Mã độc tống tiền ransomware: Cơ chế hoạt động và biện pháp phòng chống

Cơ chế hoạt động của ransomware

Ransomware là một loại mã độc nguy hiểm đã được Bộ Tư pháp Mỹ coi là một mô hình mới của tội phạm mạng. Mã độc ransomware có khả năng gây ra các tác động trên quy mô toàn cầu và có thể tác động tiêu cực hoặc làm gián đoạn hoạt động kinh doanh và dẫn đến mất dữ liệu.

Cơ chế hoạt động của ransomware là thông qua những email rác, trang web hoặc xâm nhập máy tính của nạn nhân qua các ỗ đĩa. Sau khi xâm nhập, loại virus này sẽ khóa ổ đĩa, chiếm đoạt dữ liệu của nạn nhân bằng thuật toán mã hóa mạnh.

Cuối cùng, tin tặc yêu tiền chuộc từ người dùng để giải mã các tệp và khôi phục toàn bộ hoạt động cho các hệ thống công nghệ thông tin bị ảnh hưởng. Các đối tượng này sẽ yêu cầu thanh toán bằng tiền kỹ thuật số vì tính bảo mật cao và khó truy vết tội phạm.

Bên cạnh khoản tiền chuộc, nạn nhân của ransomware còn phải chịu tổn thất để khắc phục hậu quả. Tính trung bình, mỗi cuộc tấn công bằng ransomware khiến hoạt động của doanh nghiệp hoặc tổ chức bị gián đoạn trong 21 ngày và mất 270.000 USD để khôi phục.

Có 2 loại ransomware chính gồm:

- Locker ransomware (non-encrypting ransomware): Loại mã độc này không mã hóa file mà thay vào đó là chặn hoàn toàn người dùng truy cập thiết bị. Ví dụ như một máy tính bị nhiễm locker ransomware sẽ không thể thao tác gì ngoài bật tắt máy. Trên màn hình máy lúc này sẽ xuất hiện thông báo hướng dẫn cách gửi tiền để trả máy về bình thường. 

- Ransomware Crypto (encrypting ransomware): Loại ransomware phổ biến nhất. Chúng mã hóa các file dữ liệu bằng cách bí mật kết nối với server của hacker, tạo một chìa khóa để mã hóa và đổi tên đuôi các file. Đồng thời, các hacker này sẽ gửi thông báo đòi tiền chuộc về máy và đôi khi còn tạo áp lực thời gian cho nạn nhân. Nếu không trả trong thời gian quy ước, file có thể bị nâng cấp mã hóa, khiến ảnh hưởng xấu đến dữ liệu.

Làm gì khi bị nhiễm ransomware?

Trong trường hợp bị nhiễm ransomware, hãy thực hiện những bước sau đây:

Bước 1: Cô lập và tách mạng, hệ thống, cách ly phần đã bị nhiễm với hệ thống, tắt các hệ thống đó, rút mạng để phòng trường hợp virus lây lan. 

Bước 2: Xác định và xóa các ransomware, cố gắng tìm ra các phần độc hại đang bị lây nhiễm trên máy, xác định chủng và lên kế hoạch xóa bỏ chúng. 

Bước 3: Xóa máy bị nhiễm và khôi phục từ bản sao lưu. Phòng trường hợp các ransomware còn sót lại, hãy xóa toàn bộ các dữ liệu bị nhiễm và khôi phục lại từ đầu qua các bản sao lưu. 

Bước 4: Phân tích và giám sát hệ thống. Sau khi đã loại bỏ hoàn toàn các ransomware, bạn nên ngồi lại phân tích các yếu tố lây nhiễm để có cách bảo vệ dữ liệu phù hợp.

Biện pháp phòng chống ransomware

Đối với cá nhân

Một khi dữ liệu đã bị ransomware tấn công sẽ rất khó để loại bỏ. Nếu muốn phòng chống ransomware, bạn có thể áp dụng một số cách sau đây:

- Không sử dụng các mạng wifi miễn phí, nguồn gốc không rõ ràng. 

- Hạn chế click vào các đường link lạ, các email không rõ địa chỉ. 

- Thường xuyên sao lưu dữ liệu, cài đặt các phần mềm chống virus và thường xuyên cập nhật. Thay đổi mật khẩu mặc định trên tất cả các điểm truy cập. 

- Tạo nhiều rào cản trên các hệ thống mạng của bạn. Có kế hoạch phục hồi khi lỡ bị mất dữ liệu.

Đối với tổ chức

Theo nghiên của Kaspersky mới công bố, hiện nay các doanh nghiệp ở Đông Nam Á đang là mục tiêu mà ransomware hướng đến và đã có đến 67% doanh nghiệp xác nhận bị loại virus này xâm nhập vào hệ thống máy tính. Do đó, mã độc ransomware được cảnh báo là loại virus đặc biệt nguy hiểm.

Đánh giá được mức độ nguy hiểm của ransomware, nhưng hiện nay các chuyên gia đều chưa có biện pháp ngăn chặn triệt để loại virus này. Theo đó, các chuyên gia đưa ra lời khuyên cho các tổ chức, doanh nghiệp để bảo vệ trước những nguy hại mà ransomware có thể gây ra.

Nhận diện email chứa mã độc ransomware là yếu tố tiên quyết trong bảo vệ hệ thống dữ liệu của doanh nghiệp. Các doanh nghiệp phải đào tạo nhân viên để nhận diện các email đáng ngờ để không click vào những đường link chưa ransomware và các rủi ro do email khác như lừa đảo. 

Nguyên tắc cơ bản, mọi nhân viên không được mở email từ người lạ, thư rác mà bạn không biết rõ đó là ai gửi. Tránh các tệp đính kèm và hãy cẩn thận với các tệp đính kèm yêu cầu bạn bật macro, vì đây là con đường dễ dẫn đến nhiễm phần mềm độc hại nhất. Đồng thời, để bảo vệ an toàn hơn, nhân viên doanh nghiệp cần sử dụng xác thực hai yếu tố để gia tăng tính bảo mật.

Tiếp theo, luôn cập nhật các bản sao tệp tin để có thể thay thế chúng trong trường hợp bị mất. Việc cập nhật này nhằm vá lỗ hổng phần mềm. 

Ngoài ra, các công ty phải thường xuyên thay đổi mật khẩu dễ đoán. Việc sử dụng mật khẩu mạnh với các ký tự đặc biệt, chữ số và chữ sẽ nâng cao tính bảo mật, tránh việc các tin tặc có thể xâm nhập và điều khiến hệ thống máy chủ của doanh nghiệp.

Cuối cùng, hãy tạo nhiều rào cản trên các hệ thống mạng của doanh nghiệp. Trong đó, việc giới hạn và bảo mật số lượng tài khoản quản trị viên có quyền truy cập trên phạm vi rộng là yếu tố quan trọng. Các cuộc tấn công lừa đảo đã được các tin tặc nhắm mục tiêu vì chúng có quyền truy cập rộng rãi trên nhiều hệ thống.