Mã độc Tống Tiền - Ransomware Và Biện Pháp Xử Lý, Phòng Chống

Mã độc tống tiền xâm nhập vào máy tính và hoạt động như thế nào?

Máy tính người dùng có thể bị nhiễm mã độc tống tiền khi người dùng thực hiện một trong số hành vi sau:

• Tìm và sử dụng các phần mềm bẻ khóa, không có bản quyền, không rõ nguồn gốc.
• Kích vào hoặc mở các file hoặc đường link độc hại đính kèm trong e-mail
• Kích vào các quảng cáo chứa mã độc tống tiền
• Truy cập vào website chứa nội dung đồi trụy, không lành mạnh có nhúng mã độc.

Điển hình và thông dụng nhất là hình thức tấn công bằng mã độc tống tiền thực hiện thông qua các e-mail giả mạo chứa các file thực thi. Khi người dùng mở file đính kèm, mã độc được cài đặt vào máy tính của nạn nhân. Ngoài ra, hacker cũng có thể nhúng mã độc vào website, khi người dùng truy cập các website này, mã độc được cài đặt vào hệ thống.

Người dùng thường không nhận thức được về quá trình xâm nhập và lây nhiễm của mã độc bởi vì nó hoạt động âm thầm trong nền của hệ thống (background), cho đến khi cơ chế khóa dữ liệu được kích hoạt. Sau đó một hộp thoại xuất hiện thông báo với người dùng rằng dữ liệu đã bị khóa/mã hóa và yêu cầu một khoản tiền chuộc để mở khóa/giải mã dữ liệu.

Có nên trả tiền chuộc khi bị nhiễm mã độc tống tiền?

Bất kỳ ai cũng có thể trở thành nạn nhân của mã độc tống tiền. Khi phát hiện máy tính bị nhiễm loại mã độc này, chúng ta không nên trả tiền chuộc bởi 3 nguyên nhân chính sau đây:

• Không thể đảm bảo dữ liệu của chúng ta sẽ được khôi phục thậm chí khi đã trả tiền chuộc. Ví dụ: có một lỗi (bug) trong mã độc làm cho các file đã được mã hóa không thể khôi phục thậm chí có khóa giải mã.
• Nếu chúng ta trả tiền chuộc sẽ chứng minh rằng mã độc tống tiền hoạt động hiệu quả, khi đó, hacker sẽ tiếp tục thực hiện các hành động để tìm kiếm những phương thức mới nhằm khai thác hệ thống, mã hóa dữ liệu và đòi tiền chuộc.
• Một số mã độc tống tiền đã có bộ giải mã (Decryption Tool). Chúng ta có thể sử dụng các công cụ này để giải mã, khôi phục dữ liệu đã bị khóa hoặc mã hóa.

Biện pháp xử lý khi máy tính bị mã hóa dữ liệu bởi mã độc tống tiền

Hiện nay nhiều tổ chức bảo mật và các cơ quan thi hành luật pháp đã xây dựng nhiều dự án hỗ trợ người dùng và tổ chức/doanh nghiệp các công cụ, chương trình để khôi phục dữ liệu bị mã hóa. Đây là các công cụ giúp chúng ta có thể xác định máy tính đã bị nhiễm loại mã độc tống tiền nào và có công cụ tương ứng để giải mã hay không. Một số dự án nổi tiếng như sau:

• No More Ransom: https://www.nomoreransom.org/en/index.html
• Free Ransomware Decryptors: https://noransom.kaspersky.com/
• ID Ransomware: http://id-ransomware.malwarehunterteam.com/

Bài viết này sẽ tập trung giới thiệu và trình bày chi tiết về “No More Ransom”. Đây là dự án được các công ty bảo mật nổi tiếng như McAfee, Kaspersky và các cơ quan thi hành luật pháp lập ra nhằm mục đích giúp các nạn nhân của mã độc tống tiền khôi phục lại dữ liệu đã bị mã hóa mà không phải trả tiền chuộc cho hacker.

Để xác định loại mã độc tống tiền mà máy tính đã bị nhiễm, thực hiện các bước sau:

• Bước 1: Truy cập địa chỉ website sau: https://www.nomoreransom.org/crypto-sheriff.php?lang=en

• Bước 2: Thực hiện như sau:

• Tải lên 02 file đã bị mã hóa ở ô số 1. Lưu ý kích thước file không lớn hơn 1MB
• Nhập chính xác địa chỉ email, website URL và/hoặc địa chỉ bitcoin trong yêu cầu đòi tiền chuộc, hoặc tải lên file (dạng .txt hoặc .html) chứa nội dung đòi tiền chuộc của hacker vào ô số 2.

• Bước 3: Chọn GO! FIND OUT để bắt đầu quá trình tìm kiếm và xác định loại mã độc tống tiền và công cụ giải mã tương ứng (nếu có).
• Bước 4: Kết quả tìm kiếm sẽ có 2 trường hợp:

• TH1: Tìm thấy loại mã độc và công cụ giải mã dữ liệu mã hóa tương ứng. Đọc kỹ các bước hướng dẫn trước khi tải công cụ về và thực hiện thận trọng theo các bước trong hướng dẫn.

Lưu ý quan trọng: Phải thực hiện gỡ bỏ hoàn toàn mã độc ra khỏi hệ thống máy tính bằng các phần mềm Anti-virus hoặc gỡ bỏ thủ công trước khi thực hiện khôi phục dữ liệu sử dụng công cụ giải mã; nếu không, mã độc sẽ tiếp tục thực hiện khóa hệ thống hoặc mã hóa file. Quá trình này sẽ lặp đi lặp lại nếu chưa gỡ bỏ hoàn toàn mã độc ra khỏi hệ thống.

• TH2: Không tìm thấy loại mã độc tống tiền và công cụ giải mã tương ứng:

Lưu ý: Không phải tất cả các loại mã độc tống tiền đều có công cụ giải mã. Tuy nhiên, trong trường hợp này chúng ta nên sao lưu lại dữ liệu đã bị mã hóa để chờ một giải pháp, công cụ giải mã cho loại mã độc này trong tương lai.

Biện pháp phòng chống tấn công bằng mã độc tống tiền

• Sao lưu dữ liệu định kỳ. Đây là biện pháp khuyến cáo đầu tiên để bảo vệ hệ thống, thiết bị, máy tính trước nguy cơ tấn công của mã độc tống tiền. Chúng ta nên thực hiện sao lưu dữ liệu định kỳ với 2 bản: 1 bản lưu trên môi trường điện toán đám mây như Dropbox, Google Drive, Mega hoặc One Drive (khuyến cáo nên chọn nhà cung cấp dịch vụ hỗ trợ sao lưu tự động) và 1 bản lưu trên thiết bị lưu trữ vật lý ngoài như ổ cứng di động, USB, hoặc trên một máy tính khác.

Lưu ý: Cần ngắt kết nối máy tính đến các môi trường, thiết bị này sau khi sao lưu thành công để phòng trường hợp nếu máy tính bị nhiễm mã độc cũng không ảnh hưởng đến dữ liệu đã sao lưu.

• Sử dụng phần mềm Anti-virus tin cậy như Symantec, Sophos, Norton, McAfee hay Windows Defender để bảo vệ hệ thống máy tính từ mã độc tống tiền. Thường xuyên cập nhật phiên bản mới nhất và không tắt chức năng “heuristic” của các phần mềm Anti-virus để đảm bảo phát hiện các loại mã độc tống tiền mới nhất, chưa được phát hiện trước đó.
• Thường xuyên cập nhật hệ điều hành, các chương trình, ứng dụng cài đặt trên máy tính để vá các lỗ hổng bảo mật, ngăn ngừa các mối đe dọa, rủi ro tiềm ẩn tồn tại trong hệ điều hành, các chương trình ứng dụng.
• Cảnh giác với các đường link hoặc file lạ: Trên môi trường mạng, bất kỳ tài khoản nào cũng có thể bị tấn công và các đường link độc hại có thể được gửi từ các tài khoản này thông qua mạng xã hội hoặc e-mail. Đừng bao giờ mở các file hoặc đường link đính kèm trong các e-mail từ những người mà chúng ta không biết. Những kẻ hacker thường phát tán các e-mail giả mạo để lừa người dùng kích vào, sau đó mã độc sẽ được cài đặt trên máy tính. Đây là hình thức tấn công rất phổ biến. Do đó, việc nhận thức của người dùng để bảo vệ chính mình từ các cuộc tấn công bằng mã độc là hết sức quan trọng.

Mục đích của bài viết là cung cấp một số nội dung cơ bản về hình thức tấn công mã hóa dữ liệu và tống tiền, để người dùng thấy được mức độ nguy hại của các tấn công trên mạng, qua đó nâng cao nhận thức về an toàn thông tin, sử dụng CNTT một cách hợp lý để nâng cao hiệu quả công việc chứ không phải gánh thêm rủi ro về mất mát dữ liệu.