
Mục tiêu của Ransomware là Tiền.
Và số lượng lấy lại dữ liệu sau khi trả tiền chuộc cũng không phải là 100%.
Với các biến thể chưa từng phát hiện, sau khi bị lây nhiễm nạn nhân chỉ có 2 lựa chọn : Chịu mất mát dữ liệu để format toàn bộ ổ cứng hoặc trả tiền cho tin tặc để lấy lại dữ liệu bị mất.
Gần đây, các nhà nghiên cứu tại hãng Cisco đã phát hiện ra một biến thể mới của Ransomware đó là Ranscam. Đúng như cái tên của nó, nạn nhân không thể nhận lại dữ liệu cho dù đã trả tiền chuộc.
Thông thường, các loại Ransomware chỉ mã hóa và giữ nguyên tên tệp tin, nhưng cũng có một số loại mã hóa cả tên file khiến cho nạn nhân khó khăn trong việc khôi phục dữ liệu. Điển hình là Locky.
Tệp tin bị mã hóa sau khi bị nhiễm TeslaCrypt.
Vậy làm cách nào để phòng ngừa mã độc Ransomware ?
-Không mở các file đính kèm từ những email chưa rõ danh tính.
-Tuyệt đối không nhấp vào các liên kết lạ trong email, bởi vì khi bạn nhấp vào đường dẫn này ransomware sẽ tự động tải về máy.
-Sao lưu dữ liệu và bảo vệ dữ liệu bằng các ổ cứng ngoài hoặc lưu trữ dữ liệu trên các ứng dụng lưu trữ đám mây như Google Drive, Mediafire, Dropbox, Fshare,...
-Tránh sử dụng các phần mềm crack vì chúng thường đính kèm mã độc khi bạn tải về.
-Cách tốt nhất để đảm bảo sự an toàn của dữ liệu quan trọng là có một lịch trình sao lưu phù hợp.
-Bật tính năng System Protection (System Restore) cho tất cả các ổ đĩa. Bạn cũng có thể tham khảo bài viết " Cách sao lưu & khôi phục hệ thống " của mình Tại đây.
-Hãy tập cho mình có thói quen cảnh giác với các tập tin được chia sẻ không rõ nguồn gốc.
-Điều quan trọng nhất, một khi máy tính của bạn đã bị nhiễm Ransomware thì dữ liệu của bạn gần như mất hoàn toàn.
Bên cạnh đó, việc trang bị các công cụ Anti-Ransomware để ngừa ransomware là việc cần thiết đối với chúng ta.
Anti-Ransomware thông thường sẽ hoạt động với cơ chế Real Time Protection ( bảo vệ theo thời gian thực ). Chặn các Ransomware trước khi chúng thực thi trên hệ thống của bạn. Vì các Anti này chỉ được dùng để chặn ransomware thực thi trên hệ thống và ít khi dùng dùng để quét nên chúng ta có thể để cho nó tự chạy ngầm trên hệ thống.
Bạn có thể tham khảo bài viết Tổng Hợp Các Phần Mềm Anti-Ransomware của mình để có thể tham khảo các phần mềm Anti-Ransomware trước khi sử dụng.
Hi vọng bài viết này sẽ giúp ích cho bạn trước sự hoàng hành của Ransomware và các biến thể của chúng hiện nay !