Phần mềm tống tiền là gì?

Ransomware là một loại phần mềm độc hại (phần mềm độc hại) có thể biểu hiện theo một số cách khác nhau, ảnh hưởng đến các hệ thống riêng lẻ cũng như mạng của doanh nghiệp, bệnh viện, sân bay và cơ quan chính phủ.

Ransomware không ngừng được cải tiến và ngày càng tinh vi hơn kể từ lần xuất hiện đầu tiên được đăng ký vào năm 1989. Mặc dù các định dạng đơn giản thường là ransomware không mã hóa, nhưng các định dạng hiện đại lại sử dụng các phương pháp mã hóa để mã hóa tệp, khiến chúng không thể truy cập được. Ransomware mã hóa cũng có thể được sử dụng trên ổ cứng như một cách để khóa hoàn toàn hệ điều hành máy tính, ngăn nạn nhân truy cập vào nó. Mục tiêu cuối cùng là thuyết phục nạn nhân trả tiền chuộc giải mã - thường được yêu cầu bằng các loại tiền kỹ thuật số khó theo dõi (chẳng hạn như Bitcoin hoặc các loại tiền điện tử khác). Tuy nhiên, không có gì đảm bảo rằng các khoản thanh toán sẽ được những kẻ tấn công thực hiện.

Mức độ phổ biến của ransomware đã tăng lên đáng kể trong thập kỷ qua (đặc biệt là vào năm 2017) và là một cuộc tấn công mạng có động cơ tài chính, nó hiện là mối đe dọa phần mềm độc hại nổi bật nhất trên thế giới - theo báo cáo của Europol (IOCTA 2018).


Nạn nhân được tạo ra như thế nào?

  • Lừa đảo: một hình thức lừa đảo qua mạng thường xuyên. Trong bối cảnh ransomware, email lừa đảo là một trong những hình thức phân phối phần mềm độc hại phổ biến nhất. Các nạn nhân thường bị lây nhiễm thông qua các tệp đính kèm hoặc liên kết email bị xâm phạm được ngụy trang là hợp pháp. Trong một mạng máy tính, một nạn nhân có thể đủ để xâm phạm cả một tổ chức.

  • Bộ công cụ khai thác: một gói gồm nhiều công cụ độc hại khác nhau và mã khai thác được viết sẵn. Các bộ công cụ này được thiết kế để khai thác các sự cố và lỗ hổng trong ứng dụng phần mềm và hệ điều hành nhằm phát tán phần mềm độc hại (các hệ thống không an toàn chạy phần mềm lỗi thời là mục tiêu phổ biến nhất).

  • Quảng cáo độc hại: kẻ tấn công sử dụng mạng quảng cáo để phát tán ransomware.


Làm thế nào để bảo vệ bạn khỏi các cuộc tấn công của ransomware?

  • Sử dụng các nguồn bên ngoài để sao lưu tệp của bạn thường xuyên để bạn có thể khôi phục chúng sau khi loại bỏ khả năng lây nhiễm;

  • Hãy thận trọng với các tệp đính kèm và liên kết email. Tránh nhấp vào quảng cáo và trang web không rõ nguồn;

  • Cài đặt một phần mềm chống vi-rút đáng tin cậy và luôn cập nhật các ứng dụng phần mềm cũng như hệ điều hành của bạn;

  • Bật tùy chọn 'Hiển thị phần mở rộng tệp' trong cài đặt Windows để bạn có thể dễ dàng kiểm tra phần mở rộng của tệp của mình. Tránh các phần mở rộng tệp như .exe .vbs và .scr;

  • Tránh truy cập các trang web không được bảo mật bằng giao thức HTTPS (tức là các URL bắt đầu bằng “https://”). Tuy nhiên, hãy nhớ rằng nhiều trang web độc hại đang triển khai giao thức HTTPS nhằm gây nhầm lẫn cho nạn nhân và chỉ riêng giao thức này không đảm bảo rằng trang web đó là hợp pháp hoặc an toàn.

  • Hãy truy cập NoMoreRansom.org, một trang web được tạo bởi các công ty thực thi pháp luật và bảo mật CNTT nhằm ngăn chặn phần mềm tống tiền. Trang web cung cấp bộ công cụ giải mã miễn phí cho người dùng bị nhiễm cũng như lời khuyên phòng ngừa.


Ví dụ về phần mềm tống tiền

Cua Lớn (2018)

Lần đầu tiên được nhìn thấy vào tháng 1 năm 2018, ransomware đã tấn công hơn 50.000 nạn nhân trong vòng chưa đầy một tháng, trước khi bị gián đoạn bởi hoạt động của chính quyền Romania cùng với Bitdefender và Europol (có sẵn bộ phục hồi dữ liệu miễn phí). GrandCrab được lan truyền thông qua các email quảng cáo độc hại và lừa đảo và là ransomware đầu tiên được biết đến yêu cầu thanh toán tiền chuộc bằng tiền điện tử DASH. Số tiền chuộc ban đầu dao động từ 300 đến 1500 đô la Mỹ.


MuốnCry (2017)

Một cuộc tấn công mạng trên toàn thế giới đã lây nhiễm hơn 300.000 máy tính trong 4 ngày. WannaCry lan truyền thông qua một phương thức khai thác có tên EternalBlue và nhắm mục tiêu vào các hệ điều hành Microsoft Windows (hầu hết các máy tính bị ảnh hưởng đều chạy Windows 7). Cuộc tấn công đã bị dừng lại do các bản vá khẩn cấp do Microsoft phát hành. Các chuyên gia an ninh Mỹ cho rằng Triều Tiên phải chịu trách nhiệm về vụ tấn công dù không có bằng chứng nào được đưa ra.


Thỏ Xấu (2017)

Một phần mềm ransomware được phát tán dưới dạng bản cập nhật Adobe Flash giả mạo được tải xuống từ các trang web bị xâm nhập. Hầu hết các máy tính bị nhiễm đều nằm ở Nga và việc lây nhiễm phụ thuộc vào việc cài đặt thủ công tệp .exe. Giá giải mã vào thời điểm đó là khoảng 280 đô la Mỹ (0,05 BTC).


Khóa (2016)

Thường được gửi qua email dưới dạng hóa đơn yêu cầu thanh toán có chứa tệp đính kèm bị nhiễm độc. Vào năm 2016, Trung tâm Y tế Trưởng lão Hollywood đã bị Locky lây nhiễm và phải trả khoản tiền chuộc 40 BTC (17.000 đô la Mỹ vào thời điểm đó) để lấy lại quyền truy cập vào hệ thống máy tính của bệnh viện.