Sự tấn công của phần mềm tống tiền và cách xử lý chúng

Ngày nay mọi người nói rất nhiều về phần mềm tống tiền. Thật ngạc nhiên khi chỉ có ít người biết đó là gì và điều bạn gặp phải nếu bị tấn công.

Dưới đây là tóm tắt ngắn gọn về các biện pháp bạn có thể áp dụng để bảo vệ bản thân và điều nên làm nếu tình huống tệ nhất xảy ra.

Phần mềm tống tiền là gì?

Phần mềm tống tiền là một loại phần mềm độc hại được dùng để lấy tiền từ những nạn nhân cúa nó – bằng cách giữ thông tin và đòi tiền chuộc. Hầu hết các phần mềm này được thiết kế chạy ngầm trong hệ thống và từ từ mã hóa các tập tin của bạn. Sau khi hoàn tất việc mã hóa, chúng sẽ gửi đến bạn một thông báo khủng khiếp- bạn phải trả tiền chuộc hoặc sẽ bị mất toàn bộ dữ liệu.

Không có hệ thống bảo mật nào an toàn tuyệt đối. Các phần mềm độc hại đang chiếm ưu thế trong cuộc chơi này. Nếu có ngày bạn bị nhiễm loại phần mềm này, thì đây là một vài hướng dẫn có thể giúp ích cho bạn:

Bước 1: Giảm thiểu thiệt hại

Trước tiên, hãy cách ly hệ thống bị nhiễm độc, nhất là khi nó được kết nối với mạng của bạn, để không ảnh hưởng đến các hệ thống khác.

Nếu bạn là một quản trị viên công nghệ thông tin IT và máy chủ của bạn bị nhiễm độc, hãy ngắt kết nối tất cả các cáp truyền dữ liệu qua mạng Ethernet.

Đừng cố sao chép ra ổ đĩa ngoài để sao lưu tập tin. Có thể bạn cho rằng việc lưu lại các tập tin chưa được mã hóa là một ý hay, nhưng thật ra hành động này sẽ khiến mã độc lây lan. Khi bạn đưa ổ đĩa/ cổng USB vào máy tính bị nhiễm bệnh, phần mềm độc hại sẽ sao chép chính bản thân nó vào thiết bị được cắm vào.

Khi kết nối ổ đĩa/ cổng USB đó vào máy tính khác, phần mềm độc hại sẽ lây nhiễm vào hệ thống đó. Hay tệ hơn là hệ thống của bạn sẽ bị tái nhiễm độc sau khi đã được làm sạch. Vì vậy, cách ly máy tính đã bị nhiễm độc là cách tốt nhất.

Bước 2: Xác định loại phần mềm độc hại

Phần mềm tống tiền có nhiều loại, một số loại nguy hiểm và khó giải quyết hơn những loại khác. Bạn có thể sử dụng các cách khác nhau để loại bỏ chúng, tùy theo hình thức và đặc điểm tấn công. Những loại hay gặp nhất là:

  1. Phần mềm lừa đảo/Phần mềm chống vi-rút giả
    Phần mềm lừa đảo, hay còn gọi là phần mềm chống vi-rút giả, là một loại phần mềm độc hại khiến người dùng tin rằng hệ thống của họ đang gặp vấn đề.
    Và họ cần mua một số phần mềm khác để làm sạch máy tính. Tất nhiên là máy tính của bạn chẳng có vấn đề nào cả, và dù có bỏ tiền ra mua những phần mềm đó thì máy tính của bạn vẫn có nguy cơ bị nhiễm độc.
    Trong phần lớn trường hợp, phần mềm này sẽ làm hiển thị một thông báo được viết bằng chữ in đậm lớn ở giữa màn hình nói rằng máy tính của bạn đã bị nhiễm vi-rút khiến hệ thống bị chậm lại hoặc các vấn đề về bản quyền. Nó cũng có thể tự chuyển người dùng đến các trang web chứa phần mềm độc hại, ngay cả khi bạn tắt cửa sổ đi và bật lại. Đây là hình ảnh của một trường hợp:
    Có lẽ phần mềm lừa đảo là loại dễ giải quyết nhất trong số những phần mềm độc hại. Bạn chỉ cần đóng tab trình duyệt lại và các thông báo sẽ biến mất. Nếu các thông báo tự hiện lên trong hệ điều hành, bạn cần sử dụng Task Manager hoặc trình tìm kiếm nâng cao để xác định tập tin nhiễm độc. Sau đó, bạn chỉ cần xoá hoặc gỡ cài đặt. Nếu bạn vẫn gặp vấn đề này, hãy dùng chương trình diệt vi-rút hoặc chống phần mềm độc hại để quét.
  2. Phần mềm tống tiền khoá màn hình
    Loại phần mềm này không cho phép bạn sử dụng máy tính của mình cho đến khi bạn chịu trả tiền chuộc. Trong hầu hết các trường hợp, máy tính sẽ hiện lên một cửa sổ chiếm toàn màn hình với thông báo cảnh cáo. Nó có thể nhân danh FBI yêu cầu bồi thường về việc tải xuống bất hợp pháp các nội dung trực tuyến. Trong những trường hợp khác, hình nền sẽ là một bức hình khiêu dâm, và bạn không thể đổi sang hình khác. Mục đích của nó là làm nạn nhân cảm thấy xấu hổ và chấp nhận trả tiền chuộc. Các chương trình cao cấp hơn sẽ theo dõi hoạt động của người dùng trong một vài ngày, sau đó hiện thị một thông báo tuỳ chỉnh có nội dung đáng tin và đáng sợ hơn. Dưới đây là một ví dụ:
    Nếu bạn bị nhiễm loại phần mềm này, hãy thử xác định tập tin thực thi đầu tiên làm nhiễm độc hệ thống. Trong hầu hết các trường hợp, bạn chỉ cần nhấn tổ hợp phím CTRL + ALT + DEL để làm xuất hiện hộp thoại Task Manager và có thể đóng lại chương trình bạn muốn.
    Ngay cả khi đã xoá tập tin thực thi, bạn vẫn nên dùng phần mềm diệt vi-rút quét lại toàn bộ hệ thống để xoá đi các mã độc còn xót lại. Nếu những giải pháp này không hiệu quả, bạn có thể sẽ phải khôi phục hoặc cài lại Windows để đưa máy về tình trạng ban đầu, lúc chưa bị nhiễm độc.
  3. Phần mềm tống tiền mã hoá các tập tin
    Loại cuối cùng và cũng nguy hiểm nhất là các chương trình mã hoá tập tin của bạn khiến chúng không thể sử dụng được, cho đến khi bạn chịu trả tiền chuộc. Thông thường, chúng sẽ xâm nhập vào hệ thống của nạn nhân và âm thầm mã hoá các tập tin cho đến khi tất cả đều không sử dụng được.
    Khi hoàn tất, chúng sẽ yêu cầu bạn trả tiền để các tập tin được giải mã. Ngày nay, các loại tiền tệ số như Bitcoin và việc ẩn danh trên mạng đã tạo điều kiện thuận lợi cho những kẻ tống tiền. Đây là hình ảnh mà những người bịmã độc Wannacry tấn công nhận được:
    Sẽ rất có ích nếu bạn biết chính xác về phương thức hoạt động của mã hoá. Điều này sẽ giúp bạn có được đầu mối để giải mã các tệp của bạn trở lại.
    Hầu hết các chương trình sử dụng kết hợp giữa mã hoá đối xứng và mã hoá bất đối xứng khi chạy (nhấn vào đây để biết thêm thông tin về các kiểu mã hoá). Mã hoá đối xứng rất hữu ích vì nó cho phép kẻ tấn công mã hoá các tập tin nhanh hơn mã hoá bất đối xứng. Tuy nhiên, nếu dùng mã hoá bất đối xứng thì những kẻ tấn công kẻ phải bảo vệ một khoá riêng mà thôi. Nếu không, chúng sẽ phải duy trì và bảo vệ khoá đối xứng cho tất cả các nạn nhân.

Các máy chủ điều khiển mã độc (C&C) thường được dùng để lây lan chương trình. Đây là cách thức tập tin phần mềm tống tiền sử dụng mã hoá đối xứng và bất đối xứng để tiến hành một cuộc tấn công:

  • Một khoá công cộng riêng sẽ được tạo ra khi người tấn công sử dụng bất kỳ thuật toán mã hoá bất đối xứng nào như RSA-256.
  • Các khoá riêng sẽ được kẻ tấn công bảo vệ, còn các khoá công cộng sẽ được nhúng vào chương trình phần mềm tống tiền.
  • Khi có nạn nhân mới bị nhiễm phần mềm tống tiền. Nó sẽ gửi đi thông tin cùng với ID hệ thống hoặc ID nạn nhân tới máy chủ điều khiển mã độc C&C.
  • Khi sử dụng một trong những thuật toán mã hoá đối xứng (ví dụ như AES), máy chủ sẽ tạo ra và gửi khoá đối xứng cụ thể đến hệ thống của nạn nhân đó. Sau đó khoá đối xứng này sẽ được mã hoá bằng khoá riêng.
  • Chương trình phần mềm tống tiền sử dụng khoá công cộng để giải mã thuật toán đối xứng- sau đó bắt đầu mã hoá tất cả các tập tin.

Giờ đây, khi bạn đã biết chính xác về cách hoạt động của phần mềm tống tiền, hãy có lựa chọn đúng đắn nếu hệ thống của bạn bị nhiễm độc.

Bước 3: Đưa ra cách giải quyết

Chúng tôi đã nói về các phương pháp tương đối dễ dàng để xoá bỏ hai loại phần mềm đầu tiên ở phía trên.

Rất khó loại trừ các chương trình mã hoá tập tin. Đầu tiên, bạn cần xác định loại phần mềm độc hại mà mình bị nhiễm. Có thể bạn sẽ gặp khó khăn bởi các phần mềm độc hại được viết ra hàng ngày và không có nhiều thông itn về chúng. Nhưng trong phần lớn trường hợp, bạn vẫn có thể xác định được nhờ vào việc tìm kiếm.

Hãy chụp lại màn hình đòi tiền chuộc, sau đó sử dụng chức năng tìm kiếm hình ảnh để xác định chính xác loại phần mềm tống tiền. Bạn cũng có thể tìm kiếm cụm từ được sử dụng trong thông báo.

Quyết định có trả tiền chuộc hay không. Mặc dù chúng tôi không khuyên bạn trả tiền chuộc cho kẻ tấn công, vì hành động này sẽ khuyến khích chúng tiến hành các cuộc tấn công khác, nhưng nếu dữ liệu của bạn quá nhạy cảm hoặc quá quan trọng thì bạn nên xem xét đến việc này. Hãy đưa ra phán quyết chính xác và cố tránh việc trả tiền, trừ khi đó là trường hợp bắt buộc.

Trong trường hợp xấu nhất, tất nhiên bạn nên biết rằng không có gì đảm bảo bạn sẽ nhận lại dữ liệu, ngay cả khi bạn đã trả tiền.

Bước 4: Hành động

Nếu bạn có thể xác định chi tiết về phần mềm tống tiền đã lây nhiễm vào máy tính, hãy tìm trên web cách để xoá nó. Luôn có cách giải quyết các mã độc hại. Có thể nhà phát triển đã quên xoá khoá mã hoá từ chương trình giải mã các tập tin.

Nếu bạn biết đủ về phần mềm tống tiền và những lỗ hổng của chúng, bạn có thể tìm sự trợ giúp và hướng dẫn trực tuyến tại các trang web như nomoreransom.org để xoá nó.

Vì nhiều chương trình phần mềm tống tiền chỉ đơn giản xoá các tệp gốc sau khi mã hoá bản sao của chúng, nên vẫn có thể dùng phần mềm khối phục dữ liệu để phục hồi lại chúng. Khi bạn xoá một tập tin, nó không thực sự bị xoá, trừ khi nó bị ghi đè bởi một tập tin khác. Do đó, bạn cần khôi phục lại dữ liệu quan trọng bằng phần mềm khôi phục miễn phí.

Nếu không cách nào có hiệu quả, bạn cần đưa ra quyết định. Trả tiền chuộc hoặc mất dữ liệu. Tất nhiên, ngay cả khi chấp nhận trả tiền thì cũng không có gì đảm bảo dữ liệu sẽ quay về với bạn. Đây hoàn toàn là một quyết định mà bạn phải đặt niềm tin vào những kẻ tấn công.

Bạn cũng có thể đàm phán với kẻ tấn công qua địa chỉ email ghi trong giấy đòi tiền chuộc. Mức độ diễn ra thường xuyên của hoạt động này sẽ khiến bạn phải ngạc nhiên.

Nếu bạn quyết định không trả tiền chuộc, bước tiếp theo bạn cần tiến hành là làm sạch máy tính của bạn, nhưng bạn SẼ mất dữ liệu viễn. Nếu bạn có một bản sao lưu trên ổ đĩa ngoài, ĐỪNG kết nối nó với máy tính của bạn trước khi làm mới lại ổ đĩa.

Cách tốt nhất để xoá sạch phần mềm tống tiền là định dạng hệ điều hành của bạn. Nếu bạn không muốn phải đưa ra các quyết định khó khăn, thì hãy chắc rằng phần mềm tống tiền không lây nhiễm ra khu vực khởi động. Bạn sẽ tìm thấy thông tin về điều này trên Internet.

Tiếp theo, hãy cập nhật chương trình diệt vi-rut và tiến hành quét toàn bộ hệ thống của bạn. Việc dùng kết hợp chương trình diệt vi-rut và chương trình chống mã độc là ý kiến không tồi giúp bảo vệ toàn diện cho máy tính của bạn. Điều này sẽ giúp loại bỏ hoàn toàn các phần mềm tống tiền.

Bước 5: Rút ra kinh nghiệm

Khi đã thoát khỏi sự tấn công của phần mềm tống tiền, giờ là lúc bạn nhìn vào nguyên nhân khiến bạn bị nhiễm độc. Một người khôn ngoan đã nói: “phòng bệnh hơn chữa bệnh” và điều này đúng với an ninh mạng hơn bất kỳ việc gì khác. Việc bảo vệ chỉ có hiệu quả khi người dùng thông thái và có cách thức hợp lý, nếu đáp ứng được điều đó thì sẽ rất khó bị phần mềm độc hại tấn công.

Hãy thận trọng và nhớ kỹ những điều này:

  1. Luôn cập nhật phần mềm diệt vi-rut
  2. Luôn kiểm tra URL của trang web bạn sẽ truy cập.
  3. Không cài đặt những chương trình không đáng tin trên hệ thống của bạn. Những thứ như công cụ bẻ khoá, mã sê-ri, miếng vá…là những nguồn có chứa nhiều mã độc nhất.
  4. Không cho phép các trang web không đáng tin chạy nội dung thực thi trong trình duyệt của bạn (bạn có thể nhiễm phần mềm độc hại qua cấu hình Java)
  5. 5. Thiết lập hệ điều hành ở trạng thái cập nhật. Phần mềm độc hại, bao gồm phần mềm tống tiền, thường lây lan qua những lỗ hổng bảo mật chưa được vá trong các hệ điều hành cũ. Ví dụ, một tin tặc có thể lợi dụng lỗi trong phần mềm Windows RDP để truy cập vào hệ thống kết nối công khai với Internet và lây lan phần mềm độc hại.
Thông tin trên có giúp ích cho bạn không? Hãy chia sẻ!