1. Một số phương pháp “lẩn tránh” của ransomware
Bản thân ransomware khi lây nhiễm sẽ cố gắng ẩn mình trên thiết bị của người dùng càng lâu càng tốt để có thể thực thi các hành động tấn công hoặc tương tác với máy chủ ransomware. Dưới dây là một số phương pháp ẩn mình phổ biến của ransomware hiện nay, ngoài ra, còn những phương pháp khác tùy thuộc vào loại ransomware và người tạo ra chúng.
Detection: một số loại mã độc ransomware có thể tự xác định môi trường hoạt động đang là ảo hóa hay môi trường thực tế để quyết định có tiến hành thực thi mã độc hay không, chính vì vậy sẽ gây khó khăn trong việc xác định mã độc và tạo ra các bản vá lỗi, cập nhật mới.
Timing: khi khởi động lại máy tính là thời điểm mà các chương trình antivirus bị tắt đi, đây là lúc một số loại ransomware sẽ tiến hành thực thi mã độc và có khả năng vô hiệu hóa phần mềm antivirus.
Communication: các chương trình antivirus trên thiết bị của người dùng luôn được cập nhật và tiến hành chặn những truy cập, giao tiếp từ các phần mềm, chương trình thực thi đến các server có thông tin nằm trong danh sách "blacklist", vì vậy, người tạo ra mã độc thường thay đổi địa chỉ server thường xuyên để mã độc đang chạy ẩn trên máy tính nạn nhân tương tác và nhận các lệnh thực thi hoặc tải về mã độc khác.
False Operation: đây là loại phần mềm giả mạo được tạo ra nhằm mục đích đánh lừa người dùng (chủ yếu là hệ điều hành Windows) để thực thi các hành động được đưa ra từ phần mềm giả mạo này và thông qua đó cấp quyền cho mã độc truy cập sâu vào hệ thống hoặc tải thêm các mã độc khác về máy của nạn nhân. Những người dùng không có nhiều kỹ năng về máy tính rất dễ mắc phải loại mã độc được lây lan theo cách này. Nguy hiểm hơn là có khả năng mở ra các cửa hậu "backdoor" để kẻ tấn công chiếm quyền điều khiển máy tính của nạn nhân.
2. Mục tiêu tấn công của ransomware
Theo thống kê từ Cục An toàn thông tin (Bộ TT-TT), năm 2019, trên thế giới có trung bình 108 cuộc tấn công mạng và 32 mã độc mới được tạo ra mỗi giây. Và trong đó thì các doanh nghiệp luôn là mục tiêu "béo bở" hàng đầu. Các kẻ tấn công luôn nhắm vào các doanh nghiệp vì khả năng chi trả về tài chính và tầm quan trọng của dữ liệu đối với doanh nghiệp luôn được đặt lên hàng đầu. Song song đó thì các tổ chức về y tế - giáo dục - chính phủ là đối tượng thứ hai của loại mã độc này. Các tổ chức này luôn có các thông tin mang tính bí mật hoặc nhạy cảm và cần phải duy trì liên tục để cung cấp dịch vụ cho hàng nghìn người cho nên sẽ dễ dàng chi trả tiền chuộc.
Ngoài các đối tượng như doanh nhiệp và các tổ chức công, thì người dùng cá nhân cũng bị nhắm tới. Bởi trên thực tế thì mã độc hoàn toàn có thể lây lan thông qua mạng internet và không chừa một thiết bị nào. Nhiều loại mã độc hoàn toàn có thể lựa chọn mục tiêu tấn công bằng cách các kẻ tấn công sẽ dò tìm vị trí địa lí bằng địa chỉ IP, các cổng truy cập từ xa như RDP, SSH, thu thập thông tin doanh nghiệp thông qua các trang web, mạng xã hội, ... và xác định khả năng thành công từ đó tiến hành các phương pháp lây lan mã độc.
Hình 4 – Yêu cầu trả tiền chuộc cho dữ liệu
3. Xử lý như thế nào khi bị nhiễm ransomware
Khi máy tính bị nhiễm ransomware thì việc cần làm là giữ bình tĩnh để xử lí thiết bị bị nhiễm, tránh hành động vội vàng dẫn tới gây ra tình trạng tệ hơn hoặc mất tiền mà không thể lấy lại được dữ liệu. Dưới đây là một số cách xử lí bạn có thể áp dụng khi máy tính bị nhiễm ransomware.
Cách ly thiết bị nhiễm khỏi hệ thống: nếu máy tính bị nhiễm đang có kết nối vào hệ thống mang với các thiết bị khác thì cần cách ly ngay khỏi hệ thống khi phát hiện bị nhiễm mã độc nhằm tránh lây lan cho các thiết bị khác trong mạng.
Gỡ bỏ ransomware khỏi máy tính: tùy vào loại mã độc ransomware mà có các phương pháp gỡ bỏ khác nhau, ví dụ như bật chế độ safemode, chạy antivirus để loại bỏ,... đối với các loại mã độc khóa truy cập máy tính thì việc gỡ bỏ sẽ phức tạp hơn rất nhiều.
Fresh install: cài lại toàn bộ hệ điều hành và đảm bảo dữ liệu đã được quét bởi chương trình antivirus để loại bỏ các ransomware còn sót lại.
Khôi phục dữ liệu / giải mã: đối với nhiều loại mã độc ransomware phổ biến hiện nay thì một số tổ chức về bảo mật đã đưa ra được các bộ giải mã nhằm giúp người dùng có thể khôi phục lại dữ liệu bị mã hóa, tuy nhiên, với sự phát triển ngày càng phức tạp của mã độc như hiện nay thì khi một loại mã độc mới bị phát tán thì hầu hết các trường hợp khôi phục lại dữ liệu là điều không thể.
Có nên trả tiền chuộc: mục tiêu sau cùng của mã độc là lấy được tiền chuộc từ nạn nhân, cho nên khi bị nhiễm mã độc thì cần phải bình tĩnh xử lí và tránh hoảng loạn dẫn tới quyết định trả tiền chuộc vội vàng cho kẻ tấn công, nhưng thực tế thì không có bất kỳ một điều kiện ràng buộc nào đảm bảo bạn sẽ nhận lại được dữ liệu của mình sau khi đã thanh toán tiền chuộc. Thay vì đó hãy tham khảo các tổ chức an toàn dữ liệu hoặc các tổ chức antivirus để tìm giải pháp hiệu quả và ít tốn kém nhất.
4. Cách phòng chống ransomware
Dưới đây là một số cách phòng chống ransomware phổ biến mà bạn có thể áp dụng.
Sao lưu dữ liệu: phương pháp quan trọng và hiệu quả nhất để bảo vệ dữ liệu của bạn là thực hiện sao lưu thường xuyên để đảm bảo tính sẵn sàng của dữ liệu. Có nhiều giải pháp sao lưu hiện nay như dùng thiết bị lưu trữ ngoài, điện toán đám mây Google Drive, Dropbox,... việc này sẽ đảm bảo dữ liệu của bạn không bị phá hủy hay mất mát.
Cập nhật hệ thống, bản vá lỗi: cần thường xuyên cập nhật các bản vá lỗi hệ điều hành và thiết bị để đảm bảo các lỗ hổng bảo mật được vá, đặt biệt là các chương trình như trình duyệt web, flash và java.
Sử dụng phần mềm Antivirus tin cậy: đây là một trong các bước quan trọng trong việc đảm bảo an toàn cho thiết bị và hệ thống của bạn, thường xuyên cập nhật các phiên bản của chương trình antivirus để nhận các thông tin và khả năng phòng tránh của thiết bị với các mã độc mới. Các chương trình antivirus đán tin cậy như Kaspersky, ESET, Norton, McAfee và Windows defender là các giải pháp đáng tin tưởng.
Không truy cập các trang web không lành mạnh, cẩn thận trước các email có file đính kèm và link lạ. Đặc biệt là các link được gửi từ các tin nhắn qua Facebook hoặc các file tài liệu có phần mở rộng là .doc, .xls, .ppt,… do đó, cần kiểm tra tính xác thực và độ tin cậy của thông tin nhận được trước khi tải về máy tính. Nếu cần mở thì hãy sử dụng các phần mềm để mở trực tiếp như MS Word, Excel, PowerPoint thay vì mở trực tiếp.
Tắt các dịch vụ không cần thiết dùng để truy cập từ xa, đặt mật khẩu theo các tiêu chuẩn an toàn và thường xuyên tiến hành kiểm tra nhật ký hệ thống để phát hiện sự bất thường.
Link báo tháng 10 Full: https://bom.to/O4V7D6B