Ransomware là gì?
Một dạng phần mềm độc hại chuyên mã hóa dữ liệu hoặc khóa quyền truy cập thiết bị của người dùng. Ransomware được Bộ Tư pháp Hoa Kỳ xem là mô hình hiện đại của tội phạm mạng với nguy cơ gây tổn thương hệ thống mạng toàn cầu. Khi ransomware lây nhiễm vào máy tính, nó sẽ mã hóa hoặc chặn những truy cập dữ liệu trên đĩa. Để hoạt động bình thường trở lại, người dùng phải chuyển tiền vào tài khoản mới gỡ được ransomware.
Về cơ chế hoạt động, Ransomware giống như các loại virus máy tính khác, mã độc tống tiền có thể xâm nhập qua email trong tệp đính kèm, qua kết nối mạng hoặc do hacker cố tình tấn công cài đặt vào. Sau khi đạt được mục đích, mã độc quét toàn bộ ổ đĩa của máy tính và mã hoá các tệp tin bằng mã hoá khoá công khai (public key cryptography). Các tệp tin thường có các đuôi kí tự lạ Ví dụ: Ví dụ: *.Doc > *.docm ; *.xls > *.cerber, …
Các tệp tin quan trọng trên máy tính với định dạng .doc, pdf, xls, jpg, zip… sẽ không thể mở được nữa. Một máy tính bị nhiễm Ransomware thì khả năng cao những máy còn lại cũng gặp tình trạng tương tự. Lúc này toàn bộ hệ thống đã bị tin tặc độc chiếm, để giải mã buộc phải có khóa riêng (private key) mà chỉ có kẻ phát tán mới có. Điều này đồng nghĩa, để chuộc lại file bị nhiễm ransomware, người dùng phải trả tiền cho hacker qua các đồng tiền ảo như Bitcoin,…
Ngăn chặn Ransomware bằng cách nào?
Việc chống mã độc ransomware đóng vai trò cực kỳ quan trọng nhằm mục đích bảo mật thông tin. Bởi vậy, đây là yếu tố hàng đầu cần được ưu tiên. Tuy nhiên, việc làm này không đơn giản mà nó là một quá trình liên tục và toàn diện, yêu cầu sự kết hợp giữa các biện pháp kỹ thuật và nhân sự. Dưới đây là các biện pháp chống mã độc ransomware phổ biến:
- Cập nhật bảo vệ hệ thống định kỳ: Đây là việc làm đơn giản nhưng rất cần thiết đảm bảo hệ thống và phần mềm không bị các lỗ hổng bảo mật tạo cơ hội cho tin tặc tấn công.
- Sử dụng phẩm mềm diệt virus: Sử dụng các phần mềm chống ransomware chất lượng rất cần thiết. Các công cụ này sẽ giúp phát hiện sớm và ngăn ngừa phần mềm độc hại xâm chiếm.
- Sao lưu dữ liệu định ký: Sao lưu dữ liệu định kỳ ở nơi an toàn không kết nối mạng sẽ tránh được tình trạng dữ liệu bị tấn công ransomware và dữ liệu bị mã hóa, sao lưu sẽ giúp khôi phục lại dữ liệu mà không phải trả tiền chuộc.
- Quản lý quyền truy cập: Giới hạn quyền truy cập của người dùng chỉ vào những phần cần thiết để thực hiện công việc của họ cũng là cách để bảo vệ dữ liệu không bị tin tặc tấn công. Điều này giúp giảm khả năng tấn công bởi mã độc ransomware sử dụng quyền truy cập người dùng để lây nhiễm.
Để tránh mã độc hại của tin tặc, Cục An toàn thông tin đề nghị các cơ quan, tổ chức tăng cường các biện pháp đảm đảm an toàn thông tin để giảm thiểu nguy cơ từ mã độc ransomware như sau:
- Kiểm tra và bảo đảm các máy tính trong hệ thống mạng đã vá các bản vá bảo mật, đặc biệt là MS17-010, CVE 2017-0199;
- Chặn toàn bộ kết nối liên quan đến dịch vụ SMB (445/137/138/139) từ ngoài Internet;
- Vô hiệu hóa WMIC (Windows Management Instrumentation Command-line);
- Không truy cập vào các liên kết lạ, cảnh giác cao khi mở các tập tin đính kèm trong thư điện tử;
- Sao lưu các dữ liệu quan trọng thường xuyên vào các thiết bị lưu trữ riêng biệt;
- Cập nhật phần mềm diệt virus;
- Tắt dịch vụ SMB trên tất cả cả các máy trong mạng LAN (nếu không cần thiết) ;
- Tạo tệp tin ” C:\Windows\perfc ” để ngăn ngừa nhiễm ransomware. Đây là tập tin mã độc kiểm tra trước thực hiện các hành vi độc hại trên máy tính.
Nên làm gì khi bị nhiễm Ransomware?
Khủng bố Ransomware đang phát triển nhanh. Trong trường hợp bị nhiễm Ransomware, hãy thực hiện những điều quan trọng dưới đây:
Cô lập và tách mạng, hệ thống
Đảm bảo cách ly phần đã bị nhiễm với hệ thống, tắt các hệ thống đó, rút mạng để phòng trường hợp virus lây lan. Hành động càng nhanh thì nguy cơ ransomware xâm nhập vào cơ sở dữ liệu của cơ quan, doanh nghiệp càng thấp và số lượng máy tính bị nhiễm cũng sẽ ít hơn.
Phản ứng nhanh là rất quan trọng để giảm thiệt hại. Bởi càng trì trệ việc này càng mức độ nghiêm trọng càng lớn, thiệt hại tiềm tàng càng nghiêm trọng. Ngoài ra, tiền chuộc có thể chỉ là vỏ bọc của một cuộc tấn công khác
Báo cáo cho các cơ quan thực thi pháp luật và không thỏa hiệp
Một số Cơ quan/Doanh nghiệp khi bị tin tặc tấn công nhưng không báo cáo cho cơ quan thực thi pháp luật vì sợ lộ dữ liệu nhạy cảm mà chấp thuận điều kiện của tin tặc. Việc làm này này có thể hiểu được, nhưng đó không phải là một cách xử lý bền vững. Chấp thuận điều kiện trả tiền chuộc sẽ trực tiếp tài trợ cho tin tặc để chúng tổ chức nhiều cuộc tấn công táo bạo và tinh vi hơn với thiệt hại.
Việc báo cáo tới cơ quan thực thi pháp luật là cần thiết để hướng tới một kết quả bền vững và nó cũng giúp cơ quan thực thi pháp luật mau chóng tìm ra thủ phạm, ngăn chặn các vụ tấn công tiếp theo.
Khôi phục hệ thống từ bản sao lưu
Ngay cả khi đã thực hiện “cô lập và tắt các hệ thống quan trọng” nhanh chóng, thì vẫn sẽ có nhiều dữ liệu cần được khôi phục. Điều này đòi hỏi phải có bản sao lưu dữ liệu để khôi phục lại dữ liệu đã bị mã hóa. Hiện nay, phương pháp sao lưu dữ liệu hiệu quả đó là phương pháp 3-2-1:
- Giữ 3 bản sao của bất kỳ tệp quan trọng nào, một bản chính của dữ liệu sử dụng hàng ngày và hai bản sao lưu.
- Giữ tệp dữ liệu trên 2 loại phương tiện khác nhau, có rất nhiều phương tiện có sẵn tùy thuộc vào nhu cầu khác nhau như: NAS, ổ cứng gắn ngoài, bộ nhớ ngoài, đám mây,…
- Duy trì 1 bản sao ở bên ngoài. Tình trạng bị tấn công mạng hoặc các vấn đề khác như trộm cắp, lũ lụt, hỏa hoạn,… thì không phải tất cả các bản sao lưu sẽ mất.
Thực tế, thời gian gần đây không ít doanh nghiệp, tổ chức Việt Nam đang bị những cuộc tấn công mã hóa dữ liệu bởi những tin tặc quốc tế, điều này gây ra những ảnh hưởng nghiệm trọng. Bởi vậy thực hiện các cách phòng tin tặc rất cần thiết để chủ động hơn trong việc bảo vệ dữ liệu.
Xem ngay: Nhiều Doanh nghiệp Việt Nam liên tục bị mã hóa dữ liệu do đâu?