ransomware-la-gi-ivim

Phải làm gì khi nhiễm phần mềm độc hại Ransomware?

Bởi

Phần mềm độc hại Ransomware là một trong những mã độc tống tiền nguy hiểm và bắt đầu bùng lên mạnh mẽ trong những năm gần đây nhất là sau thời gian đại dịch Covid-19 bùng phát mạnh mẽ. Đã có rất nhiều  vụ tấn công rất lớn thiệt lớn cho các doanh nghiệp. Vậy thật sự ransomware là gì? Hoạt động ra sao mà gây ra ảnh hưởng nặng nề như trên, cùng iVIM tìm hiểu ngay nhé!

>> Tham khảo thêm về mã độc ransomware để có thể có nhiều thông tin về loại mã độ nguy hiểm này nhé!phan-mem-doc-hai-ransomware-la-gi-ivim

Ransomware là gì?

1- Phần mềm độc hại Ransomware là gì?

Theo Trend Micro: “Ransomware là một loại phần mềm độc hại ngăn cản hoặc hạn chế người dùng truy cập vào hệ thống của họ, bằng cách khóa màn hình của hệ thống hoặc bằng cách khóa tệp của người dùng cho đến khi trả tiền chuộc. Các họ ransomware hiện đại hơn, được gọi chung là crypto ransomware, mã hóa một số loại tệp nhất định trên các hệ thống bị nhiễm và buộc người dùng phải trả tiền chuộc thông qua một số phương thức thanh toán trực tuyến nhất định để nhận được khóa giải mã”

Bộ Tư pháp Hoa Kỳ xem đây  là mô hình hiện đại của tội phạm mạng với nguy cơ gây tổn hại đến hệ thống mạng toàn cầu. Khi phần mềm độc hại ransomware xâm nhập vào máy tính, nó sẽ mã hóa hoặc chặn những truy cập dữ liệu trên đĩa. Để lấy lại được dữ liệu buộc doanh nghiệp bỏ phải bỏ ra một khoản tiền để chuộc lại những dữ liệu bị đánh cắp. 

2- Có mấy loại phần mềm độc hại ransomware?

Phần mềm độc hại Ransomware có nhiều loại với mức độ gây hại khác nhau. Các mã độc này gây thiệt hại nghiêm trọng cho doanh nghiệp và có thể gọi ransomware là một trong những nỗi khiếp sợ của mọi doanh nghiệp trong thời đại số như hiện nay. 

Tuy nhiên có 2 loại phần mềm độc hại ransomware phổ biến và nguy hiểm nhất hiện nay là locker ransomware và  ransomware crypto

ivim-hieu-ro-ve-loai-phan-mem-doc-hai-ransomware
Các loại ransomware nguy hiểm 
  • Ransomware Crypto: khi xâm nhập vào máy tính chúng ngăn chặn việc truy cập vào các tệp hoặc dữ liệu qua việc mã hóa. Khiến cho người dùng không thể truy cập vào các tệp này nữa. Chúng sẽ bắt bạn phải trả một số tiền tương đương để khôi phục nếu không các dữ liệu này lại bị nâng cấp mã hóa và ảnh hưởng xấu đến dữ liệu. 
  • Khác với Ransomware Crypto, Ransomware Crypto chặn toàn bộ người dùng truy cập thiết bị. Khi đã bị loại ransomware này xâm nhập, ngoài bật và tắt máy tính bạn không thể thực hiện thêm bất kỳ thao tác nào nữa. 
cac-loai-phan-mem-doc-hai-ransomware-nguy-hiem
Các loại phần mềm độc hại ransomware nguy hiểm

Phần mềm độc hại Ransomware khi lây nhiễm vào máy tính người dùng sẽ mã hóa file dữ liệu thành các đuôi kí tự lạ. Ví dụ: *.Doc > *.docm ; *.xls > *.cerber, … Ở mỗi thời điểm, các đuôi mã hóa lại khác nhau khiến chúng ta tốn rất nhiều công sức để xác định. 

dau-hieu-file-bi-phan-mem-doc-hai-ransomware-tan-cong
Nguồn: Sưu tầm

Một máy tính bị nhiễm ransomware thì khả năng cao những máy còn lại trong hệ thống cũng gặp tình trạng tương tự. Để chuộc lại file bị nhiễm ransomware, phổ biến nhất người dùng phải trả tiền cho hacker qua các đồng tiền ảo như Bitcoin,…để đảm bảo rằng có thể lấy lại được các dữ liệu một cách an toàn.

3- Phần mềm độc hại Ransomware xâm nhập bằng đường nào?

Phần mềm độc hại Ransomware thường lây lan qua thư rác hoặc email lừa đảo, cũng có thể thông qua các trang web hoặc tải xuống theo ổ đĩa, để lây nhiễm vào thiết bị điểm cuối và xâm nhập vào mạng. 

Ngoài ra hạn việc sử dụng hay có các thao tác như bên dưới có thể làm cho bạn “dẫn trộm vào nhà” mà chính bạn cũng không hề hay biết.

  • Sử dụng các mạng wifi miễn phí, nguồn gốc không rõ ràng.
  • Click vào các đường link lạ, các email không rõ địa chỉ.
  • Cài đặt, sử dụng các phần mềm miễn phí, đường link không rõ ràng.

4- Cơ chế hoạt động của phần mềm độc hại ransomware

Ransomware được đánh giá là một trong những loại mã độc nguy hiểm với khả năng lây nhiễm rất cao. Chúng có thể xâm nhập  chỉ thông qua các file email thông thường hay thông qua một tệp dữ liệu nào đó trông có vẻ rất bình thường điều đó làm cho đa số người dùng không cảnh giác và khó phát hiện hơn.

Cơ chế hoạt động của ransomware như sau:

co-che-hoat-dong-ransomware
Nguồn: Sưu tầm

co-che-hoat-dong-ransomware

co-che-hoat-dong-ransomware
Cơ chế hoạt động ransomware

 5- Phần mềm độc hại Ransomware – Nỗi sợ của doanh nghiệp

Phần mềm độc hại Ransomware gây ra những thiệt hại vô cùng nặng nề gây ảnh hưởng nghiêm trọng cho các cá nhân và doanh nghiệp khi lây nhiễm. Đa phần là các doanh nghiệp hoặc các tổ chức lớn nơi chứa nhiều dữ liệu quan trọng và có giá trị. Thông tường chúng sẽ dùng để tống tiền các nạn nhân qua việc thông báo và chuyển tiền qua hình thức tiền ảo Bitcoin, một số trường hợp chúng còn tại thêm áp lực thời gian cho doanh nghiệp nếu trong thời gian yêu cầu không có tiền chuộc chúng sẽ thực hiện thêm một lớp mã hóa.

phan-mem-doc-hai-ransomware-la-gi-ivim
Hình ảnh ransomware tấn công và đòi tiền chuộc

 Chỉ trong vài năm qua, đã có hàng ngàn vụ vi phạm dữ liệu và nhiều sự cố bảo mật khác. Hàng tỷ hồ sơ đã bị mất trong các vi phạm dữ liệu khổng lồ như: Truyền thông Mỹ ngày 19/6/2017 đưa tin Công ty an ninh UpGuard đã phát hiện dữ liệu của gần 200 triệu cử tri Mỹ bị rò rỉ trên mạng Internet.

du-lieu-cua-gan-200-trieu-cu-tri-My-bi-ro-ri-tren-mang-Internet-do-phan-mem-doc-hai-Ransomware
200 triệu cử tri Mỹ bị rò rỉ thông tin  trên mạng Internet.

Theo công ty mẹ của Yahoo, Verizon, vụ vi phạm dữ liệu khổng lồ của Yahoo xảy ra vào tháng 8/2013 đã ảnh hưởng đến 03 tỷ tài khoản Yahoo vào thời điểm đó….Đây chỉ là một vài trong số nhiều ví dụ thực tế để nhấn mạnh sự cần thiết phải bảo vệ dữ liệu.

WannaCry chắc hẳn không còn là một cái tên xa lạ với những ai quan tâm đến công nghệ và bảo mật. Năm 2017, mã độc này đã hoành hành với quy mô cực lớn – 250.000 máy tính tại 116 quốc gia, trong đó có Việt Nam.

WannaCry được đánh giá là “vụ tấn công ransomware kinh khủng nhất trong lịch sử” cho đến năm 2017, ước tính tổng thiệt hại lên đến hàng trăm triệu đến hàng tỉ USD. Mã độc này lợi dụng một lỗ hổng trong giao thức SMB của hệ điều hành Microsoft Windows để tự động lan rộng ra các máy tính khác trong cùng mạng lưới

Chỉ trong 4 ngày, WannaCry đã lan rộng trong 116 nước với hơn 250.000 mã độc được phát hiện. Tại châu Âu, những tổ chức chính phủ, doanh nghiệp lớn như FedEx, Hệ thống Dịch vụ Y tế Quốc gia Anh và Bộ Nội vụ Nga đều đã gánh chịu hậu quả không nhỏ từ loại ransomware này.

7- Làm gì khi nhiễm phần mềm độc hại Ransomware?

Ransomware thật sự là nỗi lo lắng của rất nhiều doanh nghiệp. Vậy nếu không may doanh nghiệp của bạn bị tấn công bởi ransomware, các dữ liệu bị mã hóa bạn nên làm những gì? Đây là việc hết sức quan trọng và bạn cần biết để có thể kịp thời hạn chế thấp nhất những thiệt hại

Cô lập và tách mạng, hệ thống 

Thực hiện việc cách ly phần đã bị nhiễm với hệ thống để ngăn việc virus lây lan bằng việc tắt hệ thống đó và ngắt kết nối mạng khi phát hiện bị xâm nhập 

Xác định loại ransomware 

Tìm ra các dữ liệu bị mã hóa, xác định xem chúng là loại ransomware nào. Đa phần những ransomware tấn công vào doanh nghiệp là loại Ransomware Crypto, loại này thường mã hóa các file dữ liệu khiến cho doanh nghiệp không thể truy cập vào được. Đối với loại này doanh nghiệp có thể nhìn vào phần đuôi của tệp dữ liệu để xác định

Việc xác định đúng loại ransomware sẽ giúp doanh nghiệp thuận lợi hơn trong việc lên kế hoạch xóa bỏ. 

ivim-lam-gi-khi-nhiem-phan-mem-doc-hai-ransomware
Loại ransomware có mã là Globeimposter-Alpha865qqz
Xóa máy bị nhiễm và phục hồi từ bản sao lưu

Nếu có bản sao lưu bạn nên xóa toàn bộ các dữ liệu bị Ransomware sau đó khôi phục lại bằng bản sao lưu để tránh trường hợp các phần mềm độc hại Ransomware còn sót lại trong máy. Nếu không chuẩn bị bản sao lưu trước đó tốt nhất sau khi cô lập và tách mạng hệ thống thì nên để nguyên các dữ liệu trên, nếu không sẽ ảnh hưởng đến việc xác định tệp dữ liệu cũng như khó khăn trong việc khôi phục. 

Phân tích và quan sát hệ thống

Sau khi đã xóa các ransomware, doanh nghiệp nên xem xét một lần nữa để tìm ra nguyên nhân lây nhiễm và biện pháp bảo vệ. 

Hiện nay trên thị trường có nhiều đơn vị triển khai các phương pháp bảo vệ dữ liệu và phương pháp bảo vệ được nhiều doanh nghiệp sử dụng nhất là DLP- Giải pháp chống thất thoát dữ liệu cho doanh nghiệp. 

Theo thống kê từ Gartner ước tính đến năm 2021, 90% các tổ chức sẽ triển khai ít nhất một hình thức tích hợp DLP. Giải pháp DLP dựa trên một số công nghệ cốt lõi cho phép xác định chính xác dữ liệu nhạy cảm mà doanh nghiệp cần bảo mật và thực hiện các hoạt động  khắc phục để ngăn ngừa sự cố.

iVIM là một trong những doanh nghiệp triển khai thành công nhiều dự án DLP. iVIM linh động trong yêu cầu của khách hàng và xây dựng nên hệ thống dựa trên tình trạng doanh nghiệp và những nhu cầu hiện có. Vậy nên giải pháp DLP mà iVIM xây dựng sẽ là hệ thống cho riêng doanh nghiệp và đảm bảo phù hợp nhất với doanh nghiệp của bạn để mang lại kết quả cao nhất.

>Xem chi tiết tại https://ivim.vn/giai-phap-chong-that-thoat-du-lieu-dlp

Hi vọng bài viết trên sẽ giúp bạn có được những thông tin hữu ích về Phải làm gì khi nhiễm phần mềm độc hại ransomware? để có những kiến thức cân thiết cũng như hạn chế thấp nhất hạn chế do ransomware mang lại. p