Ransomware chính là một mã độc mà không người dùng máy tính nào muốn máy tính của mình bị nhiễm phải. Vậy mã độc ransomware là gì? Cơ chế hoạt động và cách ngăn chặn ransomware như thế nào? Tất cả sẽ được giải đáp chi tiết ở trong nội dung bài viết ngày hôm nay.
Phần mềm ransomware là gì?
Ransomware là phần mềm gián điệp hay phần mềm tống tiền, có tên gọi chung là phần mềm virus độc hại. Nó được Bộ Tư pháp Hoa Kỳ xem là mô hình hiện đại của tội phạm mạng với nguy cơ gây tổn thương hệ thống mạng toàn cầu.
Khi ransomware lây nhiễm vào máy tính, chúng có khả năng mã hóa hoặc ngăn chặn truy cập dữ liệu trong ổ đĩa. Sau đó, sẽ có tin nhắn được gửi đến cho nạn nhân và yêu cầu họ trả tiền mới hồi phục lại quyền truy cập vào thiết bị và dữ liệu.
Cơ chế hoạt động của ứng dụng ransomware
Cũng giống như các phần mềm độc hại khác, ransomware có thể xâm phạm vào máy tính khi người dùng thực hiện các truy cập sau:
- Tìm kiếm và sử dụng các phần mềm Crack.
- Bấm vào mục quảng cáo.
- Truy cập vào những trang web đen, đồi trụy.
- Truy cập vào những địa chỉ website giả mạo.
- Tải, cài đặt các phần mềm không có nguồn gốc rõ ràng.
- File đính kèm email bị spam.
- …
Khi đã xâm nhập và kích hoạt trong máy tính của người dùng thì ransomware sẽ đồng thời thực hiện các tác vụ như sau:
- Trường hợp 1: Khóa màn hình máy tính, hiển thị thông báo.
- Trường hợp 2: Mã hóa bất kỳ một file tài liệu nào mà nó tìm được, đương nhiên là sẽ có mật khẩu bảo vệ.
Nếu trường hợp 1 xảy ra thì người dùng sẽ không thể thực hiện bất kỳ thao tác nào trên máy tính (ngoại trừ tắt/bật máy tính). Ngoài ra, trên màn hình cũng sẽ có hướng dẫn chi tiết về việc chuyển khoản tiền cho hacker để lấy thông tin cá nhân.
Còn với trường hợp 2, thường là xấu hơn vì ransomware sẽ mã hóa toàn bộ các file văn bản (thường là file Office như *.doc, *.xls, file email và file *.pdf). Các đuôi của những file này sẽ bị đổi đuôi thành những định dạng nhất định nào đó, có mật khẩu bảo vệ và bạn sẽ không thể thực hiện bất cứ thao tác nào như copy, paste, đổi tên, đổi đuôi hay xóa.
⇒ Có thể nói, ransomware có cách thức hoạt động tương tự như các phần mềm bảo mật giả tạo FakeAV (1 loại Malware). Cái giá mà ransomware đưa ra cho nạn nhân khá đa dạng, “nhẹ nhàng” thì cỡ 20$, “nặng đô” hơn thì có thể lên hàng ngàn $ (trung bình ở mức 500-600$) hoặc có trường hợp chấp nhận thanh toán bằng Bitcoin.
Dẫu vậy thì người dùng cũng cần chú ý rằng dù có trả tiền cho hacker thì tỉ lệ lấy lại được dữ liệu hay thông tin cá nhân không phải là 100%.
Nguồn gốc, lịch sử hình thành và phát triển ransomware
Quá trình hình thành và phát triển của virus ransomware như sau:
1. Giai đoạn hình thành
Ransomware phát hiện lần đầu tiên ở Nga vào khoảng năm 2005 – 2006. Ở giai đoạn đầu, ransomware TROJ_CRYZIP.A – 1 dạng Trojan sau khi xâm nhập vào máy tính sẽ lập tức mã hóa và nén các file hệ thống bằng mật khẩu. Đồng thời, nó cũng tạo ra các file *.txt với nội dung yêu cầu nạn nhân trả phí 300$ để lấy lại các dữ liệu cá nhân.
2. Giai đoạn phát triển
Theo thời gian, mã độc ransomware mở rộng phạm vi của mình khi ăn vào cả các tệp văn bản, bảng tính có định dạng đuôi như *.doc, *.xl, *.exe,…
Vào năm 2011, giới thông tin thế giới đã ghi nhận sự xuất hiện của một dạng ransomware khác tên là SMS Ransomware. Ngoài các đặc tính thông thường, SMS Ransomware còn đưa ra thông báo yêu cầu nạn nhân phải liên lạc với hacker qua số điện thoại được cung cấp cho đến khi thực hiện chuyển tiền đúng như yêu cầu.
Ngoài ra, một phiên bản khác của ransomware cũng đã làm mưa làm gió khi tấn công vào Master Boot Record (MBR) của hệ điều hành máy chủ. Tức là nó sẽ khiến cho hệ điều hành không thể hoạt động được.
3. Giai đoạn lan rộng
Xuất hiện lần đầu tiên ở Nga, nhưng chỉ sau thời gian ngắn thì loại virus này đã lan rộng khắp châu Âu. Cụ thể, vào năm 2012 TrendMicro đã ghi nhận rất nhiều vụ tấn công xảy ra khắp châu Âu, thậm chí là ở Mỹ và Canada. Ngoài ra, khá giống với TROJ_RANSOM.BOV thì 1 biến thể ransomware khác cũng đã từng lây lan rất mạnh ở Pháp và Nhật khi có cùng cách thức hoạt động của ransomware nguyên bản.
4. Giai đoạn phát triển mới
Đó là thời điểm của Reveton hoặc Police Ransomware – khi mà ransomware xâm nhập vào máy tính sẽ hiển thị một thông báo như 1 đơn vị pháp luật thực thụ với nội dung đại loại như: “Xin chào, anh/chị đã bị bắt vì vi phạm điều luật số … và đồng thời vi phạm hiến pháp của USA… vì đã tham gia vào các hoạt động bất hợp pháp trực tuyến…” đi kèm là hình ảnh và phù hiệu của luật pháp. Các ransomware dạng này đều được gọi tắt dưới cái tên Reveton.
Năm 2012, Reveton phát triển thêm hình thức và thủ đoạn mới là dùng các đoạn ghi âm – Recording bằng giọng của người địa phương để truyền tải thông tin đến nạn nhân thay cho cách thức thông báo cũ.
Cuối năm 2013, TrendMicro nhận được các bản báo cáo đầu tiên về một thể loại ransomware hoàn toàn mới – CryptoLocker. Cụ thể, các biến thể này bên cạnh việc mã hóa toàn bộ dữ liệu còn khóa toàn bộ hệ thống máy tính. Đặc trưng của cho việc nếu Malware có bị xóa thì nạn nhân vẫn phải thực hiện hoàn chỉnh quá trình chuyển tiền. Và nếu không chuyển thi toàn bộ dữ liệu của nạn nhân sẽ bị mất.
Ngoài ra, thông báo “trắng trợn” của hacker chỉ ra rằng dữ liệu của người dùng đã bị mã hóa bằng RSA-2048 nhưng thực tế trong báo cáo của TrendMicro chỉ ra rằng thuật toán mã hóa của CryptoLocker lại là AES + RSA.
Phân loại Ransomware
Hiện nay, ransomware gồm 3 loại chính. Cụ thể như sau:
1. Encrypting
Là loại tấn công vào thiết bị, sau đó mã hóa dữ liệu và tống tiền người dùng. Thường thì chúng sẽ yêu cầu nạn nhân chuyển tiền qua Bitcoin hoặc các đồng tiền ảo. Vì thế, loại ransomware này còn được gọi là Crypto Ransomware.
2. Ransomware Non-encrypting
Là loại ransomware tấn công không mã hóa dữ liệu, sau đó khóa thiết bị của nạn nhân. Nếu muốn sử dụng thiết bị, nạn nhân cần phải trả tiền cho chúng để được mở khóa hoặc tắt/mở máy tính nhìn màn hình yêu cầu chuyển tiền “cho vui”.
3. Leakware/Doxware
Leakware hay Doxware là loại tấn công và đe dọa thông tin nhạy cảm. Chúng sử dụng dữ liệu nhạy cảm để tống tiền nạn nhân, nếu không chi trả thì dữ liệu sẽ bị đưa lên mạng. Tuy nhiên, sẽ không có gì đảm bảo chúng không tung dữ liệu kể cả khi bạn đã trả tiền.
Phân biệt ransomware với các mã độc malware bình thường
Để nhận diện ransomware, bạn cần phân biệt chúng với các mã độc malware bình thường như sau:
1. Sự khác biệt
Ransomware hay là các phần mềm malware độc hại bình thường có điểm chung là làm luôn làm mọi cách để ẩn mình hoặc phá hoại file trong âm thầm. Tuy nhiên, sự khác biệt lớn nhất của 2 loại này là ransomware có cơ chế mã hóa vô cùng phức tạp. Các mã hóa này sẽ mở đường cho phần mềm độc hại ăn sâu vào file dữ liệu để vượt qua cả những rào cản mà các phần mềm diệt virus tạo ra.
2. Các phương pháp ẩn mình của ransomware
Ransomware đang được các hacker trang bị cho nhiều thuật toán “ẩn mình”, phổ biến nhất với các thuật sau:
- Detection: Là phương pháp do thám. Khi đó, các phần mềm độc hại sẽ dò xét môi trường để đề phòng nguy cơ chúng đang ở trong môi trường bị ảo hóa và trốn tránh được sự phát triển của các nhà nghiên cứu bảo mật. Đổi lại, phương pháp này khiến cho chúng không thể tạo ra một chữ ký bảo mật cập nhật.
- Timing: Mọi thứ sẽ không thể đạt đến mức hoàn hảo, các phần mềm diệt virus cũng vậy. Dù khi liên tục phát ra cảnh báo nhưng chúng vẫn khó có thể bảo vệ mọi khía cạnh của hệ thống, nhất là đối mặt với virus nguy hiểm như ransomware. Ransomware tranh thủ xâm nhập vào khoảng thời gian khi thiết bị đang bật – tắt lúc những phần mềm diệt virus chưa kịp khởi động.
- Communication: Khi thâm nhập vào file dữ liệu, ransomware ngay lập tức liên lạc với máy chỉ huy (C&C server) để được nhận hướng dẫn. Tuy nhiên, các phần mềm diệt virus có thể lợi dụng đặc điểm này để phát hiện địa chỉ IP cụ thể và ngăn chặn các giao tiếp diễn ra.
- False Operation: Khi mà máy tính bị nhiễm ransomware thì một chương trình giả mạo có thể hiện ra. Người dùng không có kỹ năng tốt sẽ lầm tưởng đây là một chương trình bình thường của hệ điều hành và làm theo những hướng dẫn của chúng khiến virus lây lan nhanh hơn.
Cách ngăn chặn ransomware
Vào thời điểm hiện tại, ransomware rất khó để loại bỏ. Vì thế, để đỡ tiêu tốn thời gian, công sức và tiền bạc thì bạn cần phải bảo vệ dữ liệu của mình. Một số cách phòng chống ransomware như sau:
- Không dùng mạng wifi miễn phí, có nguồn gốc không rõ ràng.
- Hạn chế tối đa click vào đường link lạ hay email không rõ địa chỉ.
- Thường xuyên sao lưu dữ liệu, cài đặt những phần mềm chống virus và thường xuyên cập nhật chúng.
- Thay đổi mật khẩu mặc định ở trên tất cả các điểm truy cập.
- Tạo nhiều rào cản trên hệ thống mạng của bạn.
- Có các kế hoạch phục hồi khi lỡ bị mất dữ liệu.
Cần phải làm gì khi bị nhiễm ransomware?
Trong trường hợp máy tính của bạn bị nhiễm ransomware thì bạn cần phải thực hiện theo các bước sau đây:
- Bước 1: Cô lập rồi tách mạng, hệ thống (cách ly phần đã bị nhiễm với hệ thống, tắt các hệ thống đó, rút mạng để phòng virus lây lan).
- Bước 2: Xác định rồi xóa các ransomware. Lưu ý là cố gắng tìm ra các phần độc hại đang bị lây nhiễm trên máy, xác định chủng và lên kế hoạch để loại bỏ chúng.
- Bước 3: Xóa máy bị nhiễm, khôi phục từ bản sao lưu. Đối với trường hợp các ransomware còn sót lại thì hãy xóa toàn bộ các dữ liệu bị nhiễm và khôi phục lại từ đầu qua các bản sao lưu.
- Bước 4: Phân tích, giám sát hệ thống. Theo đó, sau khi loại bỏ hoàn toàn các ransomware thì bạn nên phân tích các yếu tố lây nhiễm để có cách bảo vệ dữ liệu phù hợp.
Một số vụ tấn công ransomware nổi tiếng trong lịch sử
Với sự phát triển ngày càng lớn của ransomware. Dưới đây là một số vụ tấn công ransomware nổi tiếng trong lịch sử thế giới. Cụ thể:
1. AIDS Trojan/PC Cyborg
Năm 1989, một nhà sinh vật học tên Joseph Popp đã phân phát ra 20.000 đĩa mềm tại Hội nghị AIDS của Tổ chức Y tế Thế giới Stockholm. Những đĩa mềm này được dán nhãn “Thông tin AIDS – Đĩa giới thiệu”, chứa một loại virus trojan đã tự cài đặt vào hệ thống MS-DOS.
Theo đó, khi người dùng cắm đĩa mềm này vào máy tính thì sau 90 lần khởi động virus sẽ tự động mã hóa các tệp tin và yêu cầu người dùng phải gửi 189$ đến một địa chỉ ở Panama. Đây được xem là một trong các vụ tấn công ransomware đầu tiên trong lịch sử và là khuôn mẫu cho những cuộc tấn công ransomware sau này.
2. WannaCry
Năm 2017, WannaCry là một trong những ransomware – loại mã độc gây hoang mang trên toàn thế giới. WannaCry đã lợi dụng một lỗ hổng của hệ điều hành Microsoft rồi lan rộng để ảnh hưởng đến các máy tính khác cùng mạng. Virus ransomware này đã lây lan đến 250.000 máy tính ở trên 116 nước (gồm cả Việt Nam) để lại thiệt hại khổng lồ với hàng trăm triệu USD.
Sau quá trình được xử lý, Chính phủ Mỹ, Anh và tập đoàn Microsoft đã buộc tội Triều Tiên với các cáo buộc đứng sau vụ tấn công này. Đặc biệt, đã có rất nhiều người trả tiền chuộc cho WannaCry nhưng vẫn không thể lấy lại dữ liệu của mình.
3. GandCrab
Vào tháng 01/2018, một mã độc phát tán qua quảng cáo đã đưa người dùng tới trang chứa mã độc và các email có tên là GandCab. Để xóa bỏ, người dùng được yêu cầu là phải cài đặt một trình duyệt tên Thor được thanh toán bằng tiền ảo như Bitcoin với mức giá từ $200 – $1200 tùy thuộc vào mức độ lây nhiễm.
Tại nước ta, vào cuối năm 2018 đã có đến hơn 3900 máy tính bị nhiễm GandCab mã hóa dữ liệu và tống tiền.
Như vậy, nội dung của bài viết hôm nay chúng tôi đã chia sẻ đến bạn thông tin ransomware là gì. Mong là qua bài viết đã giúp bạn đọc nắm chắc kiến thức về ransomware và chống mã độc này hiệu quả.
