Ransomware là gì?
Ransomware - chắc hẳn các bạn đã nghe đến cái tên này nhiều lần rồi. Ransomware, phần mềm gián điệp, phần mềm tống tiền... đều là 1. Đây là tên gọi chung của 1 dạng phần mềm độc hại - Malware, có "tác dụng" chính là ngăn chặn người dùng truy cập và sử dụng hệ thống máy tính của họ (chủ yếu phát hiện trên hệ điều hành Windows).
Các biến thể Malware dạng này thường đưa ra các thông điệp cho nạn nhân rằng họ phải nộp 1 khoản tiền kha khá vào tài khoản của hacker nếu muốn lấy lại dữ liệu, thông tin cá nhân hoặc đơn giản nhất là truy cập được vào máy tính của họ. Hầu hết các phần mềm Ransomware đều chiếm quyền và mã hóa toàn bộ thông tin của nạn nhân mà nó tìm được (thường gọi là Cryptolocker), còn một số loại Ransomware khác lại dùng TOR để giấu, ẩn đi các gói dữ liệu C&C trên máy tính (tên khác là CTB Locker).
Cái giá mà
Ransomware đưa ra cho nạn nhân cũng rất đa dạng, "nhẹ nhàng" thì cỡ
20$, "nặng đô" hơn có thể tới
hàng ngàn $ (nhưng trung bình thì hay ở mức 500 - 600$), cũng có trường hợp chấp nhận thanh
toán bằng Bitcoin.
Tuy nhiên, các bạn cần phải chú ý rằng cho dù có trả tiền cho hacker thì tỉ lệ người dùng lấy lại được dữ liệu, thông tin cá nhân không phải là 100%.
1. Ransomware - chúng từ đâu tới?
Giống như các phần mềm độc hại khác, Ransomware có thể xâm nhập vào máy tính của người sử dụng khi:
Tìm và dùng
các phần mềm crack.
Bấm vào quảng
cáo.
Truy cập web
đen, đồi trụy.
Truy cập vào
website giả mạo.
Tải và cài
đặt phần mềm không rõ nguồn gốc.
File đính kèm
qua email spam.
...
2. Ransomware hoạt động như thế nào?
Khi đã xâm nhập và kích hoạt trong máy tính của người dùng, Ransomware sẽ đồng thời thực hiện các tác vụ như sau:
Khóa màn hình
máy tính, hiển thị thông báo như hình ví dụ trên.
Mã hóa bất kỳ
file tài liệu nào mà nó tìm được, tất nhiên là sẽ có mật khẩu bảo vệ.
Nếu trường hợp 1 xảy ra, người dùng sẽ không thể thực hiện được bất kỳ thao tác nào trên máy tính (ngoại trừ việc bật - tắt màn hình). Đồng thời trên màn hình đó cũng sẽ có hướng dẫn chi tiết và cụ thể việc chuyển khoản, tiền cho hacker để lấy lại thông tin cá nhân. Còn trường hợp thứ 2 (thông thường là xấu hơn) vì Ransomware sẽ mã hóa toàn bộ các file văn bản (thường là file Office như *.doc, *.xls... file email và file *.pdf), những file này sẽ bị đổi đuôi thành những định dạng nhất định nào đó, có mật khẩu bảo vệ, bạn không thể thực hiện bất kỳ thao tác nào như copy, paste, đổi tên, đổi đuôi hoặc xóa.
Ransomware,
hoặc gọi là Scareware có cách thức hoạt động tương tự như những phần mềm bảo
mật giả mạo - FakeAV (1 loại Malware)
3. Lịch sử hình thành và phát triển của Ransomware:
Thuở khai
sinh:
Lần đầu tiên, Ransomware được phát hiện vào khoảng giữa năm 2005 - 2006 tại Nga. Những bản báo cáo đầu tiên của TrendMicro là vào năm 2006, với biến thể TROJ_CRYZIP.A - 1 dạng Trojan sau khi xâm nhập vào máy tính của người dùng, sẽ lập tức mã hóa, nén các file hệ thống bằng mật khẩu, đồng thời tạo ra các file *.txt với nội dung yêu cầu nạn nhân trả phí 300$ để lấy lại dữ liệu cá nhân.
Dần dần phát triển theo thời gian, các Ransomware tấn công tiếp đến các file văn bản và hệ thống như *.DOC, *.XL, *.DLL, *.EXE...
Và cho đến năm 2011, một dạng khác của Ransomware là SMS Ransomware đã được phát hiện. Cách thức của SMS Ransomware khác biệt hơn 1 chút, đó là người dùng phải gửi tin nhắn hoặc gọi điện thoại đến số điện thoại của hacker, cho đến khi thực hiện xong thủ tục chuyển tiền cho hacker. Biến thể lần này của Ransomware được phát hiện dưới tên gọi TROJ_RANSOM.QOWA - sẽ liên tục hiển thị thông báo giả mạo trên màn hình máy tính.
Bên cạnh đó,
còn 1 biến thể khác của Ransomware - nguy hiểm hơn nhiều với mục tiêu của
hacker là tấn công vào Master Boot Record (MBR) của hệ điều hành. Và khi đã tấn
công, hệ điều hành - Windows sẽ không thể khởi động được. Cụ thể hơn, các
Malware này sẽ copy phần MBR nguyên gốc của hệ thống và ghi đè bằng MBR giả
mạo. Khi hoàn tất, quá trình này sẽ tự khởi động lại máy tính, và trong lần
tiếp theo, các thông báo của hacker (bằng tiếng Nga) sẽ hiển thị trên màn hình
của các bạn.
Vươn ra ngoài
lãnh thổ nước Nga:
Ban đầu chúng
hoạt động trong nước Nga, nhưng dựa vào sự phổ biến, số lượng nạn nhân, các mục
tiêu... các loại Ransomware này dần dần lan rộng ra, trước tiên là khu vực Châu
Âu. Đến đầu năm 2012, TrendMicro đã ghi nhận được rất nhiều vụ tấn công xảy ra
khắp Châu Âu (thậm chí có cả ở Mỹ, Canada). Cũng khá giống với TROJ_RANSOM.BOV,
1 biến thể Ransomware khác đã từng lây lan rất mạnh ở 2 khu vực chính là Pháp
và Nhật, cùng với cách thức hoạt động của Ransomware nguyên bản.
Thời điểm của
Reveton hoặc Police Ransomware:
Sao lại có
tên là Police Ransomware? Rất đơn giản, vì các loại Ransomware dạng này khi xâm
nhập vào máy tính của nạn nhân, sẽ hiển thị thông báo như 1 đơn vị luật pháp
thực thụ (các bạn có thể xem lại hình 1 ở trên kia). Với nội dung đại loại như:
"Xin
chào, anh/chị đã bị bắt vì vi phạm điều luật số abc xyz, đồng thời vi phạm hiến
pháp của USA... vì đã tham gia vào các hoạt động bất hợp pháp trực
tuyến..." đi cùng với đó là hình ảnh, phù hiệu của luật pháp. Tất cả những
Ransomware dạng này đều được gọi vắn tắt dưới cái tên - Reveton.
Đến đây chắc các bạn sẽ có câu hỏi:
Làm sao mà
chúng - Hacker biết chính xác rằng nạn nhân - người dùng máy tính đang ở địa
phương, thành phố... nào để đưa ra nội dung mang tính chất hù dọa cho họ? Đáp
án ở đây là hacker dựa vào tính năng dò tìm vị trí địa lý theo cụm địa chỉ IP.
Ví dụ, với các nạn nhân ở Mỹ thì chúng sẽ cho hiển thị thông báo đi kèm với
hình ảnh của FBI, còn ở Pháp sẽ là cơ quan Gendarmerie Nationale.
Thông báo giả mạo của Ransomware tại nước Pháp, với yêu cầu người dùng "nộp phạt" lệ phí là 100 Euro
Các biến thể
của Reventon sử dụng nhiều tài khoản, cách thức thanh toán khác nhau để nhận
tiền của nạn nhân, thông thường là các hệ thống như UKash, PaySafeCard, hoặc
MoneyPak. Hacker dùng những hình thức thanh toán này là vì hệ thống này thường
làm mờ (không để hiển thị) tên người nhận tiền, do vậy chúng sẽ yên tâm khi
thực hiện giao dịch qua UKash, PaySafeCard, và MoneyPak.
Đến năm 2012,
Reventon đã phát triển thêm hình thức, thủ đoạn mới. Đó là chúng dùng các đoạn
ghi âm - Recording (bằng giọng của người địa phương) để truyền tải thông tin
đến nạn nhân thay vì cách thức thông báo cũ.
4. Thời đại của CryptoLocker:
Vào cuối năm
2013, TrendMicro đã nhận được những bản báo cáo đầu tiên về 1 thể loại
Ransomware hoàn toàn mới. Các biến thể này bên cạnh việc mã hóa toàn bộ dữ liệu
của nạn nhân, đồng thời khóa toàn bộ hệ thống máy tính của họ. Dựa vào hành
động của Ransomware mà chúng đã có tên là CryptoLocker - đặc trưng cho việc nếu
Malware có bị xóa đi thì người dùng vẫn phải thực hiện hoàn chỉnh quá trình
chuyển tiền, nếu không thì toàn bộ dữ liệu của họ sẽ bị mất.
Thông báo
quen thuộc của CryptoLocker
Bên cạnh đó, thông báo "trắng trợn" của hacker chỉ ra rằng dữ liệu của người dùng đã bị mã hóa bằng RSA-2048 nhưng báo cáo của TrendMicro đã chỉ ra rằng thuật toán mã hóa của CryptoLocker lại là AES + RSA,
Hy vọng rằng những thông tin trên đã giúp các bạn phần nào hiểu được về cơ chế hoạt động của Ransomware, phần mềm gián điệp, phần mềm tống tiền. Trong phần tiếp theo của bài viết, Quản Trị Mạng sẽ giới thiệu nốt về các biến thể, họ hàng của Ransomware trong những năm gần đây, cách phòng chống, ngăn ngừa, xử lý khi máy tính bị nhiễm Ransomware.
>>
Click xem ngay Tất tần tật về hệ thống camera chống trộm của
chúng tôi
Chúc các bạn thành công!
Công ty cổ phần Công Nghệ và Xây Lắp Biển Bạc
Đơn vị chuyên Camera Giám Sát và Thiết Bị An Ninh
Điện thoại cố định: 024 3791 7414
Hỗ trợ trực tuyến: 091.208.23.80 hoặc 094.1900.288
Hỗ trợ kỹ thuật và bảo hành: 094.296.52.70
Hòm thư: info@bienbachn.com
Đơn vị lắp đặt camera chuyên nghiệp tại Hà Nội