Tìm hiểu về Ransomware: 6 mã độc đòi tiền chuộc trên máy tính

Trước đây, chúng ta có các cuộc tấn công từ chối dịch vụ DoS/ DDoS nhằm phá hoại một hệ thống mạng máy tính thông qua việc gửi đi hàng triệu traffic cùng một lúc.

Nay chúng ta có thêm Ransomware, cũng là một “nhân vật phản diện” trong thế giới Internet, nhưng là kiểu phá hoại dữ liệu, không những thế, nó còn thay mặt hacker đòi tiền chuộc của nạn nhân nữa.

Một công đôi việc đúng không các bạn, thật sự rất nguy hiểm với loại mã độc này ◔◡◔

Đối với người dùng phổ thông thì dữ liệu nhiều khi không quá quan trọng, tuy nhiên, đối với doanh nghiệp hay các tập đoàn lớn thì dữ liệu nhiều lúc còn quý hơn cả vàng nữa.

Vậy nên các bạn có thể thấy, trong những năm gần đây thì Ransomware đang ngày càng xuất hiện nhiều chủng loại nguy hiểm đến như vậy.

I. Ransomware là gì?

Ransomware là một dạng mã độc, một loại phần mềm độc hại và là một loại virus mã hóa. Ransomware được người dùng biết đến với 2 tác hại chính, đó là: MÃ HÓA FILE, DỮ LIỆU và ĐÒI TIỀN CHUỘC.

Khi một máy tính bị nhiễm Ransomware thì thông thường các file trên hệ thống sẽ không còn truy cập được nữa, hoặc bị mã hóa dẫn đến không đọc được nội dung bên trong.

Đặc điểm chung của các loại Ransomware này là hacker sẽ để lại 1 file README hướng dẫn chi tiết cách chuyển tiền chuộc (thường là bitcoin), cũng như cách liên lạc để lấy lại file.

Những cách mà hacker sử dụng để tấn công vào máy tính của bạn tiêu biểu như là: Khai thác Remote Desktop Protocol-RDP, Email lừa đảo, hoặc là thông qua các phần mềm “cờ ráck”.

• Đọc thêm: Lý do bạn nên hạn chế sử dụng phần mềm Crack và bẻ khóa phần mềm?

Có hai dạng Ransomware phổ biến, đó là:

– Locker: Dạng này thường khóa các tính năng trên máy tính, bạn sẽ không thể mở được Desktop, bên cạnh đó, chuột và bàn phím sẽ không hoạt động được như bình thường, nhưng ít nhất là bạn vẫn có thể tiến hành chuyển khoản cho hacker được.

Với dạng này thì bạn có thể tắt máy, mang ổ cứng lắp sang máy khác để khôi phục dữ liệu, cài lại win, quét virus,…

– Crypto: Loại này thường mã hoá các file quan trọng, các thư mục bạn hay dùng như Documents, Pictures, Videos,… và thường thì bạn vẫn có thể dùng máy tính được bình thường.

Hacker thường để lại cảnh báo “Nếu bạn không trả tiền chuộc trước thời gian xxx nào đó thì toàn bộ file đã mã hóa sẽ bị xóa và không thể lấy lại được”.

Bởi với đa số người dùng thì không có cách nào khác để có thể lấy lại được file ngoài việc trả tiền chuộc cho hacker, mà công tác sao lưu dữ liệu dự phòng nghe có vẻ khá xa vời với đại đa số người dùng, vậy nên nếu là các dữ liệu quan trọng thì bạn phải ngoan ngoãn mà chuyển khoản thôi.

II. Tìm hiểu các Ransomware nổi tiếng

#1. Locky

Được sử dụng lần đầu vào năm 2016 bởi một tổ chức hacker, Locky có thể mã hóa được hơn 160 loại file, lây lan bằng cách gửi đi Email có đính kèm mã độc.

Do tò mò với những tiêu đề Email hấp dẫn nên người dùng tự tay mở Email và cài đặt nó vào máy => từ đó dính bẫy của hacker. Phương pháp tấn công này còn gọi là Phising trong Social Engineering.

#2. WannaCry

Ransome đình đám nhất trong lịch sử, được thiết kế, lên chiến dịch rất quy củ và bài bản, cuộc tấn công mang tên WannaCry đã lan rộng trên 150 quốc gia trong năm 2017.

Điểm lợi hại của WannaCry là đã khai thác một lỗ hổng nghiêm trọng trên Windows (vốn được NSA Exploit, sau đó nhóm hacker Shadow Brokers phát tán trên mạng).

Mã độc này đã ảnh hưởng đến hơn 230.000 máy tính trên toàn cầu với tổng thiệt hại kinh tế 4 tỷ $, 1/3 bệnh viện quốc gia Anh/UK NHS với thiệt hại khoảng 92 triệu bảng.

Đọc thêm: Cập nhật cách ngăn chặn virus tống tiền Ransomware WannaCry

#3. Bad Rabbit

Mã độc này tấn công thông qua phương pháp nguy hiểm hơn cả Email Phising, đó là Drive-by.

Nôm na là hacker sẽ chiếm quyền kiểm soát các website nhiều lượt truy cập trước, rồi thay đổi nội dung các trang hoặc chuyển hướng trang đó đến trang tải file malware về máy.

Các nạn nhân đang truy cập vào trang web chính chủ nên hoàn toàn tin tưởng là các file này không có gì là xấu cả, rồi cài vào máy lúc nào không hay.

Nếu theo phương pháp Malware Dropper thì trang web sẽ yêu cầu người dùng tải bộ cài Adobe Flash hoặc Microsoft Office có chứa Bad Rabbit bên trong.

#4. Ryuk

Đây là một loại Trojan mã hóa xuất hiện vào năm 2018, Ryuk  sẽ thực hiện vô hiệu chức năng recovery của hệ điều hành Windows. Cho nên, nếu người dùng  muốn khôi phục dữ liệu đã mã hóa thì bắt buộc phải có bản lưu trữ nằm bên ngoài máy.

Ngoài ra thì nó còn tìm và mã hóa các ổ cứng đang chia sẻ công khai trong mạng máy tính của nạn nhân (mạng LAN). Theo ước tính thì các công ty ở Mỹ đã phải chi trả trên 640.000$ để trả tiền chuộc lại file.

#5. Shade/ Troldesh

Mã độc này có từ năm 2015, lây lan thông qua việc phát tán các Email spam chứa link và đính kèm các file độc hại.

Email Phising thì quá bình thường đúng không các bạn, điểm lợi hại của cách này là hacker còn nói chuyện/ giao tiếp/ xây dựng quan hệ như 2 người bạn/ hoặc đối tác làm ăn rồi mới gửi file dụ nạn nhân cài vào máy để phát tán Shade/ Throldesh.

#6. Jigsaw

Ransomware này khá kinh dị bởi cái tên và Logo ăn theo bộ phim đầy máu me bạo lực – “Saw”.

Sau khi hết thời hạn chuyển tiền chuộc file thì mỗi giờ trôi qua, sẽ có càng nhiều file trên máy tính bị xóa.

Jigsaw xuất hiện vào năm 2016 và nó lây lan thông qua email. Sau khi người dùng mở file trong Email thì toàn bộ các file có trên máy tính cũng như Master Boot Record của hệ điều hành sẽ bị mã hóa.

Toàn bộ file sẽ bị xóa sau 72 giờ, nếu cố gắng khởi động lại máy thì sẽ bị xóa ngay 1.000 file, ngoài ra, một số biến thể của Jigsaw còn đe dọa công khai thông tin nhạy cảm của nạn nhân nữa.

Jigsaw thường ẩn mình dưới dạng Firefox hoặc Dropbox, nó được viết bằng ngôn ngữ .NET Framework. Nhưng may mắn là hiện nay đã có tool giải mã file do Jigsaw gây ra và người dùng không phải trả tiền chuộc nữa.

Các Ransomware khác có thể kể đến như: CryptoLocker, Petya, MADO, FAIR, Dharma Brrr, B0r0nt0k, GrandCrab, GoldenEye

III. Lời kết

Ransomware giúp hacker bắn một mũi tên mà trúng 2 con chim, một “mũi tên trúng 2 đích”. Đây thực sự là một loại virus nguy hiểm và nó sẽ ngày càng nguy hiểm hơn trong tương lai.

Điều đáng quan ngại hơn là hiện tại đã có dịch vụ cho thuê Ransomware, cho phép các tin tặc non tay có thể tự tạo ra một mã độc mạnh mẽ cho mình. Như kiểu bán mã nguồn virus ấy ◔◡◔

Thật đáng sợ khi nhìn thấy tương lai đang đầy rẫy những mã độc trên Internet, điều đáng lo ngại là nó lại còn đòi tiền chuộc nữa, thứ mà đa phần Covid-19 đã lấy đi của chúng ta.

Loại virus tống tiền này không những giúp hacker có nhiều động lực để phát triển hơn, mà bitcoin còn là một điểm tựa vững chắc cho hacker nữa. Bởi khi giao dịch bằng bitcoin thì hacker sẽ không để lại dấu vết.

Thực tế phủ phàng đến từ WannaCry là lỗ hổng mà nó khai thác đã được Microsoft phát hành bản vá từ lâu, nhưng các máy tính bị lây nhiễm nhiều khả năng là đã tắt hẳn Windows Update (chắc có lẽ muốn máy chạy nhẹ hơn đây mà, hic).

Nên suy cho cùng, việc phòng chống ransomeware tưởng khó mà lại dễ: Chỉ cần bạn cập nhật hệ điều hành thường xuyên, sử dụng các phần mềm bảo mật trả phí của Kaspersky, ESET hoặc BKAV,…

Ngoài ra còn bài viết này nữa, nếu chưa đọc lần nào thì bạn hãy đọc đi nhé: 13 lưu ý bạn PHẢI BIẾT để luôn được AN TOÀN TRÊN INTERNET

CTV: Dương Minh Thắng – Blogchiasekienthuc.com