Ransomware – Mã độc mã hóa dữ liệu

Chúng tôi – những chuyên gia ATTT của Vina Aspire – muốn tin rằng Internet là nơi an toàn và trung thực dành cho mọi người, nhưng không thể phủ nhận rằng các tội phạm và tin tặc trực tuyến đang rình rập ở đó, cố ý gây rắc rối. Một cách mà họ gây ra rắc rối là bằng cách phát tán phần mềm độc hại Ransomeware. Mã độc tống tiền Ransomware không còn là mới mẻ – nó đã có lịch sử hơn 20 năm hình thành và phát triển. Bạn có thể tự bảo vệ mình bằng cách tìm hiểu phần mềm độc hại là gì, và cách phát tán của nó.

Ransomware là gì?

Ransomware là phần mềm gián điệp hay phần mềm tống tiền, nó là tên gọi chung của 1 dạng phần mềm độc hại – Malware, có “tác dụng” chính là ngăn chặn người dùng truy cập và sử dụng hệ thống máy tính hoặc các file tài liệu của họ (chủ yếu phát hiện trên hệ điều hành Windows). Các biến thể Malware dạng này thường đưa ra các thông điệp cho nạn nhân rằng họ phải nộp 1 khoản tiền kha khá vào tài khoản của hacker nếu muốn lấy lại dữ liệu, thông tin cá nhân hoặc đơn giản nhất là truy cập được vào máy tính của họ.

Hầu hết các phần mềm Ransomware đều chiếm quyền và mã hóa toàn bộ thông tin của nạn nhân mà nó tìm được (thường gọi là Cryptolocker), còn một số loại Ransomware khác lại dùng TOR để giấu, ẩn đi các gói dữ liệu C&C trên máy tính (tên khác là CTB Locker).

Cái giá mà Ransomware đưa ra cho nạn nhân cũng rất đa dạng, “nhẹ nhàng” thì cỡ 20$, “nặng đô” hơn có thể tới hàng ngàn đô la Mĩ (nhưng trung bình thì hay ở mức 500 – 600$), cũng có trường hợp chấp nhận thanh toán bằng Bitcoin.

Tuy nhiên, các bạn cần phải chú ý rằng cho dù có trả tiền cho hacker thì tỉ lệ người dùng lấy lại được dữ liệu, thông tin cá nhân không phải là 100%.

Ransomware lây nhiễm như thế nào?

 Ransomware lây nhiễm vào máy tính người dùng bằng nhiều hình thức:

  • Được đính kèm trong các gói phần mềm miễn phí trên Internet. Khi người dùng tải về và cài đặt, Ransomware sẽ lây nhiễm vào máy tính.
  • Được đính kèm trong e-mail gửi đến hộp thư người dùng. Khi đọc thư và click vào tệp đính kèm, Ransomware sẽ lây nhiễm vào máy tính.
  • Được đính kèm trong các link độc hại hoặc lừa đảo như: clip “lộ hàng”, clip HOT TREND, Link chia sẻ video, ứng dụng hay phần mềm miễn phí… thu hút tính tò mò của người dùng click vào và cài đặt Ransomware vào máy tính.
  • Và rất nhiều con đường khác mà người dùng không thể lường trước được, mà vô tình cài đặt Ransomware vào máy tính của mình.

Ransomware hoạt động như thế nào?

1/ Mã hóa

Trước khi tìm hiểu về Ransomware, ta phải tìm hiểu sơ bộ qua mã hóa, vì Ransomware hoạt động chủ yếu là mã hóa các dữ liệu và tống tiền người dùng.

Bất kì dạng mã hóa nào cũng cần đến chìa khóa (key) đễ mã hóa và giải mã, dựa vào key ta có 2 dạng mã hóa chính như sau:

  • Mã hóa đối xứng (Symmatric Encryption): dùng 1 key cho cả việc mã hóa và giải mã.
  • Mã hóa bất đối xứng (Assymetric Encryption): dùng 2 key khác nhau để mã hóa và giải mã (key dùng để mã hóa gọi là public key, key để giải mã gọi là private key)

2/ Cách thức hoạt động

Hoạt động chủ yếu theo 3 bước như sau:

  • Đầu tiên, kẻ tấn công tạo ra 1 cặp chìa khoá bất đối xứng, chúng giữ private key cho riêng mình và gửi public key cùng với mã độc Ransomware tới máy nạn nhân.
  • Kế theo đó, bằng những thủ thuật lừa đảo social engineering hoặc sử dụng các phần mềm giả mạo trojan, hacker lừa nạn nhân chạy mã độc Ransomware. Sau khi ransomware được kích hoạt, nó tự động tạo ra 1 cặp chìa khóa mới (đối xứng), mã độc dùng chìa khóa này để mã hóa toàn bộ những dữ liệu trong máy nạn nhân. Chìa khóa này sau đó lại được mã hóa bằng public key đi kèm với Malware. Khi đã lâm vào tình huống này, tất cả các thông tin của người dùng đã bị mã hóa, và chỉ có thể được giải mã bời private key mà hacker đang giữ. Một cửa sổ sẽ xuất hiện, thông báo người dùng về tình trạng của họ và đòi tiền chuộc.
  • Đối với kiểu mã hóa thông dụng thường được dùng bởi Ransomware là AES, cho dù dùng tất cả các máy tính trên thế giới (khoảng 2 tỉ máy tính, mỗi máy tính có khả năng xử lí như 1 macbook pro) gộp lại cũng phải mất đến hàng nghìn nghìn nghìn tỉ năm mới có thể giải mã được (tuổi thọ của vũ trụ là chỉ mới khoảng 15 tỉ năm). Nếu không có được chìa khóa giải mã thì gần như việc lấy lại dữ liệu là bất khả thi. Nếu người dùng nhượng bộ và chuyển tiền cho kẻ tấn công (thường là Bitcoin hoặc các đơn vị tiền khác mà khó có thể lần tới được). Hacker sau đó sẽ đưa private key của họ cho nạn nhân, dùng key này để giải mã key đối xứng, sau đó dùng key đối xứng để giải mã dữ liệu. Kẻ tấn công không nhất thiết phải làm điều này, nnhung7 để giữ uy tín và khuyến khích các nạn nhân chuyển tiền cho họ, thường sau khi trả tiền chuộc thì người dùng có lại được dữ liệu.

Vậy làm thế nào để phòng ngừa?

Ransomware như một căn bệnh ung thư trên cơ thể người. Chữa rất khó hoặc phải loại bỏ luôn bộ phận bị ung thư. Vì vậy mà việc “phòng bệnh hơn chữa bệnh” là điều quan trọng nhất. Để phòng chống Ransomware và các loại virus đang phát triển và tiến hóa hàng ngày trên Internet, người dùng nên thực hiện một số khuyến nghị sau: 

  • Hạn chế click vào liên kết hoặc e-mail khi không biết rõ đó là gì. 
  • Không sử dụng các mạng Wifi miễn phí, không rõ nguồn gốc..
  • Sao lưu dữ liệu thường xuyên, cài đặt và cập nhật mới phần mềm diệt virus như Kaspersky

1/ Phần mềm Kaspersky là gì? Chức năng của phần mềm này.

Phần mềm diệt virus Kaspersky được các chuyên gia an ninh mạng của Vina Aspire đánh giá là một trong những phần mềm diệt virus tốt nhất hiện nay.

Các tính năng cụ thể của phần mềm diệt virus Kaspersky

  • Kaspersky hoạt động có khả năng kiểm soát và bảo vệ tất cả các dữ liệu trong ổ cứng, bộ nhớ, các thiết bị như USB, thẻ nhớ,..
  • Tính năng tìm kiếm và loại bỏ các virus và mã độc với các chế độ quét: quét nhanh, chọn lọc, thiết bị gắn ngoài…
  • Tự động cập nhật dữ liệu: từ các máy chủ về các loại virus, mối nguy hiểm tiềm ẩn,..
  • Tính năng tự phòng vệ chống lại các phần mềm không được truy cập bất hợp pháp vào máy tính
  • Giao diện đơn giản, dễ sử dụng, hỗ trợ ngôn ngữ tiếng Việt hoặc tiếng Anh, có thể dễ dàng chuyển đổi ngôn ngữ bằng phím tắt.

Kaspersky bao gồm 2 phiên bản là phiên bản Kaspersky Antivirus và Kaspersky Internet Security.

  • Kaspersky Antivirus là phiên bản phù hợp cho người dùng sử dụng máy tính không kết nối internet và wifi, không tích hợp hệ thống tường lửa (firewall).
  • Kaspersky Internet Security là phiên bản cao cấp hơn, bao gồm toàn bộ các tính năng của Kaspersky Antivirus, phù hợp cho người dùng sử dụng máy tính có kết bối internet, với hệ thống tường lửa ngăn chặn sự tấn công từ bên ngoài.

2/ Kaspersky chống lại Ransomware như thế nào?

  • Giai đoạn gửi: Tệp đính kèm độc hại trong thư rác

Một trong những cách phổ biến nhất để phát tán ransomware hiện nay là gửi các kho lưu trữ với các tập lệnh thực thi (.exe) trong email (thư spam). Một cách khác là gửi các tài liệu Microsoft Office có macro độc hại được sử dụng làm tệp đính kèm. Trong các sản phẩm của Kaspersky Lab, thành phần Mail AV phân tích toàn bộ ngữ cảnh của thư (bao gồm cả tệp đính kèm trong email) và áp dụng phương pháp suy nghiệm (heuristic) cho nội dung

  • Giai đoạn vận chuyển: Khai thác lỗ hổng bảo mật

Ngặn chặn khai thác (Exploit Preventtion – EP) là một thành phần đặc biệt để ngăn chặn sự xâm nhập của phần mềm độc hại (bao gồm cả ransomware) thông qua các lỗ hổng phần mềm. Các ứng dụng quan trọng nhất EP bảo vệ là trình duyệt, ứng dụng văn phòng, trình đọc pdf, v.v. Khi gặp một hành động đáng ngờ từ phần mềm, như khởi động quy trình con, thành phần áp dụng phân tích bảo mật bổ sung về hành vi của chúng chống lại các hành vi độc hại. EP giúp chặn ransomware, bao gồm CryptXXX và nhiều phần mềm khác.

  • Giai đoạn thực hiện

Các tác nhân đe dọa cố gắng bỏ qua việc phát hiện tĩnh  (static detection) bằng các phương pháp khác nhau. Trong trường hợp này, Phát hiện Hành vi ( behavior detection) trở thành tuyến phòng thủ cuối cùng nhưng mạnh mẽ nhất. Phân tích từng hoạt động của tiến trình để phát hiện các mẫu độc hại. Sau đó, sản phẩm kết thúc tiến trình và khôi phục các thay đổi bằng Remediation Engine. Phát hiện dựa trên hành vi hiệu quả ngay cả với các mối đe dọa chưa biết trước đây, bao gồm cả Ransomware. Một mẫu Ransomware cơ bản bao gồm một số bước:

+ Tìm các tệp quan trọng trên máy của nạn nhân
+ Đọc nội dung của từng tệp
+ Mã hóa nội dung và lưu các thay đổi vào đĩa

Đối sánh với mẫu hành vi độc hại như vậy, Behavior Engine chặn tiến trình và khôi phục các thay đổi với Remediation Engine. Trong số các ví dụ về phát hiện Ransomware thành công bằng các mẫu như vậy là Polyglot, WannaCry (phần mã hóa của phần mềm độc hại),…

Kết luận

Ransomware đồng nghĩa với vi phạm dữ liệu có ý nghĩa nghiêm trọng: danh tiếng của nạn nhân có thể bị phá vỡ, trong khi những hậu quả pháp lý (GDPR / PDPA, CCPA, HIPPA,…) có thể gây ra thiệt hại hàng triệu và thậm chí hàng tỷ. Đối với một số trường hợp, một sự cố mạng nghiêm trọng có thể kéo theo sự phá sản.

Một điều mà các nhà khai thác Ransomware không bao giờ thất bại là sao chép mọi phương thức đã hoạt động trong quá khứ để ép buộc nạn nhân hợp tác. Nếu cuối năm 2019 chưa có bất kỳ dấu hiệu nào, Ransomware vào năm 2020 sẽ trở nên nguy hiểm hơn bao giờ hết – đặc biệt là đối với các doanh nghiệp lớn.

Trong trường hợp này, cách tốt nhất là phòng ngừa và ý thức chung trong việc triển khai an ninh mạng trong công ty của bạn.

Nếu bạn có bất kỳ câu hỏi hoặc cần trợ giúp với Ransomware, xin vui lòng liên hệ với Vina Aspire Cyber Security để được tư vấn miễn phí. Chúng tôi rất vui được giúp bạn.

VINA ASPIRE CO., LTD.

Tel: +84 944004666 | Fax: +84 28 3535 0668
Website: www.vina-aspire.com | Email: info@vina-aspire.com


Bài viết liên quan

About Us

Learn More

Vina Aspire is a leading Cyber Security & IT solution and service provider in Vietnam. Vina Aspire is built up by our excellent experts, collaborators with high-qualification and experiences and our international investors and partners. We have intellectual, ambitious people who are putting great effort to provide high quality products and services as well as creating values for customers and society.