Thế giới máy tính ngoài kia luôn có một cuộc chiến giữa thiện và ác. Trong khi các lực lượng tốt cố gắng giữ cho cracker và phần mềm độc hại, thì các thế lực xấu luôn tìm ra thứ gì đó bốc hơi hơn trước, một thứ không thể ngăn chặn và khó phá vỡ hơn. Ransomware là một loại phần mềm độc hại đặc biệt, nhưng không giống như các phần mềm độc hại khác chỉ hoạt động như kẻ trộm để đánh cắp dữ liệu của bạn hoặc lừa đảo xóa dữ liệu của bạn, phần mềm độc hại này rất thông minh. Nó hoạt động như một kẻ bắt cóc và giữ cho hệ thống của bạn bị bắt cóc, cho đến khi bạn trả tiền chuộc, một số tiền, để giải phóng hệ thống của bạn trở lại.
Ransomware là gì?
Ransomware là một loại phần mềm độc hại thông minh, nhưng không giống như các phần mềm độc hại khác chỉ làm hỏng, xóa các tệp hoặc thực hiện một số hành vi đáng ngờ khác, phần mềm độc hại này khóa hệ thống, tệp và ứng dụng của bạn và yêu cầu bạn lấy lại tiền, nếu bạn muốn lấy lại chúng. Tôi nói thông minh vì phần mềm độc hại này giúp trực tiếp kẻ tấn công kiếm tiền. Các loại phần mềm độc hại khác, như virus, trojan, v.v., chỉ làm hỏng hệ thống hoặc đánh cắp một số dữ liệu nhạy cảm, nhưng hiếm khi mang lại một số lợi ích tiền tệ cho kẻ tấn công (trừ khi phần mềm độc hại đánh cắp một số thông tin nhạy cảm như số thẻ tín dụng, v.v.).
Nguồn gốc của Ransomware
Ban đầu, ransomware phần lớn phổ biến ở Nga, lây nhiễm hàng ngàn hệ thống máy tính và lan truyền như cháy rừng. Những loại phần mềm độc hại này khó phát hiện hơn, vì chúng có thể xuất hiện dưới dạng các chương trình nhỏ vô hại được đính kèm với phần mềm có sẵn miễn phí trên các trang web. Hầu hết trong số họ có thể xâm nhập hệ thống của bạn thông qua các tệp của hệ thống đã bị nhiễm, tệp đính kèm email hoặc từ phần mềm độc hại đã tồn tại.
Khi ransomware đã tìm thấy máy chủ của nó, nó bắt đầu tấn công bằng cách khóa quyền truy cập của người dùng vào các tệp, thư mục, cài đặt hệ thống hoặc ứng dụng. Khi cố gắng mở các tệp và chương trình đó, người dùng nhận được thông báo rằng chúng đã bị chặn và không thể mở được trừ khi người dùng đồng ý trả một số tiền. Thông thường, cũng có một cách để liên lạc với những kẻ tấn công có thể đang ngồi ở một số nơi khác trên thế giới, trực tiếp nắm quyền kiểm soát hệ thống của bạn.
Các loại Ransomware
Ransomware thường được phân loại thành hai loại, mã hóa ransomware và ransomware không mã hóa.
Mã hóa ransomware là những người mã hóa các tệp, chương trình, v.v. của hệ thống của bạn và yêu cầu tiền chuộc để không mã hóa chúng. Thông thường mã hóa được thực hiện bằng thuật toán băm mạnh có thể mất vài nghìn năm để một máy tính để bàn bình thường phá vỡ chúng. Vì vậy, cách duy nhất mà người dùng lấy lại các tệp của mình là đưa số tiền chuộc và lấy khóa mở khóa. Đây là phần mềm ransomware có hại nhất cho cơ chế tấn công tuyệt đối của nó.
Một loại ransomware khác là loại không mã hóa. Điều này không mã hóa các tệp của bạn, mà là chặn truy cập vào chúng và hiển thị các tin nhắn gây khó chịu khi bạn cố gắng truy cập chúng. Đây là một ransomware ít gây hại hơn và người dùng có thể dễ dàng loại bỏ chúng bằng cách sao lưu các tệp quan trọng và cài đặt lại hệ điều hành.
Ví dụ về các cuộc tấn công của Ransomware
Một trong những ransomware gần đây gây ra tác hại lớn nhất là vào năm 2013, được gọi là CryptoLocker. Bộ não đằng sau phần mềm độc hại này là một hacker người Nga có tên Evgeniy Bogache. Phần mềm độc hại, khi được tiêm vào hệ thống máy chủ, sẽ quét ổ cứng của nạn nhân và nhắm vào các phần mở rộng tệp cụ thể và mã hóa chúng. Đây có thể là các tệp hoặc chương trình quan trọng mà người dùng thực sự cần, như tài liệu, chương trình hoặc khóa. Việc mã hóa được thực hiện bằng cặp khóa RSA 2048 bit, với khóa riêng được tải lên máy chủ chỉ huy và điều khiển. Các chương trình sau đó đe dọa người dùng rằng nó sẽ xóa khóa riêng, trừ khi việc thanh toán dưới dạng bitcoin được thực hiện trong vòng ba ngày.
Khóa RSA 2048 thực sự là một sự bảo vệ lớn, và nó sẽ mất một máy tính để bàn bình thường vài nghìn năm để phá khóa bằng cách sử dụng vũ lực. Người dùng, bất lực đồng ý trả số tiền để lấy lại các tập tin.
Người ta ước tính rằng CryptoLocker Ransomware này đã mua ít nhất 3 triệu đô la trước khi nó bị đóng cửa.
Trong khi đó là rất nhiều tiền, một ransomware khác có tên WinLock đã có thể kiếm được 16 triệu đô la tiền chuộc. Mặc dù nó không mã hóa hệ thống như CryptoLocker, nhưng những gì nó đã làm là hạn chế quyền truy cập ứng dụng của người dùng và thay vào đó hiển thị hình ảnh khiêu dâm. Người dùng sau đó đã buộc phải gửi một SMS tốc độ cao, chi phí khoảng 10 đô la để có được một mã để mở khóa ransomware.
Tất cả các cuộc tấn công đã trở lại vào năm 2013.
Tuy nhiên, cuộc tấn công gần đây nhất là bởi một hình thức ransomware cập nhật, được gọi là CryptoWall 2.0 . Theo báo cáo của New York Times, phần mềm ransomware này đã tấn công PC theo kiểu tương tự như CryptoLocker và tấn công các tệp đặc biệt quan trọng trong hệ thống của nạn nhân, như biên lai thuế, hóa đơn, v.v. Sau đó, nó yêu cầu khoản tiền chuộc 500 đô la. Giá tiền chuộc tăng gấp đôi sau một tuần, và hơn một tuần sau, khóa mở khóa đã bị xóa.
Gần đây theo một số báo cáo, CryptoWall đã được cập nhật lên phiên bản 3.0 và dường như nó trở nên nguy hiểm hơn bao giờ hết. Phiên bản CryptoWall này mã hóa các tệp người dùng bằng một hệ thống quét thông minh, sau đó tạo một liên kết duy nhất cho người dùng. Để bảo vệ sự ẩn danh của những kẻ tấn công và khiến các cơ quan chính phủ khó bắt giữ chúng hơn, phần mềm ransomware này không chỉ sử dụng Tor mà còn cả I2P khiến chúng rất khó theo dõi chúng.
Mặc dù nghe có vẻ mỉa mai, nhưng CrytoWall có dịch vụ khách hàng thực sự tốt. Vì họ phải duy trì danh tiếng để kiếm được nhiều tiền hơn, họ cung cấp các khóa giải mã cho người dùng càng nhanh càng tốt, thường trong vòng vài giờ sau khi tiền chuộc đã được thanh toán.
Một sự cố nghiêm trọng khác của ransomware đã xảy ra khi một sinh viên mắc chứng tự kỷ treo cổ sau khi nhận được e-mail ransomware.
Theo báo cáo này, thiếu niên nhận được một email giả từ cảnh sát nói rằng anh ta đã bị bắt khi duyệt các trang web bất hợp pháp và cần phải trả một trăm bảng hoặc phải đối mặt với việc truy tố. Thiếu niên, hoảng loạn và treo cổ tự tử, không thể đối mặt với thảm kịch.
Mặc dù các loại email này là phổ biến, người ta cần đảm bảo rằng người ta không nên tin tưởng chúng cho dù chúng trông như thế nào. Thông thường, họ dẫn người dùng đến các trang web lừa đảo nơi kẻ tấn công bị giữ tài khoản ngân hàng của người dùng và các mật khẩu quan trọng khác. Nguyên tắc chung là các cơ quan ngân hàng và các cơ quan thực thi pháp luật sẽ không bao giờ yêu cầu thông tin cá nhân hoặc thanh toán qua Internet. Vì vậy, nếu bạn nhận được những email như vậy, rất có thể chúng là trò lừa bịp. Bạn luôn có thể gọi lên bằng cách lấy số chính thức của họ để biết họ có thực sự thông báo cho bạn như vậy không.
Ransomware là một lựa chọn tốt cho mũ đen vì thường có rất nhiều tiền có thể nhận được chỉ bằng cách tạo các chương trình nhỏ khóa hoặc mã hóa hệ thống của bạn theo một cách nào đó. Mặc dù chủ yếu phổ biến trong nền tảng Windows, một số hệ điều hành khác như OS X cũng bị ảnh hưởng bởi ransomware, như một trong tháng 7 năm 2013 đã chặn trình duyệt của người dùng và cáo buộc anh ta tải xuống nội dung khiêu dâm.
Một số báo cáo cho thấy các cuộc tấn công ransomware đang tăng lên từng ngày. Chúng chủ yếu được phát tán bởi các email spam, thường đến dưới dạng tệp đính kèm. Người dùng Internet thực sự cần phải cẩn thận trong khi duyệt các trang web không chính thức và mở các email như vậy.
Tại sao khó bắt được tin tặc Ransomware?
Hầu hết các ransomware có nguồn gốc từ các nước hậu Xô Viết như Nga. Mặc dù những người này đòi tiền chuộc, nhưng thanh toán dưới dạng bitcoin, một loại tiền điện tử phi tập trung được biết đến với tính ẩn danh và không để lại bất kỳ dấu vết nào. Ngoài ra, các tin tặc có nguồn gốc nước ngoài, về mặt ngoại giao, thật khó để thuyết phục các chính phủ nước ngoài hành động.
Làm thế nào để chúng ta bảo vệ chính mình chống lại Ransomware?
Như người xưa vẫn nói, phòng bệnh hơn chữa bệnh. Vậy làm thế nào để một người bảo vệ mình khỏi ransomware?
Cách dễ nhất là cài đặt phần mềm chống vi-rút hoặc chống phần mềm độc hại trong hệ thống của một người và luôn cập nhật. Mặc dù các phần mềm chống vi-rút miễn phí khá tốt, nhưng người ta không được ngần ngại nhận một phần mềm trả phí để được bảo vệ tốt hơn. Ngoài ra, hãy đảm bảo bạn không tải xuống các chương trình đáng ngờ từ Internet. Trong khi tải xuống các chương trình, luôn tải xuống từ các trang web chính thức chứ không phải từ các trang web không đáng tin cậy của bên thứ 3. Và luôn luôn nhớ, giữ một bản sao lưu của tất cả các tập tin quan trọng. Vì vậy, có thể thiết lập nó và quên nó có sẵn các chương trình sao lưu, việc có một chương trình sao lưu thực sự dễ dàng và rắc rối. Bạn cũng có thể tải lên hoặc đồng bộ hóa các tệp trên Google Drive / Dropbox, v.v. để không chỉ bạn có bản sao lưu mà còn có thể truy cập các tệp đó từ bất kể bạn ở đâu.
Hãy nhớ rằng, một khâu trong thời gian, tiết kiệm chín. Cẩn tắc vô ưu.
Làm thế nào để loại bỏ phần mềm độc hại Ransomware?
Trước đó, cách duy nhất để thoát khỏi việc mã hóa phần mềm độc hại ransomware là trả tiền cho những kẻ tấn công hoặc chấp nhận rằng các tệp đã bị mất vĩnh viễn. Tuy nhiên, hiện tại một số nhà nghiên cứu bảo mật máy tính đã đưa ra các chương trình cho phép người dùng giải mã các tệp ổ cứng của họ mà không phải trả tiền chuộc. Giống như trang web này, nó cho phép người dùng tải lên một tệp được mã hóa không nhạy cảm trên trang web của họ và nhập địa chỉ email. Sau khi giải mã thành công, trang web sẽ gửi email cho bạn khóa riêng cùng với hướng dẫn cách xóa cryptolocker khỏi ổ cứng của bạn.
Chương trình được phát triển bởi FireEye và FoxIT và sử dụng các phương pháp kỹ thuật đảo ngược để phá vỡ CryptoLocker. Theo quy tắc, mọi thứ được mã hóa đều có thể được giải mã, nó chỉ mất thời gian. Có vẻ như các lực lượng tốt của khoa học máy tính không bị mất sau đó.
