Công nghệ thông tin và mạng Internet càng phát triển thì những mối đe dọa như ransomware càng mọc lên nhiều hơn, thậm chí gây ra những vụ khủng hoảng toàn cầu. Hãy cùng BlogAnChoi tìm hiểu xem ransomware là gì và làm cách nào để đối phó với chúng nhé!

Ransomware đang đe dọa không gian mạng đến mức độ nào?

Trong những năm gần đây, ngày càng có nhiều trường hợp tấn công mạng bằng ransomware trình độ cao gây thiệt hại lớn cho người dùng Internet và các cơ quan, tổ chức trên khắp thế giới.

Ransomware là nỗi ám ảnh của các mạng máy tính (Ảnh: Internet).
Ransomware là nỗi ám ảnh của các mạng máy tính (Ảnh: Internet).

Các cuộc tấn công gần đây nhắm vào công ty đóng gói thịt lớn nhất thế giới JBS và dịch vụ y tế quốc gia của Ireland đã báo động cho chúng ta về cách thức mà các băng nhóm tin tặc ransomware có thể phá vỡ nền kinh tế và khiến cuộc sống của mọi người bị đảo lộn đến mức nào.

Theo thống kê của công ty an ninh mạng Emsisoft, chỉ tính riêng trong năm 2020 ở Mỹ, các băng đảng ransomware đã tấn công hơn 100 cơ quan liên bang, tiểu bang và thành phố, hơn 500 trung tâm chăm sóc sức khỏe, 1680 cơ sở giáo dục và hàng nghìn doanh nghiệp. Thiệt hại kinh tế lên tới hàng chục tỷ USD. Tuy nhiên con số chính xác có thể còn cao hơn do nhiều nạn nhân không muốn báo cáo, sợ ảnh hưởng đến danh tiếng.

Ransomware đe dọa làm mất dữ liệu quan trọng của các cá nhân và tổ chức (Ảnh: Internet).
Ransomware đe dọa làm mất dữ liệu quan trọng của các cá nhân và tổ chức (Ảnh: Internet).

Ở châu Âu, các cuộc tấn công ransomware nhắm vào nhiều mục tiêu đa dạng như hãng game CD Projekt của Ba Lan hay các trường học ở Tunbridge Wells (Anh).

Nhưng chính các vụ tấn công gây rối Đường ống Colonial ở Mỹ và công ty chế biến thịt JBS của Brazil vào tháng 5/2021 mới là tâm điểm thu hút sự chú ý của các nhà lãnh đạo thế giới, cùng với đó là sự tăng cường giám sát đối với các “thiên đường” trú ẩn an toàn ở nước ngoài, nơi tội phạm mạng ẩn nấp và hoạt động.

Ransomware là gì, và nó hoạt động như thế nào?

Ransomware là một loại phần mềm độc hại (malware) sử dụng phương thức mã hóa để chiếm giữ thông tin của nạn nhân rồi đòi tiền chuộc. Các dữ liệu quan trọng của người dùng cá nhân hoặc tổ chức bị mã hóa để họ không thể truy cập các file, cơ sở dữ liệu hoặc ứng dụng trên thiết bị của mình. Sau đó hacker sẽ đòi tiền chuộc để mở khóa dữ liệu.

Ransomware thường được thiết kế để lây lan trên mạng, nhắm đến các cơ sở dữ liệu và máy chủ chứa file, do đó có thể nhanh chóng làm tê liệt toàn bộ tổ chức. Đây là mối đe dọa ngày càng tăng cao, mang về hàng tỷ USD tiền chuộc cho tội phạm mạng và gây ra thiệt hại đáng kể cho các doanh nghiệp, tổ chức.

Hacker sẽ yêu cầu nạn nhân đưa tiền chuộc để đổi lấy chìa khóa mở dữ liệu (Ảnh: Internet).
Hacker sẽ yêu cầu nạn nhân đưa tiền chuộc để đổi lấy chìa khóa mở dữ liệu (Ảnh: Internet).

Ransomware sử dụng kiểu mã hóa không đối xứng. Đó là mật mã có một cặp khóa để mã hóa và giải mã file. Cặp khóa được hacker tạo riêng cho từng nạn nhân, trong đó có một khóa riêng tư dùng để giải mã các file lưu trữ trên máy chủ của hacker.

Kẻ tấn công chỉ cung cấp khóa này cho nạn nhân sau khi nhận được tiền chuộc, mặc dù như đã thấy trong các vụ ransomware gần đây thì thực tế không phải lúc nào cũng như vậy. Nếu không có khóa riêng tư thì gần như không thể giải mã các file đang bị giữ.

Dữ liệu bị đánh cắp rất khó khôi phục nếu không có khóa giải mã (Ảnh: Internet).
Dữ liệu bị đánh cắp rất khó khôi phục nếu không có khóa giải mã (Ảnh: Internet).

Hiện nay có nhiều biến thể khác nhau của ransomware. Thường thì ransomware và các phần mềm độc hại khác được phát tán thông qua các chiến dịch spam email hoặc các cuộc tấn công có chủ đích. Chúng cần một vectơ tấn công để thâm nhập vào mục tiêu. Sau khi thâm nhập, phần mềm độc hại sẽ “cư trú” trên hệ thống cho đến khi hoàn thành nhiệm vụ của nó.

Ransomware sẽ thực thi một mã nhị phân trên hệ thống bị nhiễm để tìm kiếm và mã hóa các file có giá trị, chẳng hạn như tài liệu Microsoft Word, hình ảnh, cơ sở dữ liệu,… Chúng cũng có thể khai thác các lỗ hổng của hệ thống và mạng để lây lan sang các máy tính khác và cuối cùng có thể là toàn bộ tổ chức.

Sau khi các file bị mã hóa, ransomware sẽ yêu cầu người dùng trả tiền chuộc trong vòng 24 đến 48 giờ để giải mã, nếu không các file này sẽ bị mất vĩnh viễn. Nếu không có bản sao lưu dữ liệu hoặc bản sao lưu đó cũng bị mã hóa thì nạn nhân sẽ buộc phải trả tiền chuộc để khôi phục dữ liệu của mình hoặc chịu mất hết.

Nguy cơ bị mất dữ liệu rất lớn khi gặp ransomware (Ảnh: Internet).
Nguy cơ bị mất dữ liệu rất lớn khi gặp ransomware (Ảnh: Internet).

Những kẻ đứng sau ransomware cũng sử dụng một số thủ đoạn khác, chẳng hạn như trước khi kích hoạt mã hóa chúng sẽ bí mật sao chép các file nhạy cảm và đe dọa đăng công khai các file này nếu không nhận được tiền chuộc. Điều này có thể gây nguy hiểm ngay cả đối với các công ty đã cẩn thận sao lưu dữ liệu của mình như một hàng rào chống lại ransomware. Từ chối trả tiền cho hacker có thể khiến họ bị thiệt hại lớn hơn nhiều so với bản thân khoản tiền chuộc.

Ransomware-as-a-service (RaaS) là gì?

Ransomware-as-a-service là một mô hình kinh tế của tội phạm mạng cho phép các nhà phát triển phần mềm độc hại kiếm tiền từ sản phẩm của mình mà không cần phải tự tay phát tán chúng.

Những tên tội phạm sẽ mua sản phẩm của họ và lây nhiễm cho mục tiêu, sau đó trả cho tác giả một phần số tiền chuộc nhận được. Các tác giả của ransomware gặp tương đối ít rủi ro vì “khách hàng” của họ đã thực hiện hầu hết mọi việc rồi.

Mô hình hoạt động của RaaS (Ảnh: Internet).
Mô hình hoạt động của RaaS (Ảnh: Internet).

Ngày nay lĩnh vực này đang trở nên chuyên môn hóa cao độ. Một bên liên kết sẽ tìm kiếm và lây nhiễm cho các mục tiêu bằng cách sử dụng ransomware thường được “thuê” từ một nhà cung cấp dịch vụ. Nhà cung cấp sau đó sẽ hưởng một phần khoản tiền chuộc thu được từ nạn nhân, còn bên liên kết thường lấy khoảng ba phần tư.

Các bên liên quan khác cũng có thể nhận được một phần “chiến lợi phẩm”, bao gồm tác giả của phần mềm độc hại được sử dụng và những người điều hành cái gọi là “tên miền chống đạn” mà các băng đảng ransomware dùng để ẩn giấu máy chủ của mình. Các máy chủ đó quản lý việc gieo rắc phần mềm độc hại từ xa và trích xuất dữ liệu trước khi kích hoạt mã độc, một quá trình lén lút có thể mất hàng tuần để thực hiện.

Có cả một mạng lưới vận hành các mã độc này (Ảnh: Internet).
Có cả một mạng lưới vận hành các mã độc này (Ảnh: Internet).

Cách đây khoảng 3 năm, ransomware chỉ là những vụ tấn công lẻ tẻ không đáng chú ý, nhưng đến nay loại tội phạm này đã phát triển thành các tổ hợp có độ tinh vi và kỹ năng cao. Chúng tận dụng các diễn đàn web đen để tổ chức hoạt động và tuyển dụng thành viên, đồng thời che giấu danh tính và hành động của mình bằng các công cụ và tiền điện tử tinh vi như Bitcoin, khiến cho hoạt động thanh toán (và cả rửa tiền) khó bị theo dõi hơn.

Vì sao ransomware ngày càng bành trướng trên không gian mạng?

Các cuộc tấn công của ransomware và các biến thể của chúng đang phát triển nhanh chóng để chống lại các công nghệ phòng thủ vì một số lý do như:

  • Rất dễ sở hữu các bộ công cụ có thể được sử dụng để tạo ra các mẫu phần mềm độc hại mới theo yêu cầu
  • Sử dụng các trình thông dịch chung (generic interpreter) để tạo ransomware đa nền tảng (ví dụ như Ransom32 sử dụng Node.js với dữ liệu JavaScript)
  • Sử dụng các kỹ thuật mới, chẳng hạn như mã hóa toàn bộ ổ đĩa thay vì chỉ chọn một vài file đơn lẻ
Loại mã độc này đang lan rộng trên toàn cầu (Ảnh: Internet).
Loại mã độc này đang lan rộng trên toàn cầu (Ảnh: Internet).

Ngày nay những kẻ tấn công thậm chí không cần phải hiểu biết về công nghệ. Nhiều thị trường chợ đen mọc lên trên mạng cung cấp các dòng phần mềm độc hại cho bất kỳ kẻ tấn công nào có nhu cầu, và tạo ra thêm lợi nhuận cho tác giả của các phần mềm đó – những người thường yêu cầu được chia một phần số tiền chuộc.

Dữ liệu từ cơ quan an ninh mạng của EU Enisa được công bố vào tháng 10/2020 cho thấy các nạn nhân của ransomware đã trả hơn 10 tỷ euro tiền chuộc trong năm 2019 – tăng 3,3 tỷ euro so với năm trước đó.

Vào tháng 6/2021, công ty thịt JBS thừa nhận họ đã trả số tiền tương đương 9 triệu euro cho tin tặc sau khi một cuộc tấn công bằng ransomware làm tê liệt hoạt động sản xuất ở Úc và Mỹ.

Vụ tấn công vào JBS đã gây chấn động cả thế giới (Ảnh: Internet).
Vụ tấn công vào JBS đã gây chấn động cả thế giới (Ảnh: Internet).

Andre Nogueira, Giám đốc điều hành của JBS Mỹ cho biết: “Đây là một quyết định rất khó khăn đối với công ty và cá nhân tôi. Tuy nhiên chúng tôi cảm thấy quyết định này phải được thực hiện để ngăn chặn bất kỳ rủi ro tiềm ẩn nào cho khách hàng của mình”.

FBI không khuyến khích trả tiền chuộc, nhưng một lực lượng đặc nhiệm bao gồm các công ty công nghệ và các cơ quan chống tội phạm của Mỹ, Anh và Canada cho rằng sẽ là sai lầm nếu cố gắng cấm hoàn toàn việc thanh toán tiền chuộc.

Nguyên nhân là vì những kẻ tấn công ransomware luôn tìm thấy các lĩnh vực và thành phần trong xã hội dễ trở thành miếng mồi ngon cho chúng. Trả tiền có thể là cách duy nhất để một doanh nghiệp bị tấn công tránh được cảnh phá sản. Tệ hơn nữa, hacker thường nghiên cứu rất kỹ và biết được giới hạn phạm vi tiền bảo hiểm an ninh mạng của nạn nhân. Người ta đã thấy chúng đề cập đến điều này trong các cuộc đàm phán đòi tiền chuộc.

Mức độ hiểu biết về tội phạm như vậy đã làm tăng số tiền chuộc trung bình lên hơn 310.000 USD trong năm 2020, tức tăng 171% so với năm 2019 – theo số liệu của Palo Alto Networks, một thành viên trong lực lượng đặc nhiệm nói trên.

Tại sao rất khó để tìm ra thủ phạm của ransomware?

Việc sử dụng tiền điện tử ẩn danh để thanh toán – chẳng hạn như Bitcoin – gây khó khăn cho việc lần theo dấu vết tội phạm. Các nhóm hacker ngày càng nghĩ ra thêm nhiều kế hoạch tấn công bằng ransomware để kiếm lợi nhuận nhanh chóng.

Sự sẵn có của mã nguồn mở và các nền tảng dễ dùng kiểu drag-and-drop (kéo và thả) để phát triển ransomware đã đẩy nhanh việc tạo ra các biến thể mới và giúp những người mới tập viết code có thể tạo ra mã độc của riêng mình. Thông thường các phần mềm độc hại tiên tiến như ransomware có thiết kế đa hình, cho phép chúng dễ dàng vượt qua hàng rào bảo mật dựa trên chữ ký truyền thống.

Tội phạm mạng ngày càng tinh vi và khó đoán hơn (Ảnh: Internet).
Tội phạm mạng ngày càng tinh vi và khó đoán hơn (Ảnh: Internet).

Làm thế nào để tự bảo vệ mình khỏi ransomware?

Để tránh bị nhiễm loại mã độc này và giảm thiểu thiệt hại nếu chẳng may bị tấn công, bạn hãy làm theo các mẹo sau:

Sao lưu dữ liệu

Cách tốt nhất để tránh nguy cơ bị khóa các file quan trọng là hãy đảm bảo rằng bạn luôn có các bản sao lưu của chúng, tốt nhất là lưu trữ trên đám mây và trên ổ cứng ngoài.

Sao lưu dữ liệu giúp đảm bảo an toàn cho hệ thống (Ảnh: Internet).
Sao lưu dữ liệu giúp đảm bảo an toàn cho hệ thống (Ảnh: Internet).

Bằng cách này, nếu bị nhiễm ransomware thì bạn có thể xóa sạch máy tính hoặc thiết bị của mình và cài đặt lại các file từ bản sao lưu. Điều này giúp bảo vệ dữ liệu và bạn sẽ không cần trả tiền chuộc cho hacker. Các bản sao lưu không ngăn chặn được ransomware, nhưng chúng giúp giảm thiểu rủi ro nếu bị tấn công.

Bảo mật các bản sao lưu

Hãy đảm bảo rằng dữ liệu sao lưu của bạn không thể truy cập được để sửa đổi hoặc xóa khỏi hệ thống nơi lưu trữ nó. Ransomware sẽ tìm kiếm các bản sao lưu dữ liệu và mã hóa hoặc xóa chúng để bạn không thể khôi phục được, vì vậy hãy sử dụng các hệ thống sao lưu không cho phép truy cập trực tiếp vào file.

Trang bị các phần mềm bảo mật và cập nhật thường xuyên

Hãy đảm bảo tất cả các máy tính và thiết bị của bạn được bảo vệ bằng phần mềm bảo mật toàn diện và luôn cập nhật chúng thường xuyên, vì trong mỗi lần cập nhật luôn bao gồm các bản vá lỗi.

Hãy thường xuyên cập nhật phần mềm chống virus của mình (Ảnh: Internet).
Hãy thường xuyên cập nhật phần mềm chống virus của mình (Ảnh: Internet).

Lướt web an toàn

Hãy cẩn thận với mỗi cú nhấp chuột của mình. Không trả lời email và tin nhắn từ những người mà bạn không biết, và chỉ tải xuống ứng dụng từ các nguồn đáng tin cậy. Điều này rất quan trọng vì các tác giả phần mềm độc hại thường sử dụng cách tấn công phi kỹ thuật để khiến bạn cài đặt các mã độc nguy hiểm vào máy.

Chỉ sử dụng các mạng an toàn

Tránh sử dụng mạng Wi-Fi công cộng, vì nhiều mạng trong số chúng không đảm bảo an toàn và hacker có thể tấn công khi bạn sử dụng Internet. Thay vào đó hãy cài đặt VPN (mạng riêng ảo) để cung cấp kết nối Internet an toàn dù bạn ở bất cứ nơi đâu.

Tìm hiểu thông tin thường xuyên

Hãy cập nhật thông tin về các mối đe dọa ransomware mới nhất để biết cần chú ý những gì. Trong trường hợp bạn bị nhiễm ransomware và chưa sao lưu tất cả các file của mình thì hãy tìm hiểu một số công cụ giải mã được các công ty công nghệ cung cấp để giúp đỡ các nạn nhân.

8 bước để đối phó với cuộc tấn công ransomware

Nếu bạn nghi ngờ mình đã bị tấn công bằng ransomware thì điều quan trọng là phải hành động thật nhanh chóng. Dưới đây là một số bước mà bạn có thể thực hiện để giảm thiểu thiệt hại và trở lại công việc bình thường sớm nhất.

1. Cô lập thiết bị bị nhiễm

Nếu ransomware chỉ ảnh hưởng đến một thiết bị thì thiệt hại sẽ không quá nghiêm trọng, nhưng khi nó lây nhiễm vào tất cả các thiết bị của hệ thống thì sẽ là thảm họa khủng khiếp và có thể khiến cả tổ chức bị tê liệt. Sự khác biệt giữa hai trường hợp này thường phụ thuộc vào thời gian phản ứng.

Hãy cách ly nguồn lây ngay lập tức để tránh lây lan (Ảnh: Internet).
Hãy cách ly nguồn lây ngay lập tức để tránh lây lan (Ảnh: Internet).

Để đảm bảo an toàn cho mạng lưới, các ổ đĩa chung và các thiết bị khác, điều bạn cần làm là ngắt kết nối thiết bị bị ảnh hưởng khỏi mạng nội bộ, Internet và các thiết bị khác càng nhanh càng tốt. Làm điều này càng sớm thì khả năng các thiết bị khác bị nhiễm càng ít.

2. Ngăn chặn sự lây lan

Vì ransomware di chuyển rất nhanh chóng và thiết bị mà bạn phát hiện đầu tiên chưa chắc đã là nguồn lây F0 nên việc cô lập ngay thiết bị này cũng không đảm bảo rằng ransomware không tồn tại ở nơi khác trên mạng lưới.

Để hạn chế phạm vi của nó một cách hiệu quả, bạn cần ngắt kết nối tất cả các thiết bị “có nguy cơ”, bao gồm cả những thiết bị hoạt động ngoài cơ sở, vì chỉ cần được kết nối với hệ thống thì chúng sẽ có thể gặp rủi ro dù ở bất kỳ nơi đâu. Tắt các kết nối không dây như Wi-Fi và Bluetooth tại thời điểm này cũng là điều nên làm.

Hãy ngắt kết nối mọi thiết bị có nguy cơ để ngăn chặn sự lây lan (Ảnh: Internet).
Hãy ngắt kết nối mọi thiết bị có nguy cơ để ngăn chặn sự lây lan (Ảnh: Internet).

3. Đánh giá thiệt hại

Để xác định thiết bị nào đã bị nhiễm, hãy kiểm tra các file được mã hóa gần đây có tên mở rộng (extension) bất thường và tìm kiếm các báo cáo về tên file lạ hoặc người dùng gặp sự cố khi mở file. Nếu bạn phát hiện ra bất kỳ thiết bị nào chưa được mã hóa hoàn toàn thì nên cách ly và tắt chúng đi để ngăn chặn cuộc tấn công và giảm nguy cơ mất thêm dữ liệu.

Mục tiêu của bạn là tạo một danh sách đầy đủ về tất cả các hệ thống bị ảnh hưởng, bao gồm thiết bị lưu trữ mạng, lưu trữ đám mây, ổ cứng ngoài (bao gồm cả ổ USB), máy tính xách tay, điện thoại thông minh và bất kỳ vectơ nào có thể là phương tiện để mã độc thâm nhập.

Tại thời điểm này, điều quan trọng là hãy khóa hết hoặc hạn chế hết mức sự chia sẻ tài nguyên để tạm dừng quy trình mã hóa đang diễn ra và giữ cho mã độc không lây lan thêm trong lúc khắc phục sự cố.

Nhưng trước khi làm điều này, bạn có thể kiểm tra các lượt chia sẻ bị mã hóa để tìm một vài thông tin hữu ích: nếu một thiết bị nào đó có số lượng file đang mở cao hơn nhiều so với bình thường thì rất có thể đó chính là nguồn lây F0.

Tạm thời chặn chia sẻ tài nguyên trong mạng nội bộ để tránh lây lan mã độc (Ảnh: Internet).
Tạm thời chặn chia sẻ tài nguyên trong mạng nội bộ để tránh lây lan mã độc (Ảnh: Internet).

4. Xác định nguồn lây F0

Việc theo dõi lây nhiễm sẽ trở nên dễ dàng hơn nhiều nếu bạn xác định được nguồn gốc. Để làm như vậy, hãy kiểm tra mọi cảnh báo từ các chương trình chống virus, EDR (công cụ phát hiện và phản ứng với sự cố ở điểm cuối) hoặc bất kỳ nền tảng giám sát nào của bạn.

Vì hầu hết ransomware xâm nhập vào mạng thông qua các liên kết và file đính kèm trong email đòi hỏi người dùng phải thực hiện một hành động nào đó, nên hãy hỏi các thành viên trong mạng của bạn về hoạt động gần đây (chẳng hạn như mở email đáng ngờ).

Email là phương thức phát tán mã độc phổ biến nhất (Ảnh: Internet).
Email là phương thức phát tán mã độc phổ biến nhất (Ảnh: Internet).

Cuối cùng, việc xem xét thuộc tính của từng file cũng có thể cung cấp thông tin quan trọng, chẳng hạn như người được liệt kê là chủ sở hữu của nó có thể chính là đầu mối. Tuy nhiên hãy luôn nhớ rằng có thể có nhiều hơn một nguồn lây F0.

5. Xác định ransomware

Trước khi tiếp tục, điều quan trọng là phải biết được biến thể ransomware mà bạn đang gặp phải là gì. Một cách để tìm hiểu điều này là truy cập trang web của No More Ransom, một sáng kiến toàn cầu với bộ công cụ giúp bạn giải phóng dữ liệu của mình, trong đó có công cụ Crypto Sheriff: chỉ cần tải lên một trong các file của bạn bị mã hóa và nó sẽ quét để tìm kết quả phù hợp.

Trang web của No More Ransom hỗ trợ các nạn nhân bị nhiễm mã độc (Ảnh: Internet).
Trang web của No More Ransom hỗ trợ các nạn nhân bị nhiễm mã độc (Ảnh: Internet).

Bạn cũng có thể sử dụng thông tin trong ghi chú đòi tiền chuộc: nếu nó không nói rõ loại biến thể ransomware thì bạn có thể sử dụng các công cụ tìm kiếm để tra địa chỉ email hoặc chính ghi chú đó. Khi đã xác định được ransomware và tìm hiểu về hành vi của nó, bạn nên thông báo cho tất cả các thành viên không bị ảnh hưởng trong mạng của mình càng sớm càng tốt để họ biết cách phát hiện các dấu hiệu lây nhiễm.

6. Báo cáo cho cơ quan chức năng

Ngay sau khi phát hiện ransomware, bạn nên liên hệ với cơ quan chức năng vì một số lý do sau.

Trước hết, tấn công bằng ransomware là hành vi vi phạm pháp luật, và giống như bất kỳ tội phạm nào khác, nó phải được báo cáo cho các cơ quan có thẩm quyền.

Hãy báo cáo với cơ quan chức năng khi bị tấn công (Ảnh: Internet).
Hãy báo cáo với cơ quan chức năng khi bị tấn công (Ảnh: Internet).

Thứ hai, các cơ quan thực thi pháp luật có thể sử dụng quyền hành và các công cụ để truy tìm thủ phạm mà hầu hết các tổ chức thông thường không thể có được. Chính quyền có thể tận dụng mối quan hệ với các lực lượng luật pháp quốc tế để giúp tìm ra dữ liệu bị mất và đưa thủ phạm ra trước công lý.

Cuối cùng, theo các điều khoản của Quy định chung về Bảo mật Dữ liệu (GDPR), nếu không thông báo cho Văn phòng Ủy viên Thông tin của Vương quốc Anh (ICO) trong vòng 72 giờ sau khi xảy ra vụ tấn công liên quan đến dữ liệu của công dân thuộc Liên minh Châu Âu, thì doanh nghiệp đó có thể bị phạt rất nặng.

7. Đánh giá các bản sao lưu

Giờ là lúc bắt đầu quá trình khôi phục. Cách nhanh nhất và dễ nhất là khôi phục lại hệ thống của bạn từ bản sao lưu.

Bản sao lưu giúp khôi phục lại dữ liệu hệ thống (Ảnh: Internet).
Bản sao lưu giúp khôi phục lại dữ liệu hệ thống (Ảnh: Internet).

Hãy dùng một bản sao lưu hoàn chỉnh gần đây nhất và không bị nhiễm mã độc, tiếp đó là sử dụng các giải pháp chống virus để đảm bảo tất cả các hệ thống và thiết bị bị nhiễm đều được xóa sạch ransomware, nếu không thì nó sẽ tiếp tục khóa hệ thống và mã hóa các file của bạn, làm hỏng luôn cả bản sao lưu.

Sau khi tất cả mọi dấu vết của phần mềm độc hại đã được loại bỏ, bạn có thể khôi phục hệ thống của mình từ bản sao lưu này. Sau khi xác nhận rằng tất cả dữ liệu đã được khôi phục và tất cả các ứng dụng hay quy trình đều đã chạy bình thường, bạn có thể làm việc trở lại như trước.

Thật không may là nhiều tổ chức không nhận ra tầm quan trọng của việc tạo và giữ các bản sao lưu, đến khi cần thì lại chẳng có. Vì ransomware hiện nay ngày càng tinh vi và “sống dai” nên một số người tuy đã có bản sao lưu nhưng vẫn bị ransomware phá hỏng hoặc mã hóa, khiến chúng trở nên hoàn toàn vô dụng.

8. Tìm hiểu những cách khác nhau để giải mã

Nếu bạn không có bản sao lưu thì vẫn có cơ hội để lấy lại dữ liệu của mình. Bạn có thể tìm thấy ngày càng nhiều khóa giải mã miễn phí tại No More Ransom.

Trang web No More Ransom có cung cấp các khóa giải mã (Ảnh: Internet).
Trang web No More Ransom có cung cấp các khóa giải mã (Ảnh: Internet).

Nếu tìm được một khóa phù hợp với loại ransomware đang bị nhiễm thì bạn có thể sử dụng nó để mở khóa dữ liệu, với điều kiện đã xóa tất cả dấu vết của phần mềm độc hại khỏi hệ thống. Tuy nhiên ngay cả khi bạn may mắn tìm thấy khóa giải mã thì vẫn có thể mất nhiều giờ hoặc nhiều ngày để khắc phục sự cố.

Thật không may, nếu bạn không có bản sao lưu nào dùng được và không thể tìm thấy khóa giải mã thì lựa chọn duy nhất là chịu mất hết và làm lại từ đầu. Việc này sẽ không nhanh chóng và rất tốn kém, nhưng một khi đã hết sự lựa chọn thì đó là điều tốt nhất mà bạn có thể làm.

Tại sao không trả tiền chuộc luôn cho xong?

Vì sao không nên trả tiền chuộc cho tin tặc? (Ảnh: Internet).
Vì sao không nên trả tiền chuộc cho tin tặc? (Ảnh: Internet).

Khi nghĩ đến cảnh phải mất vài tuần hoặc vài tháng để khôi phục lại hệ thống, bạn có thể sẽ chọn cách trả tiền chuộc cho dễ. Nhưng có một số lý do mà bạn không nên làm điều này.

Chưa chắc bạn sẽ nhận được khóa giải mã

Khi thực hiện giao dịch với ransomware, kết quả cuối cùng sẽ phụ thuộc vào “lương tâm” của bọn tội phạm. Nhiều cá nhân và tổ chức đã trả tiền chuộc nhưng không nhận lại được gì, mất hàng đống tiền mà sau đó vẫn phải xây dựng lại hệ thống từ đầu.

Bạn có thể bị đòi tiền chuộc thêm nhiều lần nữa

Sau khi bạn trả tiền chuộc, bọn tội phạm đứng sau ransomware sẽ biết bạn rất dễ khuất phục. Những lần sau chúng có thể sẽ đòi nhiều tiền hơn để đưa khóa giải mã.

Bạn có thể nhận được một khóa giải mã vô dụng

Những kẻ tạo ra mã độc tống tiền không làm trong lĩnh vực khôi phục file, mà chúng chỉ đang tìm cách kiếm tiền mà thôi. Nói cách khác, trình giải mã mà bạn nhận được có thể chỉ “vừa đủ xài” để bọn tội phạm nói rằng chúng đã thực hiện đúng thỏa thuận.

Khóa giải mã do tin tặc cung cấp chưa chắc là "hàng xịn" (Ảnh: Internet).
Khóa giải mã do tin tặc cung cấp chưa chắc là “hàng xịn” (Ảnh: Internet).

Hơn nữa, bản thân quá trình mã hóa có thể làm hỏng một số file đến mức không thể sửa chữa được. Nếu điều đó xảy ra thì ngay cả khóa giải mã tốt cũng không thể mở các file của bạn – chúng sẽ bị mất vĩnh viễn.

Bạn sẽ tự biến mình thành miếng mồi ngon

Sau khi bạn trả tiền chuộc, bọn tội phạm sẽ biết bạn là một miếng mồi ngon. Một tổ chức đã từng trả tiền chuộc sẽ trở thành mục tiêu hấp dẫn hơn so với các tổ chức mới chưa chắc đã chịu trả tiền.

Chính nhóm tội phạm đó có thể sẽ tấn công lại sau một hai năm, hoặc thông báo cho những tên khác biết rằng bạn là một mục tiêu “dễ xơi” như thế nào.

Trả tiền chuộc đồng nghĩa với tài trợ cho hoạt động tội phạm

Giả sử bạn trả tiền chuộc, nhận được khóa giải mã tốt và khôi phục lại mọi thứ – có thể gọi đó là tình huống “tốt nhất”. Nhưng khi trả tiền chuộc tức là bạn đã tài trợ cho các hoạt động tội phạm.

Không trả tiền chuộc là cách để chiến đấu chống lại ransomware (Ảnh: Internet).
Không trả tiền chuộc là cách để chiến đấu chống lại ransomware (Ảnh: Internet).

Chưa nói đến vấn đề đạo đức thì rõ ràng bạn cũng đang củng cố cho ý tưởng rằng ransomware là một mô hình kinh doanh có hiệu quả, vì nếu không ai trả tiền chuộc thì bạn có nghĩ rằng hacker sẽ tiếp tục phát tán mã độc không?

Được tiếp sức bởi số tiền chuộc béo bở, những tên tội phạm này sẽ tiếp tục tàn phá các doanh nghiệp “ngây thơ” và dùng số tiền đó để phát triển các dòng ransomware mới hơn, độc hơn. Biết đâu một trong số đó sẽ lẻn vào được thiết bị của bạn trong tương lai?

Trên đây là những vấn đề cơ bản về ransomware – mối đe dọa an ninh mạng đang ngày càng phổ biến và nguy hiểm. Ý kiến của bạn như thế nào? Hãy để lại bình luận ở dưới nhé!

Mời bạn xem thêm những bài viết liên quan của BlogAnChoi:

Hãy đón xem BlogAnChoi mỗi ngày để nhận được nhiều thông tin thú vị cho cuộc sống bạn nhé!

Xem thêm

Xác thực 2 yếu tố là gì và cơ chế hoạt động như thế nào?

Vấn đề về bảo mật hiện nay đang là một trong những bước tiến rất quan trọng đối với thế giới. Để tránh các vấn đề về rò rỉ thông tin hay sự xâm nhập của các thành phần xấu ở không gian mạng thì người ta đưa ra rất nhiều cách thức, trong đó phương pháp bảo mật ...
Theo dõi bình luận
Thông báo về
guest
1 Bình luận
Bình chọn nhiều nhất
Mới nhất Cũ nhất
Phản hồi nội tuyến
Xem tất cả bình luận
Mộc Chi

Cám ơn tác giả nhiềuuuuuuuu