nguyen-ly-hoat-dong-cua-ransomware

Ransomware là gì? Và nguyên lý hoạt động

Bởi

Mã độc Ransomware là loại mã độc malware thường có mục đích tống tiền bạn. Một trong những mã độc nguy hiểm nhất, CryptoLocker “bắt cóc” các file dữ liệu của bạn làm con tin và dùng làm vật trao đổi tiền chuộc, buộc bạn phải trả hàng trăm hàng nghìn USD để lấy lại quyền truy cập. Như vậy, ransomware là một loại mã độc rất nguy hiểm, hầu như các doanh nghiệp đều không muốn bị trở thành nạn nhân.

Để đề phòng các cuộc tấn công bất ngờ của mã độc, đầu tiên phải biết được Phần mềm tống tiền (ransomware) là gì? nguyên lý hoạt động của Ransomware như thế nào? Bài viết dưới đây, Công ty TNHH iVIM sẽ chia sẻ cho các bạn các thông tin hữu ích, mời các bạn cùng tham khảo nhé!

1.Phần mềm tống tiền là gì?

Ransomware được xem là một loại mã độc chuyên đi mã hóa dữ liệu hoặc khóa quyền truy cập thiết bị của người sử dụng. Để lấy lại được quyền truy cập thiết bị hoặc thông tin dữ liệu bị khóa trước đó, nạn nhân phải trả cho hacker một khoản chi phí nhất định, được gọi là tiền chuộc. Ransomware còn được biết đến với cái tên phần mềm tống tiền. Mã độc Ransomware còn được gọi bằng một tên khác là phần mềm tống tiền hay mã độc tống tiền.

phan-mem-tong-tien-(Ransomware)-la-gi
phan-mem-tong-tien-(Ransomware)-la-gi

Khoản tiền chuộc bình thường rơi vào khoảng $150 – $500 cho máy tính cá nhân. Đối với các cơ quan tổ chức, doanh nghiệp thì khoản tiền chuộc có thể lên đến hàng nghìn đô. Các hacker chủ yếu yêu cầu nạn nhân phải đưa tiền chuộc qua hình thức bitcoin hoặc chuyển khoản. Trong những năm gần đây, những kẻ phát tán Ransomware ưa thích giao sử dụng hình thức giao dịch tiền qua bitcoin, vì tính bảo mật cao và khó để truy lùng dấu vết. 

2.Nguyên lý hoạt động

2.1.Cách thức ransomware hoạt động

Mỗi loại Ransomware đều có mỗi đặc điểm riêng, không phải loại nào cũng như nhau. Mục tiêu malware trở thành Ransomware là để cố gắng tống tiền, được bạn thanh toán trực tiếp. 

Một số mã độc có thể được ngụy trạng, khi đó sẽ được hiển thị cửa số pop-up nói một cái gì đó, ví dụ như “Your computer is infected, purchase this product to fix the infection” (máy tính của bạn đã bị lây nhiễm, hãy mua sản phẩm này để khắc phục) hay “Your computer has been used to download illegal files, pay a fine to continue using your computer” (máy tính của bạn đã bị sử dụng để tải về các tập tin bất hợp pháp, hãy nộp phạt để tiếp tục sử dụng máy tính của mình).

cach-thuc-ransomware-hoat-dong
cach-thuc-ransomware-hoat-dong

Trong các tình huống khác, mã độc Ransomware có thể đi sâu vào hệ thống, khi đó sẽ có thông báo hiển thị nói rằng nếu bạn chịu trả tiền chuộc cho Ransomware lúc đó sẽ biến mất. Có thể dùng các công cụ gỡ bỏ malware hoặc cài đặt lại Windows để tiêu diệt loại ransomware này.

Nhưng hiện nay, các loại ransomware đang ngày càng phát triển tinh vi hơn. Một ví dụ mới nhất gần đây, CryptoLocker bắt đầu mã hóa các file dữ liệu cá nhân của bạn ngay sau khi mã độc mã hóa được hệ thống và khóa quyền truy cập. Sau đó, CryptoLocker sẽ hiển thị thông báo các file dữ liệu của bạn đã bị mã hóa và hẹn ngày trả tiền chuộc mới có thể lấy lại quyền truy cập. Nếu bạn trả tiền chuộc cho mã độc 300USD, họ sẽ trả lại mã khóa để bạn có thể khôi phục lại file dữ liệu của mình. 

Tuy nhiên, bạn sẽ không thể chắc chắn là bọn tội phạm sẽ tiếp giữ lời. Và việc “ngoan ngoãn trả tiền chuộc” cũng không phải là cách hay để giải quyết. Nhưng nhiều doanh nghiệp mất bản sao dữ liệu kinh doanh quan trọng, khi đó họ rất dễ bị cám dỗ , rất dễ chấp nhận chi ra khoản tiền chuộc cho những kẻ tấn công.

2.2.Bảo vệ tập tin khỏi ransomware

Loại malware này là một ví dụ sẽ trả lời cho lý do tại sao nên sao lưu dữ liệu là việc rất cần thiết. Thường xuyên thực hiện sao lưu các file dữ liệu sang ổ cứng gắn ngoài hoặc máy chủ lưu trữ file từ xa (như CrashPlan). Nếu các bản sao của các file dữ liệu tất cả đều nằm trên máy tính của bạn, malware lây nhiễm vào máy tính có thể mã hóa tất cả chúng và hạn chế truy cập hoặc thậm chí xóa sạch chúng đi.

bao-ve-tap-tin-khoi-ransomware
bao-ve-tap-tin-khoi-ransomware

Tuy nhiên, chỉ có các bản sao lưu lên ổ cứng lắp trong hoặc mạng chia sẻ bạn có quyền ghi vào. Mã độc ransomware có thể mã hóa tất cả các file trên ổ đĩa sao lưu được kết nối hoặc trên mạng chia sẻ nếu bạn được cấp quyền truy cập ghi đầy đủ. 

Khi bạn sao lưu (Backup) thường xuyên, trong trường hợp chỉ sao lưu theo tuần có thể sẽ rất tốn thời gian và công sức. Đây là một trong những nguyên nhân tại sao nên sử dụng các giải pháp sao lưu tự động rất tiện lợi.

Nếu các file bị khóa và không có các bản sao lưu thích hợp, có thể bạn cố gắng sẽ hồi phục chúng với ShadowExplorer. Những công cụ này sẽ có những bản sao mà Windows sẽ sử dụng để cho phép khôi phục hệ thống.

2.3.Tránh khỏi ransomware như thế nào

Ngoài việc sử dụng các chính sách sao lưu phù hợp, bạn có thể sẽ tránh được Ransomware như cách tránh các loại malware khác. Nhắc đến CryptoLocker, tốc độ lây nhiễm thông qua các tập tin đính kèm qua email, plug-in Java, và sẽ được cài đặt trên hệ thống mạng botnet Zeus trên máy tính.

tranh-khoi-ransomware-nhu-the-nao
tranh-khoi-ransomware-nhu-the-nao
  • Khi sử dụng sản phẩm chống virus tốt chắc chắn sẽ ngăn chặn được mã độc “phát tác”. Các chương trình chống virus tất nhiên sẽ có lỗ hỏng, vì vậy bạn rất có thể trở thành đối tượng bị tấn công, nhưng nó lại là một lớp bảo vệ rất quan trọng. 
  • Tránh chạy những file dữ liệu đáng ngờ: Ransomware có thể xâm nhập đến các file dữ liệu .exe đính kèm từ email, từ các website bất hợp có chứa các phần mềm vi phạm bản quyền, hoặc từ bất cứ nơi nào khác. Hãy cảnh giác và thận trọng với những file thông tin quan trọng của bạn. 
  • Nên thường xuyên cập nhật phần mềm. Khi sử dụng một phiên bản cũ của trình duyệt web, hệ điều hành, hoặc plug-in trình duyệt có thể “dính” lỗ hổng bảo mật, mở cửa cho malware chui qua. Nếu có cài đặt Java, bạn nên gỡ nó đi. 

3.Nên làm gì khi bị nhiễm Ransomware?

Khi bạn bị nhiễm, hãy thực hiện đầy đủ các bước dưới đây:

Bước 1: Cô lập và tách riêng hệ thống, mạng: Hãy cách ly phần đã bị nhiễm với hệ thống, tắt hết các hệ thống đó, rút mạng ra để phòng ngừa bị virus lây lan ra nhiều hơn. 

Bước 2: Xác định và xóa các loại ransomware: Cố gắng tìm ra các nguồn mã độc đang bị lây nhiễm trên máy tính, xác định chủng và lên kế hoạch xóa bỏ chúng. 

nen-lam-gi-khi-bi-nhiem-Ransomware
nen-lam-gi-khi-bi-nhiem-Ransomware

Bước 3: Xóa máy tính bị nhiễm độc và khôi phục từ bản backup (sao lưu): Dự phòng trường hợp các ransomware còn sót ở lại, hãy xóa bỏ toàn bộ các file dữ liệu bị nhiễm và khôi phục lại từ đầu qua các bản sao lưu.   

Bước 4: Tiến hành phân tích và giám sát hệ thống: Sau khi hoàn thành bước loại bỏ mã độc ransomware hoàn toàn, các bạn nên phân tích tìm ra các yếu tố lây nhiễm để có cách đảm bảo dữ liệu sẽ phù hợp.

Hy vọng những thông tin bài viết chia sẻ trên sẽ giúp các bạn hiểu được về Nguyên lý hoạt động của ransomware. Và đừng quên, các bạn có thể truy cập trang web chúng tôi mỗi ngày để tham khảo nhiều bài viết mới hơn về ransomware.