Nếu là một người chuyên học về lập trình, máy tính thì ắt hẳn đã từng nghe đến cụm từ Ransomware. Đây là một loại mã độc có thể gây hại cho dữ liệu và các loại máy tính nên cần phải được ngăn chặn. Cùng LPTech tìm hiểu kỹ hơn về mã độc là gì, Ransomware là gì và cách nhận biết, ngăn chặn loại phần mềm độc hại này ở bài viết dưới đây nhé.

Tìm hiểu về Ransomware

Ở phần đầu tiên, hãy cùng LPTech tìm hiểu về khái niệm Ransomware là gì và các định nghĩa liên quan đến phần mềm này.

Mã độc là gì?

Mã độc là một loại phần mềm được tạo ra với mục đích xấu là xâm nhập vào hệ thống để đánh cắp, gián đoạn thông tin, tổn hại đến tính bảo mật của máy tính.

Hiện nay, mã độc đang được phát triển ngày càng tinh vi khiến hiệu quả tấn công rất cao, dấy lên báo động về tính bảo mật của thiết bị. Ransomware là một trong những mã độc đang được nhiều hacker sử dụng hiện nay.

Ransomware là gì?

Ransomware là một loại virus mã độc được Bộ Tư pháp Hoa Kỳ đánh giá là mô hình tội phạm an ninh mạng cực kỳ nguy hại. Khi bất kỳ máy tính nào nhiễm phải Ransomware sẽ bị nó mã hóa và xâm nhập vào các nguồn dữ liệu đang được lưu trữ.

Ransomware có thể gây tổn thương đến hệ thống mạng trên toàn cầu. Để gỡ Ransomware, người dùng cần phải chuyển tiền vào tài khoản ảo của hacker như Bitcoin,... mới gỡ được.

Khi các dữ liệu bị nhiễm mã độc Ransomware, các file dữ liệu sẽ bị chuyển đổi thành đuôi file có ký tự lạ, ví dụ *.doc sẽ chuyển là *.docm. Đặc biệt, nếu máy tính bị nhiễm Ransomware sẽ không hiển thị cảnh báo từ hacker và nếu 1 máy trong hệ thống bị nhiễm thì khả năng cao là những máy còn lại cũng bị tương tự.

Cơ chế hoạt động của Ransomware

Thông thường, Ransomware thường sẽ bị lây nhiễm thông qua các email rác, email lừa đảo hoặc từ các phần tải xuống ở các trang web, ổ đĩa. Khi bị Ransomware xâm nhập, nó sẽ khóa các tập mà nó truy cập vào được bằng thuật toán mã hóa mạnh. Sau đó, nó yêu cầu người dùng gửi tiền chuộc để khôi phục lại toàn bộ dữ liệu và hoạt động cho hệ thống công nghệ thông tin đã bị xâm nhập.

Một số biến thể Ransomware có cơ chế tự lây lan, có thể lan truyền từ các thiết bị trong cùng hệ thống. Ngoài ra, chúng còn có thể lây lan từ dữ liệu qua dữ liệu.

Nguồn gốc của Ransomware

Sau khi đã tìm hiểu Ransomware là gì? Vậy mã độc này có nguồn gốc như thế nào?

Ransomware được phát hiện lần đầu tiên vào năm 2005 - 2006 tại Nga. Lúc này, Ransomware ở dưới dạng biến thể TROJ_CRYZIP.A. Biến thể Trojan này khi xâm nhập vào máy tính sẽ khiến dữ liệu ngay lập tức bị mã hóa và phải cần có mật khẩu để có thể truy cập lại. Và lúc này, người dùng phải trả 300$ để nhận được mật khẩu.

Dần dần, Ransomware đã bắt đầu xâm nhập dưới dạng các file có định dạng đuôi .doc, .xl, .exe,... Đến năm 2011, Ransomware xuất hiện một dạng biến thể mới có tên là SMS Ransomware. Biến thể này yêu cầu người dùng phải liên lạc với hacker qua số điện thoại và chuyển số tiền theo yêu cầu.

Vào năm 2019, Ransomware đã tạo nên một làn sóng khủng hoảng an ninh mạng và được gọi là ‘virus mã hóa đổi đuôi file 2019’. Bởi trong lúc này, các máy tính bị nhiễm Ransomware đã bị đổi đuôi định dạng file sang *.docm,... và không thể khôi phục nếu không gửi tiền chuộc cho hacker.

⇒ Xem thêm: Website Wordpress bị hack bởi plugin

Từ khi bắt đầu được phát hiện ở Nga, Ransomware đã nhanh chóng lan rộng ra khắp châu Âu, Mỹ và Canada. Đến nay, Ransomware là loại mã độc xuất hiện ở mọi nơi trên thế giới. 

Mã độc Ransomware có bao nhiêu loại?

Hiện nay, mã độc Ransomware đang được chia làm 2 loại phổ biến nhất:

Locker Ransomware

Với loại này, khi máy tính bị xâm nhập thì các dữ liệu không bị mã hóa mà bị khóa hoàn toàn, người dùng không thể truy cập vào thiết bị. Locker Ransomware còn có tên gọi khác là Non-encrypting Ransomware. 

Thông thường, khi máy bị nhiễm loại phần mềm này, người dùng chỉ có thể thực hiện thao tác bật máy. Trên màn hình lúc này cũng sẽ gửi cách trả tiền để được hacker trả máy về lại bình thường.

Ransomware Crypto

Loại này còn được gọi là Encrypting Ransomware và được xem là loại Ransomware phổ biến nhất hiện nay. Khi máy tính bị xâm nhập, chúng sẽ mã hóa các file dữ liệu thông qua việc kết nối bí mật đến server của hacker và đổi tên đuôi của file.

Ngoài ra, hacker cũng sẽ tạo áp lực để người dùng phải chuyển tiền sớm. Nếu không chuyển sớm, file bị xâm nhập có thể bị nâng cấp mã hóa và gây ảnh hưởng xấu đến dữ liệu.

Ngoài 2 loại mã Ransomware phổ biến trên đây, trên thế giới cũng ghi nhận rất nhiều biến thể mã độc nguy hiểm khác. Một số biến thể nguy hiểm khác có thể kể đến như WannaCry, Petya, Locky hoặc TeslaCrypt,...

Cách phân biệt Ransomware với các phần mềm khác

Cùng là một phần mềm hacker được cài đặt để xâm nhập vào máy tính, Ransomware và các phần mềm virus khác cũng có những sự khác biệt:

Cơ chế mã hóa của Ransomware cực kỳ phức tạp. Các mã hóa này chuẩn bị cho phần mềm xâm nhập sâu vào dữ liệu và có thể luồn lách qua được các phần mềm diệt virus.

Ransomware thường sẽ tranh thủ thời gian lúc thiết bị được bật/ tắt, lúc này các phần mềm diệt virus chưa kịp khởi động. Do đó Ransomware sẽ dễ xâm nhập hơn.

Với một số máy tính bị nhiễm Ransomware, thiết bị có thể hiển thị các chương trình giả mạo. Khi người dùng làm theo sẽ khiến virus lây lan nhanh hơn.

Khi Ransomware xâm nhập vào dữ liệu, chúng sẽ ngay lập tức gửi dữ liệu về máy chủ để nhận hướng dẫn tiếp theo hoặc hiển thị các yêu cầu tiền chuộc trên máy tính bị xâm nhập. Tuy nhiên, một số phần mềm diệt virus cao cấp có thể phát hiện được địa chỉ IP của chúng và ngăn chặn được đường truyền này.

Cách ngăn chặn máy bị nhiễm mã độc Ransomware

Cho đến hiện nay, Ransomware vẫn rất khó để loại bỏ hoàn toàn. Do đó, việc nên làm là bạn cần bảo vệ dữ liệu của mình để ngăn chặn máy bị nhiễm loại phần mềm này. Đặc biệt nếu bạn đang sở hữu một website và kiếm tiền từ nó thì sử dụng dịch vụ bảo mật website cũng hết sức quan trọng.

Để ngăn chặn máy bị nhiễm Ransomware, bạn có thể áp dụng một số cách:

• Không truy cập vào các đường link lạ hoặc nhấn vào các email có địa chỉ thư không rõ ràng.
• Không sử dụng các mạng wifi miễn phí, có tên lạ hoặc có nguồn gốc không rõ ràng.
• Cài đặt các phần mềm chống virus và thường xuyên sao lưu dữ liệu.
• Thiết lập nhiều rào cản khi đăng nhập vào thiết bị máy tính của bạn.
• Cài đặt các cách khôi phục dữ liệu khác nhau.
• Tạo mật khẩu đủ mạnh hoặc thay đổi mật khẩu ngay khi thiết bị hiển thị cảnh báo.

Dù đã thực hiện các biện pháp ngăn chặn, máy tính bạn vẫn bị nhiễm virus này thì hãy thực hiện theo hướng dẫn sau:

Bước 1: Tách mạng, hệ thống đã bị nhiễm virus để ngăn chặn tình trạng virus lây lan nhanh chóng vào toàn bộ dữ liệu.

Bước 2: Xác định các Ransomware và xóa bỏ nó. Lúc này, bạn hãy cố gắng tìm ra những dữ liệu đã bị nhiễm Ransomware, xác định được biến thể của nó và tìm cách xóa bỏ chúng.

Bước 3: Xóa toàn bộ các dữ liệu bị nhiễm Ransomware và thực hiện các biện pháp khôi phục dữ liệu.

Bước 4: Tiếp tục theo dõi và giám sát hệ thống. Mặc dù đã loại bỏ được các Ransomware khỏi máy, bạn cũng cần tiếp tục theo dõi và phân tích lý do nhiễm virus để có cách ngăn chặn phù hợp.

Dù vậy, khi máy tính bị nhiễm Ransomware sẽ ảnh hưởng rất nhiều đến dữ liệu của máy. Do đó, bạn nên thực hiện tốt các biện pháp ngăn chặn để Ransomware không thể xâm nhập được vào thiết bị của bạn.

⇒ Xem thêm:Bảo mật website - Giới thiệu về An ninh mạng

Một số vụ tấn công bằng Ransomware nổi tiếng trên thế giới

Ransomware đã và đang là vấn nạn về an nịnh mạng được cảnh báo trên toàn thế giới. Dưới đây là một số vụ tấn công bằng các biến thể khác nhau của Ransomware nổi tiếng trên thế giới:

GandCrab

Vào tháng 1/2018, một loại mã độc đã được phát tán qua email và các quảng cáo dẫn đến website chứa mã độc. Nó có tên là GandCrab.

Khi máy tính bị phần mềm này xâm nhập, người dùng được yêu cầu phải cài đặt trình duyệt tên Thor. Sau đó, họ phải thanh toán số tiền 100 - 200$ cho hacker để có thể nhận lại được máy. Tại Việt Nam, có đến hơn 3900 máy tính đã bị nhiễm loại mã độc này chỉ trong vòng chưa đầy 1 năm.

Wanna Cry

Đây là một loại mã độc đã tạo nên một nỗi lo sợ của người dùng máy tính trên toàn thế giới vào năm 2017. Lần tấn công này đã thành công do lỗ hổng trong hệ thống của Microsoft. Sau đó, phần mềm này đã lan rộng và ảnh hưởng đến hầu hết các máy tính cùng hệ thống. Theo thống kế, biến thể này đã lây lan đến 250.000 máy tính ở 116 quốc gia trên thế giới, có cả Việt Nam. Thiệt hại của lần tấn công này cũng được tính toán lên đến hàng triệu đô la.

Vụ tấn công này sau khi đã được xử lý, chính phủ Anh, Mỹ và tập đoàn Microsoft đã buộc tội Triều Tiên là quốc gia đứng sau vụ này.

NotPetya

NotPetya cũng đã lợi dụng lỗ hổng của Microsoft để xâm nhập vào dữ liệu trên máy tính của người dùng. Tuy nhiên, biến thể này nguy hiểm hơn WannaCry gấp nhiều lần bởi chúng có thể tự động lây lan. Cụ thể, chúng có thể lây lan từ thiết bị này sang thiết bị khác và kể cả từ dữ liệu này sang dữ liệu khác. 

Máy tính khi bị nhiễm phần mềm độc hại này sẽ bị phá hủy ổ cứng một cách trầm trọng dù nạn nhân có bị yêu cầu tiền chuộc hay không.

Bad Rabbit

Loại biến thể này của Ransomware xuất hiện tại nhiều quốc gia ở khu vực Đông Âu vào năm 2017. Loại mã độc này chủ yếu nhắm đến chính phủ, các bộ, sở, ngành quan trọng ở các quốc gia. Trong đó, bộ giao thông Ukraine, sân bay Odessa ở Thổ Nhĩ Kỳ,... được đánh giá là bị ảnh hưởng trầm trọng nhất.

Bad Rabbit xâm nhập bằng cách tạo một yêu cầu cập nhật Adobe Flash giả. Sau khi người dùng tải về để cập nhật sẽ bị xâm nhập và hack dữ liệu.

Ransomware là một phần mềm virus gây hại và có sức tàn phá khủng khiếp đến dữ liệu trên các thiết bị máy tính bị xâm nhập. Qua bài viết này, LPTech hy vọng bạn đã biết được khái niệm Ransomware là gì và cách cài đặt các phần mềm bảo vệ, ngăn chặn phần mềm này xâm nhập. Hãy tiếp tục theo dõi LPTech để cập nhật những thông tin bổ ích khác nhé!