Có vẻ các bạn vẫn luôn hay nghe nhắc đến bởi 2 cái tên là Ransomware và Malware từ các trang mạng xã hội, anh chị chung công ty, thợ sửa laptop, máy tính? Hay thỉnh thoảng máy bạn có sự xâm nhập bất ngờ, một câu nói nhảy trên màn ảnh và khiến bạn hoang mang không biết là ai tấn công? Đó chính là sự xâm nhập độc hại từ Ransomware hoặc Malware. Hôm nay, Muakey chúng tôi xin được phép nói rõ hơn cho bạn về 2 kẻ thù lớn nhất khi sử dụng PC hoặc laptop này, đồng thời đưa ra cho các bạn cách khắc phục nhé!
1. Ransomware là gì?
Ransomware – Hay còn gọi là mã độc tống tiền, bao gồm nhiều lớp phần mềm ác ý với chức năng hạn chế truy cập đến hệ thống máy tính mà nó đã lây nhiễm, sau khi lây nhiễm vào máy tính, mã hóa hoặc chặn truy cập dữ liệu trên đĩa và sau đó thông báo cho nạn nhân về khả năng khôi phục chúng. Tất nhiên, không miễn phí và cần phải chuyển tiền vào tài khoản được chỉ định.
Các trường hợp tấn công đầu tiên sử dụng mã hóa đã diễn ra vào năm 1989. Phần mềm ransomware AIDS / PC Cyborg nhắm mục tiêu chủ yếu vào các máy tính từ các công ty trong lĩnh vực y tế. Được cấy vào các ổ đĩa 5,25 inch mạo danh một cuộc khảo sát về nguy cơ nhiễm HIV. Tin nhắn tiền chuộc được in trên máy in được kết nối với máy tính của nạn nhân.
1. 2. Cơ chế hoạt động của Ransomware
Ransomware khi lây nhiễm vào máy tính người dùng sẽ mã hóa file dữ liệu thành các đuôi kí tự lạ. Ví dụ: *.Doc > *.docm ; *.xls > *.cerber, …
Ở mỗi thời điểm, các đuôi mã hóa lại khác nhau khiến chúng ta tốn rất nhiều công sức để xác định. Máy tính tính bị nhiễm ransomware không hề hiện ra thông báo từ hacker. Một máy tính bị nhiễm ransomware thì khả năng cao những máy còn lại trong hệ thống cũng gặp tình trạng tương tự. Để chuộc lại file bị nhiễm ransomware,..
Cái giá mà Ransomware đưa ra cho nạn nhân cũng rất đa dạng, “nhẹ nhàng” thì cỡ 20$, “nặng nề” hơn có thể tới hàng ngàn $ (nhưng trung bình thì hay ở mức 500 – 600$), cũng có trường hợp chấp nhận thanh toán bằng Bitcoin.
1.3. Ransomware xâm nhập vào máy tính như thế nào?
Máy tính của bạn sẽ có nguy cơ bị nhiễm ransomware khi:
– Tìm và sử dụng các phần mềm crack, không rõ nguồn gốc
– Click vào file đính kèm trong email (thường là file word, PDF)
– Click vào các quảng cáo chứa mã độc tống tiền
– Truy cập vào website chứa nội dung đồi trụy, không lành mạnh
– Truy cập vào website giả mạo.
– Và còn nhiều cách lây nhiễm ransomware khác do tính sáng tạo của hacker được cải thiện theo thời gian.
1.4 Phân loại Ransomware và cách thức hoạt động
Dựa vào một số điểm khác nhau trong cách thức hoạt động, có thể chia ransomware thành 3 loại chính: Encrypting, Non-encrypting, Leakware. Tuy nhiên hiện nay ransomware đã theo kịp tốc độ phát triển của công nghệ và xuất hiện thêm các chủng ransomware trên mobile (Android và iOS), ransomware trong IoT hay thậm chí máy ảnh DSLR cũng có thể bị lây nhiễm phần mềm độc hại này.
1.4.1 Ransomware mã hóa (Encrypting)
Encrypting Ransomware là loại phần mềm tống tiền phổ biến nhất, chúng mã hóa dữ liệu (tệp tin và thư mục) của người dùng. Tên khác của Encrypting Ransomware là Crypto Ransomware.
Sau khi xâm nhập vào máy tính của bạn, chúng sẽ âm thầm kết nối với server của kẻ tấn công, tạo ra hai chìa khóa – một khóa công khai để mã hóa các file của bạn, một khóa riêng do server của hacker nắm giữ, dùng để giải mã. Các file này sẽ bị đổi đuôi thành những định dạng nhất định và báo lỗi khi người dùng cố gắng mở.
Sau khi mã hóa file, crypto ransomware sẽ hiển thị một thông báo trên máy tính của bạn, thông báo về việc bạn đã bị tấn công và phải trả tiền chuộc cho chúng. Trong một vài trường hợp, kẻ tấn công còn tạo thêm áp lực bằng cách đòi hỏi nạn nhân phải trả tiền trong thời hạn nhất định. Sau thời hạn đó, khóa giải mã file sẽ bị phá hủy hoặc mức tiền chuộc sẽ tăng lên.
1.4.2 Ransomware không mã hóa (Non-encrypting)
Non-encrypting ransomware (hay còn gọi là Locker) là loại phần mềm không mã hóa file của nạn nhân. Tuy nhiên, nó khóa và chặn người dùng khỏi thiết bị. Nạn nhân sẽ không thể thực hiện được bất kỳ thao tác nào trên máy tính (ngoại trừ việc bật – tắt màn hình). Trên màn hình cũng sẽ xuất hiện hướng dẫn chi tiết về cách thanh toán tiền chuộc để người dùng có thể truy cập lại và sử dụng thiết bị của mình.
1.4.3. Leakware (Doxware)
Một số loại ransomware đe dọa công khai dữ liệu của nạn nhân lên mạng nếu không chịu trả tiền chuộc. Nhiều người có thói quen lưu trữ các file nhạy cảm hoặc ảnh cá nhân ở máy tính nên sẽ không tránh khỏi việc hoảng loạn, cố gắng trả tiền chuộc cho hacker. Loại ransonware này thường được gọi là leakware hoặc doxware.
1.4.4 Mobile ransomware
Với sự phổ biến của smartphone và xu hướng sử dụng điện thoại di động thường xuyên hơn diễn ra trên toàn cầu, ransomware đã xuất hiện trên mobile. Thông thường, Mobile Ransomware xuất hiện dưới dạng phần mềm chặn người dùng khỏi việc truy cập dữ liệu (loại non-encrypting) thay vì mã hóa dữ liệu. Bởi vì dữ liệu trên mobile có thể dễ dàng khôi phục thông qua đồng bộ hóa trực tuyến (online sync).
1.5. Các chủng nguy hiểm nhất
Hiện nay, theo thống kê người ta ghi nhận rất nhiều chủng ransomware với mức độ nguy hiểm khác nhau. Trong số các loại ransomware được biết đến, ba loại nguy hiểm nhất là WannaCry, CryptoLocker và Petya. Ngoài ra những cái tên khác cũng có thể làm hại máy tính của bạn có thể kể đến như Locky, TeslaCrypt, …
Về sự xuất hiện, thuở sơ khai của Ransomware thì các bạn có thể gg thêm để biết thêm chi tiết nhé!
2. Malware là gì?
Malware – Phần mềm ác ý, hay còn gọi là phần mềm ác tính, phần mềm độc hại, phần mềm gây hại hay mã độc là một loại phần mềm hệ thống do các tay tin tặc hay các kẻ phá hoại tạo ra nhằm gây hại cho các máy tính.
Phần mềm độc hại có thể là một đoạn mã thường có thể ở dạng phần mềm được thiết kế có chủ ý để ảnh hưởng đến hệ thống máy tính. Sau khi được cài đặt vào hệ thống máy tính, nó có thể truy cập tài nguyên của hệ thống máy tính, có thể chia sẻ dữ liệu đến một số máy chủ từ xa mà không cần người dùng can thiệp hoặc có thể theo dõi chi tiết người dùng, v.v.
2.1 Phân loại
Dựa trên cách mà phần mềm độc hại lây lan, chúng có thể được phân loại như sau:
Vi rút – Viruses
Virus máy tính là thứ mà hầu hết các phương tiện truyền thông và người dùng cuối thường gọi là mọi chương trình phần mềm độc hại bạn thường thấy trên tin tức.
May mắn thay, hầu hết các chương trình phần mềm độc hại không phải là vi-rút. Vi-rút máy tính sửa đổi các tệp máy chủ hợp pháp khác (hoặc con trỏ tới chúng) theo cách mà khi tệp của nạn nhân được thực thi, vi-rút cũng được thực thi.
Virus máy tính thuần túy ngày nay không còn phổ biến, chỉ khoảng 10 phần trăm trên tổng số các phần mềm độc hại.
Sâu – Worms
Worm đã tồn tại lâu hơn cả virus máy tính, thời mà máy tính dạng mainfram thịnh hành.
Email đã đưa chúng lên đỉnh cao vào cuối những năm 1990, và trong gần một thập kỷ, các chuyên gia bảo mật luôn vùi đầu bởi những con sâu độc hại xuất hiện dưới dạng tệp đính kèm tin nhắn. Một người sẽ mở một email bị nhiễm worm và toàn bộ công ty sẽ bị nhiễm trong thời gian ngắn.
Trojans
Giun máy tính đã được thay thế bởi các chương trình phần mềm độc hại Trojan Horse (Remote Access Trojan) làm vũ khí được lựa chọn bởi tin tặc. Trojans cải trang làm chương trình hợp pháp, nhưng chúng chứa các kiến trúc độc hại. Chúng tồn tại lâu hơn cả virus máy tính, tỷ lệ chiếm giữ các máy tính hiện tại nhiều hơn bất kỳ loại phần mềm độc hại nào khác.
Trojan thường đến qua email hoặc được người dùng tác động khi họ truy cập các trang web bị nhiễm.
Loại Trojan phổ biến nhất là chương trình chống vi-rút giả, bật lên và tuyên bố bạn bị nhiễm, sau đó hướng dẫn bạn chạy chương trình để dọn dẹp PC của bạn. Người dùng mắc bẫy và Trojan chiếm quyền root.
Các loại phần mềm độc hại khác
Các loại phần mềm độc hại khác bao gồm các chức năng hoặc tính năng được thiết kế cho một mục đích cụ thể.
Rootkit là một loại phần mềm độc hại được thiết kế để có quyền truy cập cấp quản trị viên vào hệ thống của nạn nhân. Sau khi cài đặt, chương trình cung cấp cho hacker có thể root hoặc đặc quyền truy cập vào hệ thống.
Virus backdoor hoặc Trojan truy cập từ xa (RAT) là một chương trình độc hại bí mật tạo ra một backdoor vào một hệ thống bị nhiễm cho phép các tác nhân đe dọa truy cập từ xa mà không cần cảnh báo người dùng hoặc các chương trình bảo mật của hệ thống.
2.2 Cơ chế hoạt động của malware
– Các tác giả phần mềm độc hại sử dụng nhiều phương tiện để lây lan phần mềm độc hại và lây nhiễm các thiết bị và mạng.
– Phần mềm độc hại thường có thể lây lan qua internet thông qua các lần tải xuống theo ổ đĩa, tự động tải xuống các chương trình độc hại cho hệ thống của người dùng mà không cần sự chấp thuận của họ.
– Các cuộc tấn công phần mềm độc hại tinh vi thường sử dụng máy chủ điều khiển và lệnh cho phép các nhân tố đe dọa giao tiếp với các hệ thống bị nhiễm, giải mã dữ liệu nhạy cảm hay điều khiển từ xa thiết bị, máy chủ bị xâm nhập.
– Các dòng phần mềm độc hại mới nổi thường bao gồm các kỹ thuật lẩn tránh và lừa đảo mới được thiết kế để không chỉ đánh lừa người dùng, mà còn là quản trị viên bảo mật và các sản phẩm antimalware.
– Một số kỹ thuật trốn tránh này dựa vào các chiến thuật đơn giản, chẳng hạn như sử dụng proxy trên web để ẩn lưu lượng truy cập độc hại hoặc địa chỉ IP nguồn.
– Các mối đe dọa phức tạp hơn bao gồm phần mềm độc hại đa hình, có thể liên tục thay đổi mã cơ bản của nó để tránh bị phát hiện từ các công cụ phát hiện dựa trên signature; kỹ thuật chống sandbox, cho phép phần mềm độc hại phát hiện khi nó được phân tích và thực hiện cho đến khi nó rời khỏi sandbox; và phần mềm độc hại vô danh, chỉ nằm trong RAM của hệ thống để tránh bị phát hiện.
2.3 Dấu hiệu nhận biết Malware
Khi thiết bị nhiễm Malware, bạn có thể nhận thấy các dấu hiệu sau:
– Máy tính chạy chậm, tốc độ xử lý của hệ điều hành giảm cho dù bạn đang điều hướng Internet hay chỉ sử dụng các ứng dụng cục bộ.
– Bạn bị làm phiền bởi quảng cáo pop-up, mà cụ thể hơn là Adware.
– Hệ thống liên tục gặp sự cố, bị đóng băng hoặc hiển thị BSOD – màn hình xanh (đối với Windows).
– Dung lượng ổ cứng giảm bất thường.
– Hoạt động Internet của hệ thống tăng cao không rõ nguyên nhân.
– Tài nguyên hệ thống tiêu hao bất thường, quạt máy tính hoạt động hết công suất.
– Trang chủ của trình duyệt mặc định thay đổi mà không có sự cho phép của bạn. Các liên kết bạn nhấp vào sẽ chuyển hướng bạn đến các trang không mong muốn.
– Các thanh công cụ, tiện ích mở rộng hoặc plugin mới được thêm vào trình duyệt.
– Các chương trình anti-virus ngừng hoạt động và không cập nhật được.
– Bạn nhận được thông báo đòi tiền chuộc từ Malware, nếu không dữ liệu của bạn sẽ bị xóa
3. Cách chặn Ransomware:
Các tổ chức và công ty có thể giảm bớt thiệt hại bởi các cuộc tấn công Ransomware bằng cách cập nhật các bản sao lưu để đề phòng việc mất dữ liệu.
Các công ty cũng nên đào tạo người dùng về các mối đe dọa, chỉnh sửa phần mềm khi cần thiết và thiết lập các phương pháp bảo mật thông thường.
Nếu muốn phòng chống ransomware, bạn có thể áp dụng một số cách sau đây:
– Không sử dụng các mạng wifi miễn phí, nguồn gốc không rõ ràng.
– Hạn chế click vào các đường link lạ, các email không rõ địa chỉ.
– Thường xuyên sao lưu dữ liệu, cài đặt các phần mềm chống virus và thường xuyên cập nhật.
– Thay đổi mật khẩu mặc định trên tất cả các điểm truy cập.
– Tạo nhiều rào cản trên các hệ thống mạng của bạn.
– Có kế hoạch phục hồi khi lỡ bị mất dữ liệu.
Trong trường hợp bị nhiễm Ransomware, hãy thực hiện những bước sau đây:
– Bước 1: Cô lập và tách mạng, hệ thống: hãy cách ly phần đã bị nhiễm với hệ thống, tắt các hệ thống đó, rút mạng để phòng trường hợp virus lây lan.
– Bước 2: Xác định và xóa các ransomware: Cố gắng tìm ra các phần độc hại đang bị lây nhiễm trên máy, xác định chủng và lên kế hoạch xóa bỏ chúng.
– Bước 3: Xóa máy bị nhiễm và khôi phục từ bản sao lưu: Phòng trường hợp các ransomware còn sót lại, hãy xóa toàn bộ các dữ liệu bị nhiễm và khôi phục lại từ đầu qua các bản sao lưu.
– Bước 4: Phân tích và giám sát hệ thống: Sau khi đã loại bỏ hoàn toàn các ransomware, bạn nên ngồi lại phân tích các yếu tố lây nhiễm để có cách bảo vệ dữ liệu phù hợp.
4. Cách phòng tránh Malware
– Bạn nên cảnh giác với các web có domain kết thúc bằng tập hợp các chữ cái riêng lẻ, và có đuôi không giống như bình thường (.com, .vn hay .org,… ).
– Bạn nên chú ý đến các dấu hiệu nhiễm Malware của máy tính bạn ngay từ đầu để ngăn chặn sự xâm nhập.
– Bạn nên tránh nhấp vào các quảng cáo pop-up khi bạn lướt web.
– Không nên mở các file lạ có đính kèm trên email.
– Không nên tải các phần mềm, ứng dụng ở trên các website không đáng tin cậy.
– Bạn nên thường xuyên cập nhật hệ điều hành, ứng dụng hay plugin.
– Chỉ nên tải các app có lượt tải lớn và thứ hạng cao từ Google Play hay Apple Store,…
– Không nên tải ứng dụng từ các nguồn bên thứ 3, và nếu như bạn sử dụng thiết bị Android thì bạn nên vào: Cài đặt > Bảo mật > Tắt ứng dụng không xách định để tránh cài đặt phải các ứng dụng từ bên thứ 3.
– Không nên nhấp vào các liên kết lạ, các liên kết không xác định ở trong email hay văn bản và tin nhắn.
5. Một số phần mềm ngăn chặn Ransomware và Malware
– Trend Micro Internet Security
– SmadAV
Tổng kết
Vậy là chúng ta vừa cùng tìm hiểu xong cách Ransomware và Malware là gì, cũng như cách ngăn chặn khắc phục cơ bản nhất, đồng thời chúng tôi cũng cung cấp một số phần mềm có khả năng hỗ trợ, ngăn chặn sự xâm nhập độc hại cho doanh nghiệp, cá nhân kinh doanh và muốn bảo mật dữ liệu. Chúc bạn có thể ứng dụng được phần mềm này thật hiệu quả vào trong công việc của bản thân.
Và nếu như các bạn có nhu cầu mua bất kỳ phần mềm gì, xin vui lòng với Muakey chúng tôi qua hotline: 0373.454.270.
Trân Trọng!
Người viết và tổng hợp: Thanh Mai
Nguồn tồng hợp: Nhiều nguồn
