Mục lục
Ransomware (Phần mềm tống tiền) là phần mềm độc hại bí mật mã hóa các tệp trên PC của bạn để cố gắng buộc bạn trả tiền theo lệnh của người ransom để lấy khóa giải mã cần thiết để lấy lại quyền truy cập vào cuộc sống kỹ thuật số của bạn.
Trong khi các tổ chức chính phủ và công ty lớn là mục tiêu nổi tiếng nhất của các cuộc tấn công ransomware, chúng cũng ảnh hưởng đến các cá nhân riêng tư. Vào năm 2021, ransomware khiến các doanh nghiệp thiệt hại ước tính khoảng 20 tỷ đô la vào năm 2020.
Ransomware thường lây lan qua các tệp đính kèm và liên kết email độc hại và đôi khi được nhắm mục tiêu cao, cũng như các quảng cáo độc hại tải xuống phần mềm độc hại khi bạn tương tác với chúng, các lượt tải xuống tự động tải xuống payload và trên các mạng cục bộ nơi có sự lây nhiễm. Các quảng cáo độc hại và lượt tải xuống theo lượt có thể xuất hiện trên các trang web hợp pháp.
Nhiều cuộc tấn công khét tiếng, chẳng hạn như cuộc tấn công của nhóm Conti, đã đánh cắp dữ liệu trước khi mã hóa nó, dẫn đến việc dữ liệu riêng tư bị tung lên mạng. Các cuộc tấn công ransomware khác nằm ở khía cạnh giải mã, khiến những người trả tiền chuộc có máy tính không hoạt động được.
Trong khi Windows vẫn là mục tiêu phổ biến nhất, các cuộc tấn công cũng đã ảnh hưởng đến các hệ thống macOS và Linux. Ransomware thậm chí còn tồn tại cho các thiết bị di động và hệ thống nhúng.
Sơ lược về lịch sử mã hóa ransomware
Ransomware không phải lúc nào cũng sử dụng mã hóa toàn bộ tệp bất đối xứng đầy thách thức (the challenging asymmetric full-file encryption) mà chúng ta thấy ngày nay. Cuộc tấn công ransomware đầu tiên được ghi lại, được tạo ra vào năm 1989 và nhằm mục đích làm gián đoạn công việc của các nhà nghiên cứu AIDS, tên tệp được mã hóa để ngăn chúng bị truy cập, khiến hệ thống không thể sử dụng được trừ khi mua khóa giải mã trị giá 189 đô la từ người tạo ra phần mềm độc hại.
Vào năm 2005, một dòng virus được gọi là PGPCoder hoặc GPCode xuất hiện, trojan mã hóa tất cả các tệp tài liệu và lưu trữ mà nó có thể tìm thấy, để lại một tệp văn bản chứa hướng dẫn trả tiền chuộc qua các trang giao dịch vàng trực tuyến để lấy khóa giải mã.
Các nhà nghiên cứu tại Kasperksy đã có thể xác định người tạo GPCode dựa trên địa chỉ IP của họ. Người tạo ra phần mềm độc hại thực sự đã liên hệ với công ty chống vi-rút và cố gắng bán cho họ một công cụ để giải mã phần mềm độc hại PGPCoder. Kaspersky rõ ràng đã từ chối và sau khi điều tra hệ thống của nhiều nạn nhân để giải quyết các địa chỉ IP được ủy quyền mà phần mềm độc hại sử dụng để gọi điện thoại về nhà, đã xác định chính xác vị trí của thủ phạm. Cho đến ngày nay, vẫn chưa rõ liệu cảnh sát có bao giờ hành động dựa trên thông tin mà Kaspersky cung cấp hay không. Phiên bản cuối cùng được biết đến của GPCode đã được phát hành vào năm 2010.
Khi các phương thức thanh toán mới trở nên phổ biến, các nhà phát triển ransomware đã chấp nhận chúng. Trong những năm 2010, dòng phần mềm độc hại WinLock đã sử dụng tin nhắn SMS với mức phí cao nhất để trích xuất các khoản tiền chuộc theo tiêu chuẩn hiện đại với giá rẻ khoảng 10 bảng Anh.
Sự phổ biến của tiền điện tử, đặc biệt là Bitcoin, được tạo ra vào năm 2008, đã mang lại cho bọn tội phạm một phương thức nhận thanh toán ransomware tương đối khó theo dõi và hiện nay phần lớn các cuộc tấn công yêu cầu thanh toán qua tiền điện tử.
Theo Europol, có lẽ ransomware nổi tiếng nhất là Wannacry năm 2017, được sử dụng trong một cuộc tấn công quy mô lớn ảnh hưởng đến khoảng 200.000 máy tính trên toàn thế giới, cho đến khi nhà nghiên cứu bảo mật người Anh Marcus “MalwareTech” Hutchins phát hiện ra một công tắc tiêu diệt.
Chúng tôi hiện đang chứng kiến hàng trăm cuộc tấn công ransomware mỗi năm và có rất ít dấu hiệu cho thấy xu hướng này sẽ giảm bớt.
Phần mềm tống tiền không mã hóa ransomware
Ransomware là một thứ đáng sợ và một số tên tội phạm cố gắng sử dụng mối đe dọa khóa PC của bạn, báo cáo với chính quyền hoặc phá hủy các tệp quý giá nhất của bạn để đòi tiền chuộc mà không thực sự làm gì cả.
Reveton , “virus cảnh sát” tuyên bố rằng hệ thống của bạn đã bị chính quyền địa phương khóa cho đến khi “tiền phạt” được trả thực sự chỉ sử dụng một khóa đăng ký để khóa hệ thống của bạn. Băng nhóm chịu trách nhiệm về vụ đó đã bị Europol bắt vào năm 2013, nhưng không phải trước khi lừa đảo những người dùng dễ bị tổn thương với số tiền hơn 1 triệu euro mỗi năm.
Chỉ tuần trước, một đồng nghiệp trong bộ phận bảo mật CNTT đã chứng kiến một cuộc tấn công “khóa màn hình” trong trình duyệt mới nhưng rất cũ đã chiếm lấy tiêu điểm cửa sổ và hướng dẫn người dùng gọi “Microsoft” để được hỗ trợ, điều này rõ ràng sẽ dẫn đến một vụ lừa đảo và “sửa chữa máy tính” đắt tiền. Thông báo đe dọa hậu quả nghiêm trọng cho việc khởi động lại… điều này hầu như không đáng ngạc nhiên, vì khởi động lại và xóa tất cả các tab trình duyệt đang mở là tất cả những gì cần làm để loại bỏ tác nhân gây khó chịu cụ thể đó. Để đảm bảo khóa màn hình sẽ không quay trở lại, hệ thống đã được quét vi-rút kỹ lưỡng bằng cách sử dụng cả công cụ chống phần mềm độc hại có thể khởi động và đã cài đặt, đồng thời kiểm tra các ứng dụng đăng ký và khởi động của hệ thống.
Làm gì với nghi ngờ mã hóa ransomware?
Nếu bạn nghi ngờ rằng bạn đã bị lây nhiễm bởi ransomware nhưng mọi thứ vẫn chưa được mã hóa hoàn toàn, hãy tắt hoặc tắt máy tính ngay lập tức. Việc khởi động lại không có khả năng ngăn dữ liệu của bạn bị mã hóa vì quá trình mã hóa sẽ khởi động lại với PC của bạn. Quét ổ đĩa để tìm phần mềm độc hại mà không cần khởi động Hệ điều hành, chẳng hạn bằng cách sử dụng đĩa cứu hộ.
Nếu đĩa cứu hộ có thể xác định ransomware, nhưng không giải mã được các tệp mà nó bị khóa, thì tất cả sẽ không bị mất. Ransomware liên tục được các chuyên gia bảo mật phân tích. Cổng kết nối đầu tiên của bạn nên là Emisoft, chuyên tạo ra các trình giải mã và No More Ransom của Europol, sẽ giúp bạn xác định ransomware và tìm ra người giải mã cho nó.
Nếu bạn phải khởi động hệ thống, hãy ngắt kết nối nó khỏi tất cả các mạng có dây và không dây. Điều này có thể ngăn chặn ransomware mã hóa các ổ đĩa mạng, ngăn nó lây lan sang các phần mềm khác trong mạng, giúp ngăn các bản sao tệp cá nhân của bạn bị đánh cắp và chặn các hoạt động thứ cấp của phần mềm độc hại, chẳng hạn như sử dụng PC của bạn để khai thác tiền điện tử.
Nếu đĩa hệ thống của bạn đã được mã hóa hoàn toàn và bạn không thể giải mã nó, bạn sẽ có hai lựa chọn. Nếu đĩa cứng chứa các tệp thực sự quan trọng hoặc không thể thay thế, bạn có thể xóa nó, dán nhãn, cất giữ ở nơi an toàn và theo dõi việc phát hành bộ giải mã. Chúng có thể được thiết kế ngược lại, được phát hành bởi các nhóm ransomware khi họ ngừng kinh doanh hoặc thậm chí bị đánh cắp và phát hành bởi các nhà nghiên cứu bảo mật làm việc chống lại những người tạo ra phần mềm độc hại, như trong trường hợp rò rỉ Conti vào tháng 3 năm 2022.
Nếu bạn đang giữ các bản sao lưu, cho đến nay, cách tốt nhất và nhanh nhất để đối phó với một PC bị nhiễm ransomware là cài đặt lại hệ điều hành và khôi phục dữ liệu của bạn từ các bản sao lưu.
Nếu bạn đang ở Vương quốc Anh, hãy báo cáo vụ tấn công với Trung tâm An ninh Mạng Quốc gia.
Không trả tiền chuộc. Tiền của bạn sẽ hỗ trợ tội phạm có tổ chức và không có gì đảm bảo rằng bạn sẽ nhận được một bộ giải mã chức năng.
Làm thế nào để bảo vệ khỏi ransomware?
- Đảm bảo rằng phần mềm chống vi-rút của bạn, chẳng hạn như Microsoft Defender, được cập nhật.
- Bật tính năng bảo vệ ransomware trong cài đặt bảo mật của Windows.
- Đảm bảo rằng bạn giữ các bản sao lưu ở ít nhất hai nơi, một trong số đó được giữ ở ngoài địa điểm (ngoài nhà, dành cho người dùng gia đình). Dịch vụ sao lưu và đồng bộ đám mây là lý tưởng cho việc này.
- Đừng để đĩa sao lưu cục bộ của bạn được cắm vào PC của bạn, nếu không nội dung của nó cũng có thể được mã hóa.
- Sử dụng kiểm soát phiên bản trong phần mềm sao lưu của bạn để đảm bảo rằng, ngay cả khi bạn vô tình sao lưu các tệp sau khi chúng đã được mã hóa, một phiên bản cũ hơn sẽ có sẵn để tải xuống.
Theo: trustedreviews
Khuyến cáo: Thông tin trên bài viết này chỉ mang tính tham khảo, không có bất kỳ lời khuyên nào về mua bán, đầu tư. Bạn hãy tự nghiên cứu trước khi thực hiện bất kỳ hình thức đầu tư nào.
