Ảnh: CSO Online

Gần đây khi tìm hiểu về vấn đề an ninh mạng ở các group nước ngoài lẫn Việt Nam, có một trường hợp mình thấy rất nhiều người gặp phải và rộ lên ồ ạt là tình trạng máy tính bị nhiễm ransomware (mã độc tống tiền). Triệu chứng rõ rệt nhất là tất cả tập tin, dữ liệu lưu trữ trong ổ cứng máy tính của bạn đột nhiên bị đổi thành một đuôi lạ hoắc nào đó (ví dụ .powd). Kèm theo đó là một file text tống tiền yêu cầu bạn gửi một số tiền nhất định (vài ngàn đô la) bằng Bitcoin vào ví crypto của hacker để chuộc lại file.

Dù cho bạn làm ở bất kỳ ngành nghề nào, nếu bạn thường xuyên sử dụng máy tính để làm việc và lưu trữ những dữ liệu quan trọng, thì việc bị dính ransomware sẽ khiến bạn rơi vào một cuộc khủng hoảng nặng nề vì toàn bộ dữ liệu của bạn có nguy cơ bị mất vĩnh viễn. Do đó hãy trang bị kiến thức cho bản thân về ransomware ngay từ bây giờ, nếu bạn là một công dân kỹ thuật số.

Ransomware là gì?

Ransomware (mã độc tống tiền) là một loại phần mềm độc hại, sau khi lây nhiễm vào máy tính sẽ mã hóa hoặc ngăn chặn truy cập dữ liệu trên ổ cứng và sau đó thông báo cho nạn nhân về cách thức khôi phục dữ liệu. Thủ thuật quen thuộc thường thấy là nạn nhân bị yêu cầu chuyển một số tiền vào ví crypto được chỉ định để chuộc lại dữ liệu. Thông tin đòi tiền chuộc thường sẽ xuất hiện ngay trên máy tính của nạn nhân.

Để hiểu được mức độ độc hại và nguy hiểm của ransomware, mời bạn tham khảo qua các trường hợp sau:

  • Năm 2019, một nhiếp ảnh gia tự do tại Manila đã bị dính ransomware và bị mất hết toàn bộ dữ liệu lưu trữ trong máy tính gồm hàng trăm nghìn bức ảnh, video mà anh ta đã chụp, quay trong suốt 5 năm.
  • Năm 2020, một giáo viên trung học tại tiểu bang Maryland (Mỹ) đã bị dính ransomware và toàn bộ giáo án bị mã hóa. Người này đành phải đọc tạm một cuốn tiểu thuyết cho học sinh nghe trong tiết dạy.
  • Năm 2022, một nhân viên kế toán cũng bị dính ransomware và toàn bộ dữ liệu sổ sách của công ty không thể nào truy cập được nữa.
  • Tại một bệnh viện, một người mẹ sơ sinh có đứa con bị tổn thương não nghiêm trọng. Cuộc tấn công mã độc vào bệnh viện đã khiến cho các bác sĩ sản khoa của bệnh viện không thể phát hiện tình trạng suy thai. Sau khi sinh, đứa bé không may mắn đã qua đời. (*)

Đa số mọi người đều nghĩ máy tính của mình không có dữ liệu gì quan trọng, cho đến khi bị dính ransomware. Cũng như những người bị hack máy tính như mình không bao giờ nghĩ rằng có ngày mình lại bị hack máy tính.

Ảnh: Palo Ato Networks

Cơ chế tấn công của ransomware

Ransomware thường ẩn nấp nơi đâu? Trong các email lừa đảo, thư rác, các phần mềm crack, các file download trên mạng, các trang web đáng ngờ,… Nạn nhân chỉ cần sập bẫy là vào một ngày đẹp trời, bạn mở máy tính lên và hú hồn khi phát hiện tất cả dữ liệu của mình ở các dạng file như .doc, pdf, xls, jpg, zip,… đều bị mã hóa. Để giải mã bắt buộc bạn phải có khóa riêng (private key) mà chỉ có kẻ phát tán mới có và nạn nhân sẽ nhận được thông báo đòi tiền chuộc nếu muốn giải mã. Trong một số trường hợp nặng đô, phần mềm ransomware còn được cài đặt cùng với trojan để kiểm soát máy tính nạn nhân và hack các tài khoản quan trọng.

Cơ chế tấn công của ransomware như sau:

  1. Lây nhiễm: Sau khi bạn đã tải file hay click vào link lạ, ransomware sẽ tự cài đặt trên máy tính của bạn và mọi thiết bị mạng mà nó có thể truy cập.
  2. Tạo khóa mã hóa: Ransomware liên lạc với máy chủ chỉ huy do bọn tin tặc điều hành để tạo ra các khóa mã hóa.
  3. Mã hóa: Ransomware bắt đầu mã hóa mọi dữ liệu mà nó tìm thấy trên máy tính của bạn.
  4. Thông báo tống tiền: Sau khi mã hóa xong, ransomware sẽ hiển thị hướng dẫn chuộc dữ liệu và đe dọa nạn nhân rằng tin tặc sẽ hủy toàn bộ dữ liệu nếu bạn không gửi tiền cho chúng.

Khi gặp phải ransomware, câu hỏi chung của đa số nạn nhân là: Có nên trả tiền chuộc lại dữ liệu?

So với vài ngàn đô la tiền chuộc, dữ liệu cá nhân hay dữ liệu công việc trong máy tính của một số người có thể quan trọng và đáng giá hơn con số đó nhiều. Với thời gian tống tiền được đưa ra khá gấp rút (thường chỉ trong 1-2 ngày), nhiều người bắt đầu đắn đo giữa việc có nên gửi hay không gửi tiền chuộc, nhất là những nạn nhân thuộc khối doanh nghiệp và bị dính ransomware trên diện rộng trong công ty.

Tuy nhiên, lời khuyên từ các chuyên gia an ninh mạng là KHÔNG NÊN GỬI TIỀN. Thứ nhất, không có cơ sở gì để đảm bảo rằng tin tặc sẽ trao khóa mã hóa cho bạn sau khi bạn gửi tiền chuộc, bởi chúng là tội phạm mạng. Nếu bạn sẵn sàng trả tiền cho chúng, việc này chỉ khuyến khích chúng thực hiện càng nhiều cuộc tấn công hơn để chiếm đoạt tiền của nhiều người hơn. Thứ hai, tiền chuộc từ các nạn nhân là một hình thức tưởng thưởng cho cái sự ăn cắp tráo trợn của chúng. Điều này đồng nghĩa rằng bạn đang “tài trợ” để chúng nghiên cứu ra những cách thức tinh vi hơn để tấn công các nạn nhân khác.

Ảnh: CSO Online

Làm gì để phòng ngừa ransomware tấn công?

Trong khuôn khổ bài viết này, mình chỉ tổng hợp những cách phòng ngừa ransomware để trang bị những kiến thức an ninh mạng cơ bản cho độc giả, chứ không hướng dẫn cách xử lý vì “phòng bệnh hơn chữa bệnh”. Nếu xui xẻo bị dính ransomware thì bạn cần tham khảo ở những trang chuyên sâu hơn.

Sau đây là những kiến thức bạn cần nắm và cần hình thành thói quen:

  1. Phần lớn ransomware bị phát tán qua các email lừa đảo, email rác. Do vậy hãy thật cẩn trọng đừng mở các email spam hoặc email đáng ngờ (cũng như đừng click vào bất cứ đường link hay tải bất cứ file đính kèm nào trong đó) mà nên thẳng tay xóa ngay và luôn nếu chúng không đến từ những người bạn quen biết hay những trang mà bạn đã đăng ký nhận email.
  2. Hạn chế tối đa việc sử dụng phần mềm crack, tải file trên các trang web không rõ ràng (không có liên kết https an toàn), truy cập vào các trang web đáng ngờ (ví dụ web s*x, web tải phần mềm,…).
  3. Quét virus tất cả các file tải từ trên mạng, tải qua email, Facebook hay Zalo của bạn bè gửi trước khi mở hay giải nén.
  4. Cài đặt phần mềm diệt virus chính hãng và cập nhật phiên bản mới nhất. Nếu không có điều kiện thì dùng tạm phần mềm diệt virus tích hợp trên hệ điều hành như Windows Defender của Windows hay Gatekeeper của Mac.
  5. Sử dụng hệ điều hành có bản quyền và cập nhật liên tục các bản vá lỗ hổng bảo mật.
  6. Sao lưu dữ liệu quan trọng lên đám mây (cloud), ví dụ như Onedrive của Microsoft hay iCloud Drive của Mac. Bên Onedrive có tính năng Personal Vault (kho lưu trữ cá nhân) sẽ khóa dữ liệu của bạn lại đối với các tác nhân tấn công bên ngoài (bên iCloud chưa có tính năng tương tự, nhưng máy Mac vẫn có thể dùng Onedrive), tuy nhiên bản free chỉ cho lưu trữ 3 file (tính cả file nén) và bạn phải đóng phí subscription tầm 130K/tháng để không giới hạn dữ liệu lưu trữ. Lưu ý quan trọng: Dữ liệu bạn lưu trên cloud mà nếu bật sync trên máy tính của bạn thì vẫn bị ransomware tấn công như thường, nó chỉ trừ Personal Vault ra mà thôi.

Với những chia sẻ trên, mình hy vọng rằng trong tương lai không có bạn nào xui xẻo dính chưởng con ransomware mất nết này.


(*) Các case study được trích dẫn từ cuốn sách The Ransomware Hunting Team (tạm dịch: Biệt đội săn lùng Ransomware) của Renee Dudley và Daniel Golden

Nếu bạn thấy nội dung bài viết hữu ích và giá trị, bạn có thể ủng hộ Chơn Linh để tác giả có thêm động lực chia sẻ nhiều hơn:

📖Ủng hộ tác giả

(Subscribe blog để nhận bài mới hằng tuần qua email)
Author

"Hãy trở thành sự thay đổi mà bạn muốn nhìn thấy trên thế giới này." - Gandhi

Chia sẻ cảm nghĩ của bạn

Website này sử dụng Akismet để hạn chế spam. Tìm hiểu bình luận của bạn được duyệt như thế nào.