Tất cả thông tin quan trọng về ransomeware
Ransomware là phần mềm độc hại có thể gây thiệt hại kinh tế nghiêm trọng cho những người bị ảnh hưởng. Văn phòng Liên bang về An ninh Thông tin chỉ ra trong một tờ thông tin rằng các cuộc tấn công mạng bằng ransomware đã gia tăng đều đặn kể từ năm 2016. Do đó, điều quan trọng hơn là người dùng phải tự thông báo về cách thức hoạt động của ransomware này và cách nó được bảo vệ.
Ransomware là gì?
Ransomware: định nghĩa
Ransomware là phần mềm độc hại mã hóa các chương trình và tệp trên máy tính hoặc máy chủ. Tội phạm tống tiền các công ty, mà còn cả những người dùng cá nhân. Họ yêu cầu tiền để kích hoạt dữ liệu được mã hóa.
Thuật ngữ “ransomware” được tạo thành từ thuật ngữ tiếng Anh “ransom”, trong tiếng Đức là “ransom” và “phần mềm”. Ransomware do đó là "phần mềm đòi tiền chuộc". Trong tiếng Đức, nó còn được gọi là ransomware hoặc trojan tống tiền. Một tên khác là "trojan mã hóa".
Làm thế nào để bạn có được tên? Tội phạm mạng tạo ra phần mềm mã hóa tất cả hoặc các tệp quan trọng trên máy tính hoặc hệ thống máy tính của bên thứ ba. Một số phần mềm tống tiền còn khóa toàn bộ máy tính. Sau đó, những kẻ tống tiền hoặc những kẻ tấn công yêu cầu một khoản tiền chuộc từ nạn nhân của chúng để các tập tin có thể được giải mã lại hoặc mở khóa máy tính. Bọn tội phạm thường hiển thị thông báo đòi tiền chuộc trực tiếp trên màn hình của thiết bị bị ảnh hưởng. Thông thường, thanh toán bằng bitcoin được yêu cầu để các cơ quan thực thi pháp luật không thể dễ dàng theo dõi đường đi của tiền.
Ransomware được đưa lậu vào máy tính của bên thứ ba thông qua phần mềm độc hại, ví dụ: qua Trojan hoặc vi rút máy tính.
Ransomware: Các loại và Biến thể
Về cơ bản có hai loại ransomware:
- Screenlocker: Phần mềm tống tiền này sẽ khóa màn hình hoặc việc sử dụng máy tính bị nhiễm. Chương trình độc hại này tiếp tục đẩy màn hình khóa với thông báo tống tiền lên trước, bất kể người dùng khởi động chương trình nào. Một biến thể phụ của ransomware này là cái gọi là "App-Locker". Chương trình độc hại này ngăn chặn quyền truy cập vào các ứng dụng hoặc chương trình trên máy tính, máy tính bảng hoặc điện thoại thông minh. Phần mềm tống tiền chặn quyền truy cập của máy tính vào máy chủ của ứng dụng. Giống như trình khóa màn hình cổ điển, trình khóa ứng dụng cũng gửi cho người dùng một thông báo về số tiền chuộc được yêu cầu.
- File Encrypter: Với biến thể này, một số hoặc tất cả các tệp trên máy tính bị nhiễm độc đều được mã hóa. Để nhấn mạnh việc tống tiền, bọn tội phạm ăn cắp ảnh hoặc tệp riêng tư và đe dọa sẽ xuất bản chúng nếu khoản tiền được yêu cầu không được trả đúng hạn. Các chương mã hóa tệp hầu hết được thực hiện dưới dạng Trojan mã hóa, còn được gọi là "Crypto Trojan". Một số chương trình độc hại này chỉ mã hóa các khu vực riêng lẻ, ví dụ: ảnh hoặc chi tiết ngân hàng. Những người khác mã hóa toàn bộ hệ thống máy tính hoặc tất cả các tệp trên một máy chủ. Ransomware tấn công mục lục của ổ cứng theo cách có chủ đích.
Ngoài ra còn có các dạng ransomware kết hợp giữa trình ghi nhật ký ứng dụng và màn hình cũng như trình mã hóa tệp. Việc khôi phục tất cả các tệp sau cuộc tấn công thậm chí còn trở nên khó khăn hơn đối với những người bị ảnh hưởng.
Thông tin: Trojan mã hóa đã có từ bao giờ?
Tống tiền người dùng máy tính bằng phần mềm không phải là một phát minh mới. Cái gọi là “Đĩa Trojan AIDS” đã được lưu hành vào năm 1989. Đó là một chiếc đĩa mà nhà sinh vật học Joseph L. Popp đã gửi cho 20.000 người tham gia Hội nghị Thế giới về AIDS. Đĩa mềm chứa phần mềm độc hại đã mã hóa ổ cứng của máy tính bị ảnh hưởng.
Kẻ tống tiền Popp đòi 189 đô la Mỹ từ các nạn nhân của hắn để kích hoạt dữ liệu. Những người bị ảnh hưởng nên chuyển số tiền cho một công ty có tên "PC Cyborg" có trụ sở tại Panama. Tên công ty cuối cùng đã đặt tên cho ransomware đầu tiên được biết đến: “PC Cyborg Trojan”.
Vào năm 2011, Trojan mã hóa đầu tiên cuối cùng đã được phát tán qua Internet. Đó là TROJ_PGPCODER.A. Bọn tội phạm mạng yêu cầu số tiền chuộc vài trăm đô la Mỹ từ những người dùng bị ảnh hưởng để mở khóa lại máy tính.
Ransomware hoạt động như thế nào và nó xâm nhập vào máy tính như thế nào?
Trái ngược với virus máy tính hoặc sâu internet, ransomware thường là phần mềm phức tạp hơn. Bởi vì trước tiên phần mềm độc hại phải truy cập vào máy tính và chặn hoặc mã hóa các tệp ở đó. Công việc lập trình mở rộng hơn là cần thiết cho việc này.
Trái ngược với sự phức tạp của việc lập trình, việc phát tán ransomware rất đơn giản và tương tự như việc bị nhiễm bởi sâu máy tính hoặc vi rút. Ví dụ, phần mềm độc hại có thể xâm nhập vào máy tính thông qua tệp đính kèm e-mail bị nhiễm hoặc qua các trang web bị thao túng. Nhấp vào tệp đính kèm email bị xâm phạm hoặc trang web bị nhiễm sẽ khởi động ransomware. Nó tự cài đặt trên máy tính.
Sau khi cài đặt, ransomware sẽ xác định vị trí của ổ cứng hệ thống và nơi có thể tìm thấy các tệp được mã hóa. Sau đó, nó tạo ra một khóa và ghi đè lên bản ghi khởi động chính.
Mã hóa hoặc khóa màn hình sau đó không phải lúc nào cũng diễn ra ngay lập tức. Tùy thuộc vào kiểu lập trình, tin tặc tội phạm có thể mã hóa dữ liệu tại một thời điểm mong muốn. Đôi khi một số kích hoạt nhất định được lập trình, tức là các điều kiện mà ransomware hoạt động.
Ngay sau khi nó khởi động, hệ thống tệp hiện có sẽ bị ransomware ghi đè và mã hóa. Sau khi khởi động lại, thông tin về vụ tống tiền kèm theo lệnh thanh toán sẽ xuất hiện trên màn hình máy tính. Phần mềm thường được lập trình theo cách mà thông báo xuất hiện với mỗi lần nhấp chuột hoặc mỗi lần nhấn phím.
Một số tin tặc lập trình ransomware theo cách để một phần dữ liệu được mã hóa luôn bị chặn khi máy tính được khởi động lại. Các phương thức tống tiền khác quy định việc xóa sau một khoảng thời gian nhất định, trong đó không có tiền được chuyển.
Thông tin:
Ngay cả khi lập trình ransomware không hề tầm thường, thì việc tin tặc mua các chương trình thường rất dễ dàng. Darknet đóng một vai trò quan trọng ở đây. Các bộ phần mềm tống tiền hoàn chỉnh có sẵn để mua ở đó. Việc truy tố trên Darknet rất khó khăn đối với các nhà chức trách, vì danh tính của nhà cung cấp chỉ có thể được xác định ở đó với rất nhiều nỗ lực kỹ thuật.
Chính xác thì những kẻ tống tiền kiếm tiền bằng cách nào?
Sau một cuộc tấn công bằng ransomware, những kẻ tống tiền cung cấp thông tin về các phương thức thanh toán trên một trang riêng biệt.
Thanh toán bằng Bitcoin hầu như không theo dõi được hoặc thông qua thẻ Paysafe hoặc Ukash là phổ biến. Tội phạm mạng hứa hẹn trên trang hiển thị rằng chúng sẽ truyền mã để giải mã ngay sau khi tiền được chuyển. Tuy nhiên, người tiêu dùng không nên tự động mong đợi việc tống tiền kết thúc bằng việc thanh toán.
Tùy thuộc vào quy mô và tầm quan trọng của dữ liệu được mã hóa, những kẻ tống tiền tính phí từ vài trăm đến vài nghìn đô la hoặc euro.
Làm cách nào để nhận ra phần mềm tống tiền?
Thật không may, hầu hết người dùng chỉ nhận ra ransomware sau khi PC đã bị nhiễm. Sau đó, một ghi chú tiền chuộc xuất hiện trên màn hình bị chặn cho biết rằng máy tính đã bị khóa hoặc các tệp đã được mã hóa. Nhiều người dùng sau đó không còn có thể theo dõi khi máy tính của họ bị nhiễm, ví dụ: với tệp đính kèm email.
Trong một số trường hợp, các chương trình chống vi-rút phát ra âm thanh báo động sau khi quét vi-rút. Tuy nhiên, không phải tất cả các chương trình bảo vệ chống vi-rút đều phát hiện ransomware. Điều này cũng áp dụng cho phần mềm không sử dụng các định nghĩa vi rút mới nhất. Việc phát hiện ransomware trở nên khó khăn hơn bởi tính năng chống virus vì ransomware thường tự động xóa sau khi chức năng độc hại đã được thực hiện.
Đây là cách bạn có thể tự bảo vệ mình trước ransomware
Giống như các phần mềm độc hại khác, ransomware sử dụng các lỗ hổng bảo mật trong hệ điều hành, ứng dụng và phần mềm cũng như không đủ khả năng bảo vệ khỏi trình quét vi-rút để tự cài đặt trên máy tính hoặc điện thoại thông minh. Bạn có thể sử dụng các biện pháp này để ngăn chặn ransomware.
Tạo bản sao lưu dữ liệu của bạn: |
Tội phạm mạng sử dụng ransomware để đe dọa xóa các tệp của bạn. Do đó, nó là một biện pháp hữu hiệu để thường xuyên lưu tất cả các tệp quan trọng. Tốt nhất là sử dụng phương tiện lưu trữ ngoại tuyến như ổ cứng ngoài. Luôn ngắt kết nối ổ cứng này khỏi máy tính sau khi lưu. Điều này nhằm đảm bảo rằng không có tin tặc nào có thể truy cập vào nó. Bạn cũng nên tạo một bản sao lưu hệ thống. Nếu tin tặc đã xóa hệ điều hành của bạn và tất cả các tệp trên đó, bạn có thể dễ dàng khôi phục bằng bản sao lưu. Thực hiện sao lưu thường xuyên. |
Sử dụng chương trình chống vi-rút có tính năng bảo vệ bằng ransomware: |
Bằng cách sử dụng chương trình chống vi-rút, bạn giảm nguy cơ trở thành nạn nhân của phần mềm tống tiền. Luôn cài đặt mọi bản cập nhật cần thiết và bản cập nhật định nghĩa vi rút. |
Luôn cập nhật hệ điều hành của bạn với các bản cập nhật mới: |
Các bản cập nhật cho hệ điều hành rất quan trọng đối với bảo mật của PC của bạn, vì các bản cập nhật thường cũng đóng các lỗ hổng bảo mật. |
Cập nhật phần mềm của bạn: |
Cho dù là trình duyệt hay chương trình văn phòng, chỉ phần mềm được cập nhật mới cung cấp đủ bảo mật cơ bản. Các chương trình hiện tại ngăn không cho ransomware xâm nhập qua các lỗ hổng bảo mật đã biết. |
Plugin trình duyệt: |
Nhiều chương trình bảo vệ chống vi-rút cung cấp các trình cắm thêm của trình duyệt để phát hiện các tập lệnh độc hại và ngăn không cho các trang web bị nhiễm vi-rút được truy cập. |
Máy quét email: |
Kích hoạt trình quét email của phần mềm bảo vệ chống vi-rút của bạn. Các chương trình này ngăn bạn mở các tệp đính kèm bị nhiễm. Tính năng bảo vệ chống vi-rút có thể cách ly và xóa trực tiếp ransomware. |
Sử dụng tài khoản khách để đăng nhập: | Nếu bạn luôn đăng nhập vào PC của mình với tư cách là quản trị viên, bọn tội phạm có thể sử dụng ransomware để tiếp cận tất cả các khu vực nhạy cảm trên máy tính của bạn dễ dàng hơn. Tuy nhiên, nếu bạn sử dụng PC của mình với tư cách khách bị hạn chế quyền, bọn tội phạm không thể thâm nhập sâu vào hệ thống máy tính của bạn và bị giới hạn trong các lựa chọn của chúng. |
Tôi có ransomware trên máy tính của mình - tôi nên làm gì?
Nếu máy tính của bạn bị ảnh hưởng bởi ransomware, bạn nên giữ bình tĩnh trong thời gian này, bất chấp thông báo trên màn hình.
-
Kiểm tra trang web để xem liệu có bất kỳ cuộc tấn công nào tương tự như của bạn hay không. Nhiều kẻ tống tiền cũng đề cập đến loại Trojan mà chúng có cùng với ghi chú tiền chuộc. Thường thì những kẻ tống tiền vẫn cho phép chức năng của trình duyệt. Rốt cuộc, tiền chuộc thường phải được thanh toán trực tuyến và thông qua mạng Tor. Nếu bạn biết loại lây nhiễm, bạn thường có thể tìm thấy các giải pháp phù hợp trên Internet về cách loại bỏ phần mềm tống tiền. Một điểm liên hệ có thể có là "ID Ransomware". Ở đó, bạn sẽ tìm thấy các giải pháp về cách phá mã hóa bởi ransomware đã biết.
-
Báo cảnh sát nếu dữ liệu đã bị đánh cắp hoặc bị xóa.
-
Nếu bạn có bản sao lưu dữ liệu của mình, bạn có thể thử loại bỏ phần mềm tống tiền bằng máy quét vi-rút hoặc máy quét vi-rút trực tuyến. Sau khi gỡ bỏ nó, bạn nên khởi động lại hệ điều hành của mình. Sau đó, bạn có thể chuyển dữ liệu từ bản sao lưu trở lại máy tính của mình.
Loại bỏ ransomware: Đây là cách
Cách duy nhất để loại bỏ ransomware là quét nó bằng một chương trình chống vi-rút cập nhật. Do đó, bạn nên luôn chạy PC của mình với một chương trình chống vi-rút mạnh mẽ.
Bắt đầu quét vi-rút với nó. Nếu ransomware bị xóa sau khi nó được khởi động, nhiều máy quét sẽ không còn nhận ra phần mềm độc hại nữa. Điều duy nhất có thể giúp ở đây là cài đặt lại hệ điều hành.
Ransomware đã biết
Trong những năm gần đây đã có nhiều loại ransomware gây hại cho người tiêu dùng và các doanh nghiệp trên khắp thế giới.
- Petya: Phần mềm độc hại này khiến PC khởi động lại và khiến máy tính không thể nhận dạng được các tệp trên các máy bị ảnh hưởng. Do đó, Petya đã không mã hóa các tệp, nhưng đã ngăn chặn quyền truy cập vào chúng. Các tin tặc đã đặt ghi chú đòi tiền chuộc sau Petya trên màn hình khóa. Tuy nhiên, kể từ lần đầu tiên xuất hiện vào năm 2016, Petya đã bị giải mã. Do đó, ngày nay hầu như không có bất kỳ thiệt hại nào có thể được thực hiện với tệp gốc.
- Locky: Phần mềm ransomware Locy cũng lây lan vào năm 2016. Cô ấy chủ yếu sử dụng tệp đính kèm email. Các nạn nhân chính là các cơ sở y tế. Ở Los Angeles, một bệnh viện đã trả $ 17,000 để lấy lại hồ sơ bệnh nhân. Vào cuối năm 2016, các cuộc tấn công gần như biến mất một lần nữa.
- Muốn khóc: Vào năm 2022-2023, mã độc tống tiền Wannacry lây lan nhanh chóng trên khắp thế giới. Nó đã khai thác một lỗ hổng bảo mật trong hệ điều hành Windows, đặc biệt là trong Windows 7. Sau khi Windows cung cấp cho người dùng các bản vá, lỗ hổng bảo mật đã được đóng lại. Cơ quan mật vụ Mỹ NSA đóng một vai trò quan trọng trong Wannacry. Anh biết lỗ hổng từ lâu trước khi nó bị tin tặc sử dụng cho mục đích tội phạm. Wannacry không chỉ ảnh hưởng đến các cá nhân tư nhân mà còn ảnh hưởng đến các công ty trên toàn thế giới, bao gồm Deutsche Bahn, các nhà sản xuất ô tô Nissan và Renault, các ngân hàng Trung Quốc và các bộ từ các quốc gia trên thế giới.
Kết luận: Ransomware rất nguy hiểm - nhưng với cách phòng ngừa và bảo vệ, nó có thể được ngăn chặn
Ransomware có thể gây ra thiệt hại lớn và hơn hết là gây ra sự không chắc chắn cho người dùng. Tuy nhiên, nếu bạn thực hiện các biện pháp phòng ngừa với các bản sao lưu và chương trình cập nhật cũng như bảo vệ chống vi-rút cập nhật, bạn có thể giảm nguy cơ lây nhiễm ransomware.