Ransomware là gì?

Ransomware đã được Bộ Tư pháp Hoa Kỳ xem xét là một mô hình mới của tội phạm mạng có khả năng gây ra các tác động trên quy mô toàn cầu. Ngoài ra, nó có thể gây ra tác động rất lớn có thể làm gián đoạn hoạt động kinh doanh và dẫn đến mất dữ liệu.

Ransomware là một loại phần mềm độc hại, sau khi lây nhiễm vào máy tính, mã hóa hoặc chặn truy cập dữ liệu trên đĩa và sau đó thông báo cho nạn nhân về khả năng khôi phục chúng. Tất nhiên, không miễn phí và cần phải chuyển tiền vào tài khoản được chỉ định.

Các trường hợp tấn công đầu tiên sử dụng mã hóa đã diễn ra vào năm 1989. Phần mềm ransomware AIDS / PC Cyborg nhắm mục tiêu chủ yếu vào các máy tính từ các công ty trong lĩnh vực y tế. Được cấy vào các ổ đĩa 5,25 inch mạo danh một cuộc khảo sát về nguy cơ nhiễm HIV. Tin nhắn tiền chuộc được in trên máy in được kết nối với máy tính của nạn nhân.

Cơ chế của một cuộc tấn công ransomware

Ransomware thường lây lan qua thư rác hoặc email lừa đảo, và cũng có thể thông qua các trang web hoặc tải xuống theo ổ đĩa, để lây nhiễm vào thiết bị điểm cuối và xâm nhập vào mạng. Khi đã xâm nhập, ransomware sau đó khóa tất cả các tệp mà nó có thể truy cập bằng thuật toán mã hóa mạnh. Cuối cùng, phần mềm độc hại yêu cầu tiền chuộc (thường phải trả bằng Bitcoin) để giải mã các tệp và khôi phục toàn bộ hoạt động cho các hệ thống CNTT bị ảnh hưởng. Trong một số trường hợp, phần mềm ransomware được cài đặt cùng với trojan để có quyền kiểm soát nhiều hơn trên thiết bị nạn nhân.

LÂY NHIỄM

Sau khi được gửi đến hệ thống qua email lừa đảo, ransomware sẽ tự cài đặt trên thiết bị đầu cuối và mọi thiết bị mạng mà nó có thể truy cập.

TẠO KHÓA MÃ HÓA

Các ransomware liên lạc với máy chủ chỉ huy và kiểm soát được điều hành bởi bọn tội phạm mạng đằng sau cuộc tấn công để tạo ra các khóa ryptographic được sử dụng trên hệ thống cục bộ.

MÃ HÓA

Các ransomware bắt đầu mã hóa mọi dữ liệu nó có thể tìm thấy trên các máy cục bộ và mạng.

NGOẠI TRỪ

Với công việc mã hóa được thực hiện, ransomware hiển thị các hướng dẫn về tống tiền và thanh toán tiền chuộc, đe dọa hủy dữ liệu nếu thanh toán (thường bằng Bitcoin) không được thực hiện.

MỞ KHÓA

Các tổ chức có thể trả tiền chuộc và hy vọng tội phạm mạng thực sự giải mã các tệp bị ảnh hưởng (trong nhiều trường hợp không xảy ra). Hoặc họ có thể thử phục hồi bằng cách xóa các tệp và hệ thống bị nhiễm khỏi mạng và khôi phục dữ liệu từ các bản sao lưu sạch.

Các loại Ransomware

Có hai loại ransomware chính: Locker ransomware, khóa máy tính hoặc thiết bị, và ransomware Crypto, ngăn chặn truy cập vào tệp hoặc dữ liệu, thường thông qua mã hóa.

Trên biểu đồ bên trái, bạn có thể thấy các loại ransomware mới nhất được chia theo tên và quy mô tấn công của chúng.

RYUK

RYUK là một trường hợp đặc biệt của ransomware, trong những tháng đầu tiên hoạt động đã mang lại cho bọn tội phạm lợi nhuận 705 BTC (khoảng 125.360.287.252 đồng). Nó khác với các đối thủ như thế nào? Chỉ có các công ty lớn được nhắm mục tiêu. Để tối đa hóa khả năng tấn công thành công, phần mềm đã được nâng cấp với các cơ chế chịu trách nhiệm vô hiệu hóa các dịch vụ sao lưu tự động, chống vi-rút và xóa các bản sao lưu hiện có. Khi dữ liệu được mã hóa và thông tin tiền chuộc được hiển thị sau một vài tuần, thì đã quá muộn – công ty sẽ chỉ có các bản sao lưu không đầy đủ.

Nói một cách đơn giản, phương thức tấn công bao gồm các bước sau:

  • lây nhiễm một trong các máy tính có phần mềm độc hại “bất kỳ” nào sẽ cho chúng tôi cơ hội lây lan trong hạ tầng hệ thống
  • đánh giá xem máy tính bị nhiễm có thuộc về tổ chức được gọi là HVT – high value target (mục tiêu giá trị cao) hay không, và đưa ra các hành động và sự tham gia tiếp theo có hợp lý không
  • trong trường hợp xác định mục tiêu có giá trị, cơ sở hạ tầng của tổ chức (domain controller) bị xâm chiếm và dữ liệu có giá trị bị đánh cắp
  • bước cuối cùng là lây nhiễm càng nhiều cơ sở hạ tầng ransomware càng tốt kèm với thông báo tiền chuộc.

Xem xét mức độ của cuộc tấn công, việc đánh cắp dữ liệu và hành động nhạy cảm trước đó nhằm mục đích phá hủy các bản sao lưu, cuộc tấn công phần mềm độc hại RYUK thường rất đang lo ngại.

Sodinokibi

Sodinokibi, còn được gọi là REvil, BluBackground hoặc Sodin, là một ransomware sử dụng nhiều chiến thuật để phân phối ransomware nhằm kiếm tiền hoa hồng. Nó nhắm vào người dùng nói tiếng Anh. Nó cũng khai thác các lỗ hổng trong các dịch vụ từ xa như Oracle WebLogic (CVE-2019-2725). Mọi người tin rằng nó có quan hệ với GandCrab. Theo Intezer Phân tích, nó sử dụng mã của Pony, RedOctober và Vidar.

Vào ngày 16 tháng 8 năm 2019, Sodinokibi đã tấn công vào 22 cơ sở hành chính ở Texas và yêu cầu một khoản tiền chuộc tổng cộng là 2,5 triệu đô la. Nó đã xâm phạm nhiều MSP (nhà cung cấp dịch vụ được quản lý) phát tán phần mềm độc hại cho khách hàng của họ.

Vào ngày 29 tháng 8 năm 2019, Sodinokibi đã tấn công một dịch vụ sao lưu dữ liệu từ xa và các tệp được mã hóa từ các cơ sở nha khoa ở Hoa Kỳ.

Vào ngày 9 tháng 12 năm 2019, Sodinokibi đã tấn công một nhà cung cấp CNTT khác phục vụ hàng trăm cơ sở nha khoa, lây nhiễm máy tính của khách hàng bằng cách khai thác một công cụ truy cập từ xa dễ bị tấn công.

Vào ngày 12 tháng 12 năm 2019, UNKN tuyên bố rằng một “lãnh vực” mới đã được tạo ra cho các hoạt động lớn. Họ cũng tuyên bố rằng sẽ sử dụng các tệp và dữ liệu bị đánh cắp làm đòn bẩy để bắt nạn nhân trả tiền chuộc.

Hành vi

Sau khi thực hiện, Sodinokibi sẽ tạo ra một mutex với tên mã hóa toàn cầu Global\206D87E0-0E60-DF25-DD8F-8E4E7D1E3BF0 và giải mã với một cấu hình được nhúng sẵn.

Nếu tham số exp trong cấu hình được thiết lập, phần mềm độc hại sẽ cố gắng khai thác CVE-2018-8453 để có được các đặc quyền HỆ THỐNG.

Nếu tham số đó không được cấu hình để thực hiện khai thác hoặc nếu nỗ lực không thành công, thay vào đó, nó sẽ cố gắng tự chạy lại với tư cách quản trị viên.

Sodinokibi thu thập một số thông tin hệ thống cơ bản và lưu nó vào registry cùng với các tham số mã hóa được tạo. Nếu tùy chọn dbg không được đặt trong cấu hình, các giá trị bố trí bàn phím và ngôn ngữ UI sẽ được kiểm tra và phần mềm độc hại sẽ thoát ra trên các hệ thống sử dụng một trong các mã ngôn ngữ.

Phobos

Phobos là một chương trình ransomware độc hại (giống như hầu hết các chương trình thuộc loại này) mã hóa / chặn các tệp dữ liệu và giữ chúng ở trạng thái này để trả tiền chuộc. Phobos đổi tên tất cả các tệp được mã hóa, thêm phần mở rộng “.phobos” và địa chỉ email và ID duy nhất của nạn nhân. Chẳng hạn như, “a.jpg” có thể được đổi thành, “a.jpg.ID-63855656. [job2020@tu234a.com] .phobos” hoặc “1.jpg.ID-63855656. [cadillac.407@aol.com ] .phobos “.
Các email được hiển thị trong phần mở rộng được thêm vào thường khác nhau. Virus mã hóa dữ liệu bằng mã hóa AES và sau khi mã hóa sẽ tạo ra một ứng dụng HTML (“Phobos.hta”) rồi mở nó. Ứng dụng này hiển thị một cửa sổ bật lên với thông báo tiền chuộc.

Globelmposter

Phần mềm ransomware Globelmposter xuất hiện lần đầu tiên vào tháng 5 năm 2017. Chúng chủ yếu được truyền qua các email lừa đảo. Vào tháng 2 năm 2018, các mẫu biến thể Globelmposter của phiên bản 2.0 đã nổ ra tại các bệnh viện lớn ở Trung Quốc.

Virus này lây lan qua kỹ thuật mạng xã hội, các cuộc tấn công brute-force RDP kết hợp với các chương trình độc hại để mã hóa các tệp của máy chủ bị nhiễm, tạo ra một bảng ghi chú tiền chuộc và yêu cầu tiền chuộc. Nhóm bảo mật Sangfor đang chú ý đến sự phát triển của họ virus này và đã thực hiện phân tích chuyên sâu về mẫu biến thể được phát hiện.

DoppelPaymer

DoppelPaymer Ransomware là một trojan khóa tệp chặn media của bạn và để lại các ghi chú tiền chuộc chuyển hướng bạn đến một cổng thanh toán cho trình mở khóa. Mặc dù đây là bản cập nhật rất giống của BitPaymer Ransomware, nhưng nó sử dụng một phương thức mã hóa riêng biệt và yêu cầu một bộ giải mã khác để khôi phục. Hãy để các sản phẩm chống phần mềm độc hại của bạn loại bỏ DoppelPaymer Ransomware ngay khi chúng phát hiện ra nó và lưu trữ các bản sao lưu an toàn để đề phòng các cuộc tấn công.

DoppelPaymer Ransomware không chỉ là chủng virut đơn giản và có ít nhất tám lần tấn công vào hạ tầng mạng trên thế giới, mỗi lần có nhiều cải tiến về tính năng của chúng hơn trước. Trojan sử dụng mã hóa AES – với phần đệm – cùng với RSA-2048, để mã hóa và chặn các media kỹ thuật số mở. Các chuyên gia về phần mềm độc hại của chúng tôi cũng cảnh báo rằng DoppelPaymer Ransomware có thể khóa các tệp nhanh hơn so với phiên bản trước, nhờ vào thói quen mã hóa đa luồng.

Mamba

Nói về virus Mamba (còn được gọi là ransomware HDD Cryptor), nó hoàn toàn độc hại như loài rắn mà virus lấy tên của nó. Loại virus khét tiếng này cho phép cư dân San Francisco được tự do đi lại trên mạng lưới tàu điện ngầm miễn phí, do việc tấn công hệ thống máy tính của công ty và yêu cầu 73.000 đô la tiền chuộc.

Không giống như Petya, phần mềm ransomware này tấn công các tệp trên đĩa thay vì các mục khởi động. Nó sử dụng phần mềm DiskCryptor cho mục đích này. Virus để lại tệp 152.exe hoặc 141.exe trên máy tính chịu trách nhiệm thực hiện quá trình mã hóa. Sau khi mã hóa các tập tin của nạn nhân, virus khởi động lại máy tính và sau đó hiển thị thông báo sau trên màn hình:

Nạn nhân có thể nhập mật khẩu để khôi phục dữ liệu ở đó. Tuy nhiên, trước tiên anh ta phải có được mật khẩu này. Thật không may, phần mềm độc hại này không thể bị đánh bại dễ dàng như vậy. Địa chỉ email được cung cấp được sử dụng để liên hệ với người tạo mã độc và nhận hướng dẫn từ họ để giải mã dữ liệu và lấy lại quyền truy cập vào thiết bị.

Virus này sẽ đòi tiền chuộc 1 bitcoin cho mỗi máy tính. Tiền sẽ được gửi đến ví Bitcoin được chỉ định. Tuy nhiên, chúng tôi luôn khuyến nghị người dùng KHÔNG trả tiền chuộc vì nó không đảm bảo giải mã các tập tin.

 

Snatch

Snatch là một biến thể ransomware mới, có thể thực thi buộc các thiết bị Windows phải khởi động lại Safe Mode ngay cả trước khi quá trình mã hóa bắt đầu để bỏ qua bảo vệ điểm cuối thường không chạy trong chế độ này.

Chủng mới của ransomware sử dụng một phương thức lây nhiễm duy nhất áp dụng mã hóa AES tinh vi để người dùng có máy bị nhiễm không thể truy cập tệp của họ.

Dạng virus mã hóa của nó tấn công các mục tiêu cấu hình cao, nhưng chủng mới này, được tạo bằng chương trình Google Go, bao gồm một bộ công cụ bao gồm tính năng đánh cắp dữ liệu và tính năng ransomware. Thêm vào đó, nó có lớp vỏ đảo ngược Cobalt Strike và các công cụ khác thường được sử dụng bởi tester và quản trị viên hệ thống.

 

Dharma

Dharma là một biến thể mới của Crysis – một loại virus ransomware có nguy cơ cao. Sau khi xâm nhập thành công, Dharma mã hóa các tệp được lưu trữ trên máy tính của bạn bằng mã hóa bất đối xứng. Ngoài ra, nó còn nối thêm phần mở rộng “. [Bitcoin143@india.com] .dharma” đến từng tên tệp được mã hóa. Chẳng hạn, “sample.jpg” sẽ chuyển thành “sample.jpg. [Bitcoin143@india.com] .dharma”). Các biến thể khác sử dụng phần mở rộng “. [Worm01@india.com] .dharma”. Tuy nhiên, không giống như phiên bản trước, Dharma không thay đổi hình nền màn hình, nhưng tạo một tệp văn bản (“README.txt”) và đặt nó vào mọi thư mục chứa các tệp bị nhiễm.

 

HiddenTear

HiddenTear là một dự án ransomware mã nguồn mở ban đầu được phát triển cho mục đích giáo dục vào năm 2015 bởi nhà nghiên cứu Thổ Nhĩ Kỳ Utku Sen. Tuy nhiên, các nhóm tội phạm mạng như Magic đã điều chỉnh lại mã nguồn và sử dụng nó cho mục đích tống tiền , bằng cách mã hóa các tệp bằng AES-256.

Sự lây nhiễm

Nó xâm nhập vào hệ thống bằng cách ngụy trang thành một ứng dụng hợp pháp trong phiên bản gốc, chuyển thành tệp Adobe PDF và chặn truy cập vào các tệp người dùng bằng cách mã hóa chúng. Khi chạy, Hidden Tear sẽ tạo ra một chuỗi gồm 15 ký tự, nó được sử dụng làm khóa bằng cách sử dụng lớp Random ngẫu nhiên không bảo mật bằng mật mã; chuỗi ký tự được gửi đến C & C, với tên máy tính. Hidden Tear ban đầu sẽ tìm kiếm thư mục thử nghiệm trong Desktop, nó sẽ mã hóa mọi tập tin trên nó.

Estemani

Estemani ransomware là một chương trình độc hại được thiết kế để ngăn nạn nhân truy cập vào tệp của họ bằng cách mã hóa chúng bằng thuật toán mã hóa. Nạn nhân sau đó được khuyến khích mua một công cụ giải mã, vì không có phần mềm nào khác có thể giải mã các tệp được mã hóa bởi phần mềm ransomware này. Hơn nữa, Estemani tạo ra một thông điệp đòi tiền chuộc trong tập tin “@_READ_TO_RECOVER_FILES_@.txt“.

Để mở khóa (giải mã) các tập tin, nạn nhân được yêu cầu trả khoản tiền chuộc 1,5 Bitcoin. Tất cả các hướng dẫn thêm sẽ được cung cấp sau khi liên hệ với các nhà phát triển Estemani thông qua địa chỉ email x280@protonmail.com. Tin nhắn phải chứa ID HOST và LOCK, được cung cấp trong tin nhắn tiền chuộc.

Phương thức lây nhiễm thường gặp: Tệp đính kèm email bị nhiễm (macro), trang web torrent, quảng cáo độc hại.

Rapid

Rapid ransomware là một loại tiền điện tử độc hại lưu hành trên Internet kể từ tháng 1 năm 2018. Trong bảy tháng tồn tại, phần mềm độc hại đã thay đổi bốn lần. Virus mã hóa các tệp bằng thuật toán mã hóa AES và nối thêm phần mở rộng tệp .RPD và để lại tệp How Recovery File.txt hướng dẫn nạn nhân cách liên hệ với bọn tội phạm và gửi cho họ số tiền được yêu cầu.

 

 

Những Ransomware cũ nguy hiểm

CryptoLocker 2013

Sự xuất hiện của Cryptolocker vào năm 2013 đã đánh dấu một sự thay đổi trong chiến thuật của bọn tội phạm. Đó là ví dụ đầu tiên của ransomware đi theo con đường mã hóa dữ liệu người dùng quen thuộc với một khóa đối xứng được tạo ngẫu nhiên khác nhau cho mỗi tệp. Khóa đối xứng sau đó được mã hóa bằng khóa bất đối xứng công khai và được thêm vào tệp. Khi tất cả các tệp của khoảng 70 loại phổ biến đã được mã hóa, phần mềm ransomware hiển thị thông báo đòi tiền chuộc để trả lại khóa bất đối xứng, cần thiết để giải mã các khóa đối xứng cho mỗi tệp được mã hóa. Nó cảnh báo rằng nếu thanh toán không được thực hiện theo thời hạn, thì khóa đối xứng sẽ bị xóa, khiến việc khôi phục dữ liệu là không thể.

CryptoWall 2014

CryptoWall xuất hiện lần đầu tiên vào năm 2014 và kể từ đó, nó đã xuất hiện nhiều biến thể khác nhau, với các tên bao gồm CryptoDefense, CryptorBit, CryptoWall 2.0, CryptoWall 3.0 và CryptoWall 4.0. Một đặc điểm đáng chú ý của phần mềm ransomware này là các tác giả chỉ cung cấp dịch vụ giải mã sử dụng một lần miễn phí cho một tệp, dường như để chứng minh cho nạn nhân biết rằng chúng thực sự có khóa để giải mã.

CTB-Locker 2014

CTB-Locker xuất hiện từ giữa năm 2014 và các tác giả của nó sử dụng một chương trình liên kết để đảm bảo rằng ransomware được truyền bá rộng rãi. Các tác giả điều hành, quản lý ransomware và các hệ thống chỉ huy kiểm soát chúng, trong khi các chi nhánh phải trả phí hàng tháng để truy cập vào ransomware, chịu trách nhiệm tìm kiếm nạn nhân thông qua các chiến dịch email spam của riêng họ hoặc bằng cách chạy các trang web độc hại được liên kết với bộ công cụ khai thác. Tên CTB-Locker xuất phát từ Curve-Tor-Bitcoin-Locker, ám chỉ mã hóa Elliptic Curve mà ransomware sử dụng, sử dụng mạng Tor ẩn danh để liên lạc và thanh toán được yêu cầu bằng Bitcoin. Ghi chú tiền chuộc của CTB-Locker hiển thị một số biểu tượng cờ ở góc trên cùng bên phải để nạn nhân có thể đọc ghi chú bằng các ngôn ngữ châu Âu khác nhau.

TorrentLocker 2014

TorrentLocker bắt đầu xuất hiện vào năm 2014 và được lan truyền chủ yếu thông qua các email spam. Ngoài chuẩn hóa mã hóa các loại tệp và yêu cầu tiền chuộc bằng Bitcoin, phần mềm ransomware này cũng thu thập các địa chỉ email được tìm thấy trên máy và sử dụng chúng để gửi email spam đến các liên hệ của nạn nhân nhằm cố gắng lan truyền thêm.

TorrentLocker cố gắng xóa các bản sao Windows volume shadow (có thể được sử dụng để khôi phục các phiên bản cũ hơn) để giúp người dùng ít có khả năng khôi phục các tệp của mình mà không phải trả tiền chuộc.

Bitcryptor và CoinVault 2015

Hai biến thể ransomware này đã lây nhiễm hàng ngàn máy trước khi hai tác giả bị cáo buộc bị bắt ở Hà Lan vào năm 2015. Trong quá trình điều tra, công ty bảo mật Nga tên Kaspersky đã có được tất cả 14.000 khóa giải mã cần thiết để giải mã các tập tin của nạn nhân. Sau đó, Kaspersky đã tạo ra một công cụ có thể được tải xuống miễn phí để hoàn tác các thiệt hại do cả Bitcryptor và CoinVault gây ra.

TeslaCrypt 2015

TeslaCrypt xuất hiện vào năm 2015, ban đầu chúng nhắm mục tiêu và mã hóa dữ liệu đã lưu và các tệp khác được tạo bởi các trò chơi trên máy tính như Call of DutyWorld of Warcraft, giữ chúng với số tiền chuộc 500 đô la phải trả bằng Bitcoin. Phiên bản đầu tiên sử dụng mã hóa khóa đối xứng và đã được giải mã bởi một công cụ được cung cấp bởi các nhà nghiên cứu bảo mật. Các phiên bản tiếp theo sử dụng mã hóa tinh vi hơn mà công cụ này không thể giải mã được.

Trong năm 2016, những tên tội phạm đằng sau TeslaCrypt đã bất ngờ phát hành khóa giải mã chính cho ransomware và ngừng phát triển.

Locky 2017

Locky lần đầu tiên xuất hiện vào năm 2016, và là một ví dụ tương đối tinh vi của ransomware. Nó thường lây nhiễm cho người dùng thông qua các tệp đính kèm Microsoft Office độc hại vào email. Khi tệp Office được nhấp, tệp có thể nhắc người dùng bật macro Office, rõ ràng để đảm bảo rằng tài liệu hiển thị chính xác, nhưng thực tế nó cho phép phần mềm độc hại chạy. Sau khi mã hóa các tập tin của người dùng, Locky hiển thị một ghi chú tiền chuộc được đặt làm hình nền máy tính của người dùng. Điều này hướng dẫn người dùng tải xuống Tor Browser và truy cập vào một liên kết được chỉ định trong ghi chú để trả tiền chuộc.

WannaCry 2017

WannaCry đã lây nhiễm hơn 100.000 máy tính vào tháng 5 năm 2017 bằng cách tận dụng lỗ hổng Microsoft Windows chưa được vá (MS17-010).

WannaCry (hoặc WannaCrypt, WanaCrypt0r 2.0, Wanna Decryptor) mã hóa các tệp của bạn và giữ chúng để đòi tiền chuộc. Trong vài ngày, tiền chuộc là khoảng 0,17 BTC (300 $), sau đó tiền chuộc được tăng lên. Sau một tuần các tập tin sẽ bị xóa. Các tệp được mã hóa sẽ có phần mở rộng WCRY. Chúng được mô tả như “kill switch functionality”. Ngoài ra, còn có các phiên bản mới hơn của Wannacry được thấy vào Chủ nhật, với các miền chuyển đổi kill mới.

 

GandCrab 2018

GandCrab ransomware là một họ cryptovirus khét tiếng xuất hiện lần đầu tiên vào đầu năm 2018. Trong vòng một năm, nó đã được biết đến như một trong những lây nhiễm mạng tàn phá nhất trên thế giới.

Họ ransomware này bao gồm nhiều biến thể, chẳng hạn như GDCB, KRAB, virus CRAB, GandCrab 2, GandCrab 3, GandCrab 4 và GandCrab 5. Tất cả các phiên bản này đang sử dụng thuật toán RSA 2048 và AES 256 để mã hóa dữ liệu và vẫn đang tăng thêm một cách ngẫu nhiên và duy nhất mở rộng tập tin để đánh dấu dữ liệu của nạn nhân. Tại thời điểm viết bài này, các phiên bản nguy hiểm nhất là virus Gandcrab 5.0.4 và GandCrab 5.1. Các ransomware đã sử dụng một loạt các phương thức phân phối khác nhau, bao gồm các bộ dụng cụ khai thác RIG, GradSoft, Magnitude và Fallout, lỗi khai thác, keygens và cập nhật giả. Mặc dù phần mềm độc hại là một trong những mối đe dọa tàn khốc nhất hiện nay, nhóm nghiên cứu Bitdefender, trong khi làm việc với cảnh sát Europol và Rumani, đã tạo ra bộ giải mã GandCrab thứ 3 hoạt động cho các phiên bản 1, 4, 5.0.1 đến 5.1.

Trong trường hợp bạn cần giải mã, vui lòng tìm nó ở đây

Các chủng Ransomware nguy hiểm nhất

Làm sao để ngăn chặn ransomware

Ransomware đặc biệt nguy hiểm. Mặc dù thường lây lan qua email, nhưng chúng cũng đã được biết là tận dụng các cửa hậu hoặc lỗ hổng. Chúng tôi cũng đã có một bài viết trước đây về cách triển khai an ninh mạng trong các công ty vừa và nhỏ.

Làm thế nào ransomware thâm nhập vào tổ chức?

Các thống kê bên trên cho thấy những cách phổ biến nhất về cách lâ nhiễm vào các hệ thống.

Đọc tiếp để tìm hiểu làm thế nào bạn có thể tránh được một cuộc tấn công ransomware.

1. Cài đặt phần mềm chống vi-rút và đảm bảo rằng nó được cập nhật mới nhất

Bitdefender bảo vệ bạn khỏi Ransomware như thế nào?

Là một giải pháp bảo mật lớp thích ứng, Bitdefender cung cấp nhiều tính năng chống ransomware, có nhiều lớp bảo vệ hoạt động cùng nhau để ngăn ngừa, phát hiện và khắc phục. Bảo vệ hơn 500 triệu người dùng trên toàn thế giới Bitdefender đã phát triển hệ thống phòng thủ độc đáo cung cấp các lớp bảo mật nâng cao:

2. Áp dụng các bản vá phần mềm để giữ cho các hệ thống được cập nhật

Vá lỗ hổng phần mềm là một công việc không dễ dàng, tốn thời gian và nhàm chán. Nhưng nó rất quan trọng đối với an ninh của bạn.
Các nhóm tin tặc tạo ra phần mềm độc hại sẽ ghi nhận mọi lỗ hổng phần mềm nào và cố gắng sử dụng chúng như một cách xâm nhập vào mạng trước khi các doanh nghiệp có thời gian để kiểm tra và triển khai các bản vá. Ví dụ lớn nhất là về những gì đã xảy ra nếu bạn không vá đủ nhanh chính là WannaCry.
Ransomware này đã gây ra sự khủng hoảng vào mùa hè năm 2017, bao gồm cả việc phá vỡ đáng kể NHS ở Anh. Một lỗ hổng khai thác dựa trên giao thức Windows Server Message Block cho phép WannaCry lan truyền cho đến nay thực sự đã được phát hành vài tháng trước khi ransomware tấn công. Nhưng không đủ các tổ chức đã áp dụng bản sửa lỗi cho cơ sở hạ tầng của họ và kết quả là hơn 300.000 PC đã bị nhiễm.

3. Thay đổi mật khẩu mặc định trên tất cả các điểm truy cập

Nhấp vào một liên kết xấu trong email có lẽ là cách bị nhiễm phần mềm độc hại được biết đến nhiều nhất, nhưng đó là cách duy nhất. Gần một phần ba số ransomware được phân phối thông qua các cuộc tấn công từ xa (RDP).

Các cuộc tấn công Brute force là những nỗ lực của tin tặc truy cập vào máy chủ và các thiết bị khác bằng cách thử càng nhiều mật khẩu càng tốt, thường là với sự trợ giúp của bot, với hy vọng đạt được quyền quản trị.

Có nhiều công ty không thay đổi mật khẩu mặc định hoặc sử dụng các mật khẩu dễ đoán, các cuộc tấn công brute force thường thành công nhanh chóng. RDP cho phép điều khiển máy tính từ xa và là một con đường tấn công ransomware phổ biến khác. Có nhiều cách để giảm nguy cơ bị tấn công thông qua RDP, từ việc đảm bảo sử dụng mật khẩu mạnh, đến thay đổi cổng RDP, để hạn chế tính khả dụng của nó trên các thiết bị thực sự cần thiết.

4. Hướng dẫn các nhân viên nhận ra các email đáng ngờ

Một trong những cách thường gặp để ransomware xâm nhập vào tổ chức của bạn là qua email. Bởi vì spam phần mềm độc hại đến hàng ngàn địa chỉ email là cách tiết kiệm chi phí và dễ dàng để các nhóm tin tặc ransomware thử và phát tán phần mềm độc hại. Mặc dù bản chất của các chiến thuật này cực kỳ cơ bản , nhưng nó vẫn hiệu quả.

Đào tạo cho nhân viên để nhận ra các email đáng ngờ có thể giúp bảo vệ chống lại ransomware và các rủi ro do email khác như lừa đảo. Nguyên tắc cơ bản: không mở email từ người gửi mà bạn không nhận ra. Và đừng nhấp vào các liên kết trong email nếu bạn không chắc chắn đó là hợp lệ. Tránh các tệp đính kèm bất cứ khi nào có thể và hãy cẩn thận với các tệp đính kèm yêu cầu bạn bật macro, vì đây là con đường dễ dẫn đến nhiễm phần mềm độc hại nhất. Xem xét sử dụng xác thực hai yếu tố như một lớp bảo mật bổ sung.

5. Tạo ra nhiều rào cản trên các hệ thống mạng của bạn

Các nhóm tin tặc ransomware đang ngày càng tìm kiếm những lỗ hổng lớn nhất có thể. Mã hóa dữ liệu trên một PC sẽ không làm cho chúng trở nên giàu có, vì vậy chúng có khả năng truy cập vào mạng và sau đó phát tán phần mềm độc hại của chúng càng xa càng tốt trước khi kích hoạt và mã hóa mọi thứ.

Làm cho điều này trở nên khó khăn hơn bằng cách phân đoạn các mạng và cũng bằng cách giới hạn và bảo mật số lượng tài khoản quản trị viên có quyền truy cập trên phạm vi rộng. Các cuộc tấn công lừa đảo đã được các tin tặc nhắm mục tiêu vì chúng có quyền truy cập rộng rãi trên nhiều hệ thống.
Bạn cũng có thể sử dụng phần mềm Bitdefender cung cấp bảo vệ hệ thống mạng vững chắc hơn.

6. Hiểu những kết nối đang xảy ra với mạng của bạn

Máy chủ và máy trạm có thể là nơi lưu trữ dữ liệu của bạn, nhưng chúng không phải là thiết bị duy nhất bạn phải lo lắng. Bên cạnh wi-fi văn phòng, Internet vạn vật hoặc làm việc tại nhà, giờ đây có rất nhiều thiết bị kết nối với mạng công ty, nhiều thiết bị sẽ không đủ bảo mật tích hợp mà bạn mong muốn bằng một thiết bị của công ty .

Càng nhiều thiết bị, nguy cơ cung cấp cho tin tặc một cửa hậu vào mạng của bạn và sau đó sử dụng quyền truy cập đó để di chuyển qua hệ thống của bạn đến các mục tiêu càng cao hơn so với các thiết bị được bảo mật kém hoặc máy bán hàng tự động thông minh. Ngoài ra, hãy suy nghĩ về những người khác có quyền truy cập vào hệ thống của bạn: các đối tác của bạn có nhận thức được rủi ro tiềm ẩn của ransomware và phần mềm độc hại khác không?

Điều đáng ghi nhớ là tốt hơn hết là tránh xa các mạng Wi-Fi công cộng trong khi làm việc bên ngoài văn phòng hoặc ít nhất là biết cách giữ an toàn trên các mạng công cộng đó.

 

7. Luôn có một bản sao lưu

Dữ liệu quan trọng nhất của bạn là gì và tạo ra một kế hoạch sao lưu hiệu quả.

Có các bản sao lưu an toàn và cập nhật tất cả các thông tin quan trọng của doanh nghiệp là một biện pháp bảo vệ hàng đầu, đặc biệt là chống lại ransomware. Trong trường hợp ransomware đã lây nhiễm một số thiết bị, có bản sao lưu gần đây có nghĩa là bạn có thể khôi phục dữ liệu đó và hoạt động trở lại nhanh chóng. Nhưng điều quan trọng là phải hiểu nơi dữ liệu quan trọng trong doanh nghiệp đang thực sự được lưu giữ. Ví dụ như là dữ liệu quan trọng của CFO trong Ecxel trên máy tính để bàn của họ và không được sao lưu trên đám mây như bạn nghĩ? Sẽ không tốt nếu có một bản sao lưu sai nội dung hoặc sao lưu nó quá ít đến mức không có tác dụng.

8. Suy nghĩ rộng hơn và nghiêm túc trước khi bạn trả tiền chuộc

Kẻ gian ransomware đã tìm ra bạn thông qua hệ thống phòng thủ của bạn và bây giờ mọi PC trên toàn doanh nghiệp đều được mã hóa. Bạn có thể khôi phục từ bản sao lưu, nhưng sẽ mất nhiều ngày và bọn tội phạm chỉ muốn vài nghìn đô la. Có nên trả tiền cho chúng?

Trong một số trường hợp, có thể thấy rõ. Nếu những kẻ tấn công chỉ muốn một số tiền tương đối nhỏ  trong thời gian ngắn, có thể khiến doanh nghiệp đắn đo có nên trả tiền để có thể nhanh chóng hoạt động trở lại. Tuy nhiên, có những lý do tại sao bạn không nên trả tiền.

Đầu tiên, không có gì đảm bảo rằng bọn tội phạm sẽ trao khóa mã hóa khi bạn trả tiền – chúng là những tên tội phạm mà. Nếu tổ chức của bạn được cho là sẵn sàng trả tiền, điều đó có thể sẽ khuyến khích nhiều cuộc tấn công hơn, bởi cùng một nhóm hoặc những nhóm khác. Trả tiền chuộc, từ tiền của chính bạn hoặc thông qua tiền ảo, là một hình thức để thưởng cho các băng đảng này vì hành vi của chúng. Điều đó có nghĩa là chúng thậm chí còn được tài trợ tốt hơn và có thể chạy các chiến dịch thậm chí tinh vi hơn nữa chống lại bạn hoặc các tổ chức khác. Nó có thể giúp bạn phục hồi trong thời gian ngắn, nhưng thực chất trả tiền chuộc chỉ làm tăng thêm vấn nạn ransomware mà thôi.

9. Có kế hoạch phục hồi

Một kế hoạch khôi phục bao gồm tất cả các loại thảm họa công nghệ phải là một phần tiêu chuẩn của kế hoạch kinh doanh và nên bao gồm một phản ứng dành riêng cho ransomware. Đó không chỉ là phản ứng kỹ thuật – làm sạch PC và cài đặt lại dữ liệu từ các bản sao lưu – mà còn là phản ứng cho hoạt động kinh doanh cần thiết.
Những điều cần xem xét bao gồm làm thế nào để giải thích tình hình cho khách hàng, nhà cung cấp. Xem xét liệu các cơ quan quản lý cần phải được thông báo, hoặc nếu bạn nên gọi cảnh sát hoặc công ty bảo hiểm. Có một tài liệu là không đủ: bạn cũng cần kiểm tra các giả định bạn đã đưa ra, bởi vì một số trong số chúng có khả năng sẽ sai.

10. Quét và lọc email trước khi chúng đến tay người dùng

Cách dễ nhất để ngăn nhân viên nhấp vào liên kết ransomware trong email là giữ những email nguy hại không bao giờ đến được hộp thư đến của họ. Bằng cách sử dụng chức năng quét nội dung và lọc email, cần phải xử lý các email lừa đảo và email có chứa ransomware trước khi chúng thực sự đến tay người dùng.

Bạn có thể cân nhắc sử dụng các giải pháp chuyên nghiệp để bảo vệ email của mình như Bitdefender GravityZone for Exchange.
Xin hãy xem các tính năng quan trọng nhất

Phải làm gì nếu bạn bị nhiễm ransomware?

1. Cô lập, tách các mạng và hệ thống

Bước đầu tiên để kiểm soát ổ dịch ransomware là cách ly các hệ thống bị nhiễm khỏi phần còn lại của mạng.
Tắt các hệ thống đó và rút cáp mạng ra. Tắt WIFI. Các hệ thống bị nhiễm cần được cách ly hoàn toàn khỏi các máy tính và thiết bị lưu trữ khác trên mạng.

2. Xác định và xóa các ransomware

Tiếp theo, tìm ra loại phần mềm độc hại đã lây nhiễm các máy tính. Nhóm Ứng phó sự cố, tổ chức CNTT hoặc chuyên gia tư vấn bên ngoài sẽ có thể xác định chủng ransomware và bắt đầu lên kế hoạch cách tốt nhất để đối phó với sự lây lan.

3. Xóa máy bị nhiễm và khôi phục từ bản sao lưu

Để đảm bảo không sót lại ransomware nào bị ẩn trong hệ thống của bạn, bạn nên xóa toàn bộ dữ liệu và sau đó khôi phục mọi thứ từ bản sao lưu an toàn. Với điều kiện có một bản sao lưu tốt có sẵn.

4. Phân tích và giám sát hệ thống

Học hỏi từ những thiếu sót là một trong những cách tốt để hiểu về bản chất của cuộc tấn công và ngăn chặn các cuộc tấn công tương tự xảy ra lần nữa.

Bạn có nên trả tiền cho ransomware?

Không. Trong hầu hết các trường hợp, bạn không nên trả tiền chuộc. Việc ngăn chặn ransomware và các tùy chọn sao lưu và phục hồi hiện có là ưu tiên hàng đầu.

Thực hiện công việc ngay lập tức để ngăn chặn và bảo vệ dữ liệu khỏi ransomware, do đó phải trả tiền chuộc chỉ là một tùy chọn.

Tuy nhiên, đó là một vấn đề phức tạp hơn nhiều, đặc biệt là nếu bạn đang đọc bài viết này sau khi thực tế.

Bạn có bảo hiểm CNTT cho các cuộc tấn công ransomware? Bitcoin có thể được mua để trả tiền chuộc kịp thời không? Các bản sao lưu hệ thống có bị tấn công? Dữ liệu có thực sự quan trọng? Đây là một vài câu hỏi mà các tổ chức có thể phải tự trả lời khi họ đang xem xét có trả tiền chuộc hay không.

Trước khi xem xét thanh toán

Dưới đây là một số mục cần suy nghĩ trước khi quyết định trả hay không trả được đưa ra.

1. Kiểm tra chính sách bảo hiểm cho CNTT của bạn

Bảo hiểm trên không gian mạng là một giải pháp tương đối mới có thể giúp khắc phục chi phí quản lý vi phạm dữ liệu hoặc sự cố an ninh mạng tương tự. Bảo hiểm mạng có thể giúp quản lý và trang trải chi phí như:

  • Thông báo cho khách hàng và các bên bị ảnh hưởng khi vi phạm dữ liệu
  • Khôi phục và bồi thường cho các bên bị ảnh hưởng
  • Phục hồi dữ liệu bị xâm nhập
  • Xây dựng lại hệ thống máy tính

2.Hợp tác với cơ quan thực thi pháp luật

Nếu các cơ quan thực thi pháp luật tham gia, họ sẽ có chuyên môn và hiểu biết và sẽ giúp đưa ra các quyết định, vì vậy nếu thích hợp hãy mời họ vào.

Ví dụ, họ có thể biết liệu cuộc tấn công có phải từ một nhóm mà họ đã biết hay không, điều này mang lại kiến thức và kinh nghiệm trước đây cho sự cố này.

Thanh toán cho các tổ chức khủng bố có thể là bất hợp pháp, và không ai cần điều đó theo lương tâm của họ.

3.Tìm kiếm một công cụ giải mã

Lên mạng để xem có tồn tại công cụ giải mã không. Nếu các khóa cho cuộc tấn công này đã có sẵn thì không cần phải trả tiền. Đôi khi, khi cảnh sát và các chuyên gia bảo mật điều tra hoạt động tội phạm mạng, họ có khả năng có thể lấy các khóa giải mã từ các máy chủ độc hại và chia sẻ chúng trực tuyến.

Tổng kết

Ransomware đồng nghĩa với vi phạm dữ liệu có ý nghĩa nghiêm trọng: danh tiếng của nạn nhân có thể bị phá vỡ, trong khi những hậu quả pháp lý (GDPR / PDPA, CCPA, HIPPA, v.v.) có thể gây ra thiệt hại hàng triệu và thậm chí hàng tỷ. Đối với một số trường hợp, một sự cố mạng nghiêm trọng có thể kéo theo sự phá sản.

Một điều mà các nhà khai thác ransomware không bao giờ thất bại là sao chép mọi phương thức đã hoạt động trong quá khứ để ép buộc nạn nhân hợp tác. Nếu cuối năm 2019 chưa có bất kỳ dấu hiệu nào, ransomware vào năm 2020 sẽ trở nên nguy hiểm hơn bao giờ hết – đặc biệt là đối với các doanh nghiệp lớn.

Trong trường hợp này, cách tốt nhất là phòng ngừa và ý thức chung trong việc triển khai an ninh mạng trong công ty của bạn.

Nếu bạn có bất kỳ câu hỏi hoặc cần trợ giúp với ransomware, xin vui lòng liên hệ với chúng tôi để được tư vấn miễn phí. Chúng tôi rất vui được giúp bạn.

close

BitdefenderTotal Security Antivirus

3 Months Free !