Lấy lại dữ liệu bị mã hóa actin ransomware
Chúng tôi – những chuyên gia làm bảo mật, ATTT của Vina Aspire – muốn tin rằng Internet là nơi an toàn và trung thực dành cho mọi người, nhưng không thể phủ nhận rằng các tội phạm và tin tặc trực tuyến đang rình rập ở đó, cố ý gây rắc rối. Một cách mà họ gây ra rắc rối là bằng cách phát tán phần mềm độc hại Ransomeware. Mã độc tống tiền Ransomware không còn là mới mẻ – nó đã có lịch sử hơn 20 năm hình thành và phát triển. Bạn có thể tự bảo vệ mình bằng cách tìm hiểu phần mềm độc hại là gì, và cách phát tán của nó. Ransomware là gì?Ransomware là phần mềm gián điệp hay phần mềm tống tiền, nó là tên gọi chung của 1 dạng phần mềm độc hại – Malware, có “tác dụng” chính là ngăn chặn người dùng truy cập và sử dụng hệ thống máy tính hoặc các file tài liệu của họ (chủ yếu phát hiện trên hệ điều hành Windows). Các biến thể Malware dạng này thường đưa ra các thông điệp cho nạn nhân rằng họ phải nộp 1 khoản tiền kha khá vào tài khoản của hacker nếu muốn lấy lại dữ liệu, thông tin cá nhân hoặc đơn giản nhất là truy cập được vào máy tính của họ. Hầu hết các phần mềm Ransomware đều chiếm quyền và mã hóa toàn bộ thông tin của nạn nhân mà nó tìm được (thường gọi là Cryptolocker), còn một số loại Ransomware khác lại dùng TOR để giấu, ẩn đi các gói dữ liệu C&C trên máy tính (tên khác là CTB Locker). Cái giá mà Ransomware đưa ra cho nạn nhân cũng rất đa dạng, “nhẹ nhàng” thì cỡ 20$, “nặng đô” hơn có thể tới hàng ngàn đô la Mĩ (nhưng trung bình thì hay ở mức 500 – 600$), cũng có trường hợp chấp nhận thanh toán bằng Bitcoin. Tuy nhiên, các bạn cần phải chú ý rằng cho dù có trả tiền cho hacker thì tỉ lệ người dùng lấy lại được dữ liệu, thông tin cá nhân không phải là 100%. Ransomware lây nhiễm như thế nào?Ransomware lây nhiễm vào máy tính người dùng bằng nhiều hình thức:
Ransomware hoạt động như thế nào?1/ Mã hóa Trước khi tìm hiểu về Ransomware, ta phải tìm hiểu sơ bộ qua mã hóa, vì Ransomware hoạt động chủ yếu là mã hóa các dữ liệu và tống tiền người dùng. Bất kì dạng mã hóa nào cũng cần đến chìa khóa (key) đễ mã hóa và giải mã, dựa vào key ta có 2 dạng mã hóa chính như sau:
2/ Cách thức hoạt động Hoạt động chủ yếu theo 3 bước như sau:
Vậy làm thế nào để phòng ngừa?Ransomware như một căn bệnh ung thư trên cơ thể người. Chữa rất khó hoặc phải loại bỏ luôn bộ phận bị ung thư. Vì vậy mà việc “phòng bệnh hơn chữa bệnh” là điều quan trọng nhất. Để phòng chống Ransomware và các loại virus đang phát triển và tiến hóa hàng ngày trên Internet, người dùng nên thực hiện một số khuyến nghị sau:
1/ Phần mềm Kaspersky là gì? Chức năng của phần mềm này.Phần mềm diệt virus Kaspersky được các chuyên gia an ninh mạng của Vina Aspire đánh giá là một trong những phần mềm diệt virus tốt nhất hiện nay. Các tính năng cụ thể của phần mềm diệt virus Kaspersky
Kaspersky bao gồm 2 phiên bản là phiên bản Kaspersky Antivirus và Kaspersky Internet Security.
2/ Kaspersky chống lại Ransomware như thế nào?
Một trong những cách phổ biến nhất để phát tán ransomware hiện nay là gửi các kho lưu trữ với các tập lệnh thực thi (.exe) trong email (thư spam). Một cách khác là gửi các tài liệu Microsoft Office có macro độc hại được sử dụng làm tệp đính kèm. Trong các sản phẩm của Kaspersky Lab, thành phần Mail AV phân tích toàn bộ ngữ cảnh của thư (bao gồm cả tệp đính kèm trong email) và áp dụng phương pháp suy nghiệm (heuristic) cho nội dung
Ngặn chặn khai thác (Exploit Preventtion – EP) là một thành phần đặc biệt để ngăn chặn sự xâm nhập của phần mềm độc hại (bao gồm cả ransomware) thông qua các lỗ hổng phần mềm. Các ứng dụng quan trọng nhất EP bảo vệ là trình duyệt, ứng dụng văn phòng, trình đọc pdf, v.v. Khi gặp một hành động đáng ngờ từ phần mềm, như khởi động quy trình con, thành phần áp dụng phân tích bảo mật bổ sung về hành vi của chúng chống lại các hành vi độc hại. EP giúp chặn ransomware, bao gồm CryptXXX và nhiều phần mềm khác.
Các tác nhân đe dọa cố gắng bỏ qua việc phát hiện tĩnh (static detection) bằng các phương pháp khác nhau. Trong trường hợp này, Phát hiện Hành vi ( behavior detection) trở thành tuyến phòng thủ cuối cùng nhưng mạnh mẽ nhất. Phân tích từng hoạt động của tiến trình để phát hiện các mẫu độc hại. Sau đó, sản phẩm kết thúc tiến trình và khôi phục các thay đổi bằng Remediation Engine. Phát hiện dựa trên hành vi hiệu quả ngay cả với các mối đe dọa chưa biết trước đây, bao gồm cả Ransomware. Một mẫu Ransomware cơ bản bao gồm một số bước: + Tìm các tệp quan trọng trên máy của nạn nhân + Đọc nội dung của từng tệp + Mã hóa nội dung và lưu các thay đổi vào đĩa Đối sánh với mẫu hành vi độc hại như vậy, Behavior Engine chặn tiến trình và khôi phục các thay đổi với Remediation Engine. Trong số các ví dụ về phát hiện Ransomware thành công bằng các mẫu như vậy là Polyglot, WannaCry (phần mã hóa của phần mềm độc hại),… Kết luậnRansomware đồng nghĩa với vi phạm dữ liệu có ý nghĩa nghiêm trọng: danh tiếng của nạn nhân có thể bị phá vỡ, trong khi những hậu quả pháp lý (GDPR / PDPA, CCPA, HIPPA,…) có thể gây ra thiệt hại hàng triệu và thậm chí hàng tỷ. Đối với một số trường hợp, một sự cố mạng nghiêm trọng có thể kéo theo sự phá sản. Một điều mà các nhà khai thác Ransomware không bao giờ thất bại là sao chép mọi phương thức đã hoạt động trong quá khứ để ép buộc nạn nhân hợp tác. Nếu cuối năm 2019 chưa có bất kỳ dấu hiệu nào, Ransomware vào năm 2020 sẽ trở nên nguy hiểm hơn bao giờ hết – đặc biệt là đối với các doanh nghiệp lớn. Trong trường hợp này, cách tốt nhất là phòng ngừa và ý thức chung trong việc triển khai an ninh mạng trong công ty của bạn. Hãy liên hệ Vina Aspire ngay hôm nay để được tư vấn, triển khai và hỗ trợ về các giải pháp bảo mật tiên tiến nhất.Vina Aspire là nhà cung cấp các giải pháp và dịch vụ CNTT và An ninh mạng, bảo mật, an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng. Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Vina Aspire theo thông tin sau: Email: [email protected] | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com Vina Aspire Cyber Security | www.vina-aspire.com Bài viết liên quan
Red Team & Blue Team là gì?Red Team và Blue Team có tính chất khác nhau, và sử dụng các kỹ thuật khác nhau. Điều này sẽ cho bạn thấy rõ hơn về vai trò và… |