tek4

Ransomware là gì? Tại sao Bitcoin lại làm bùng nổ cho sự phát triển của Ransomware?

by - September. 21, 2021
Kiến thức
<p style="text-align: justify;">Đ&atilde; bao giờ bạn tự hỏi Ransomware l&agrave; g&igrave;? Đ&acirc;y l&agrave; một trong những c&acirc;u hỏi n&oacute;ng trong lĩnh vực <a href="https://tek4.vn/kien-thuc/an-toan-thong-tin/">an to&agrave;n th&ocirc;ng tin</a> thời gian gần đ&acirc;y. Bạn đ&atilde; nghe về n&oacute; rất nhiều nơi, tr&ecirc;n b&aacute;o đ&agrave;i, tại văn ph&ograve;ng hoặc trong một cuộc tr&ograve; chuyện với một người bạn l&agrave;m kỹ thuật. Thậm ch&iacute; bạn đ&atilde; từng gặp một cửa sổ bật l&ecirc;n tr&ecirc;n m&agrave;n h&igrave;nh m&aacute;y t&iacute;nh của m&igrave;nh với cảnh b&aacute;o về việc nhiễm ransomware như ở b&ecirc;n dưới.</p> <p style="text-align: justify;"><img class=" wp-image-4282 aligncenter" src="https://tek4.vn/wp-content/uploads/2019/03/Ransomware-l&agrave;-g&igrave;_1.jpg" alt="Ransomware l&agrave; g&igrave;" width="459" height="346" /></p> <p style="text-align: justify;">Ch&agrave;, nếu bạn t&ograve; m&ograve; muốn t&igrave;m hiểu tất cả những điều cần biết về ransomware, th&igrave; bạn đ&atilde; đến đ&uacute;ng nơi. Trong b&agrave;i viết n&agrave;y ch&uacute;ng ta sẽ c&ugrave;ng tek4.vn thảo luận vấn đề ransomware l&agrave; g&igrave;, c&aacute;c dạng kh&aacute;c nhau của Ransomware, nguồn gốc, c&aacute;ch thức l&acirc;y nhiễm, mục ti&ecirc;u của ransomware v&agrave; quan trọng nhất l&agrave; phải l&agrave;m g&igrave; để bảo vệ m&aacute;y t&iacute;nh hay chiếc điện thoại th&ocirc;ng minh của m&igrave;nh khỏi Ransomware.</p> <h2 style="text-align: justify;">1. Ransomware l&agrave; g&igrave;?</h2> <p style="text-align: justify;">Phần mềm tống tiền (Ransom malware hay Ransomware) l&agrave; một loại phần mềm độc hại ngăn người d&ugrave;ng truy cập v&agrave;o hệ thống hoặc dữ liệu c&aacute; nh&acirc;n của họ v&agrave; y&ecirc;u cầu thanh to&aacute;n tiền chuộc để lấy lại quyền truy cập.</p> <p style="text-align: justify;">Một số ransomware sử dụng c&aacute;c kỹ thuật đơn giản để kh&oacute;a hệ thống như đổi quyền hoặc di chuyển dữ liệu. Với c&aacute;c ransomware dạng n&agrave;y người d&ugrave;ng c&oacute; thể lấy lại được dữ liệu v&agrave; quyền truy cập tương đối đơn giản. Tuy nhi&ecirc;n, hiện nay đa phần c&aacute;c ransomware đều sử dụng c&aacute;c cơ chế n&acirc;ng cao bằng mật m&atilde;, trong đ&oacute; n&oacute; m&atilde; h&oacute;a c&aacute;c tệp v&agrave; dữ liệu của nạn nh&acirc;n khiến ch&uacute;ng kh&ocirc;ng thể truy cập được bằng c&aacute;c thuật to&aacute;n mật m&atilde; phức tạp m&agrave; kh&ocirc;ng thể giải được nếu kh&ocirc;ng c&oacute; kh&oacute;a để giải m&atilde;, v&agrave; y&ecirc;u cầu thanh to&aacute;n một khoản tiền chuộc để lấy được kh&oacute;a giải m&atilde; n&agrave;y.</p> <p style="text-align: justify;">Ransomware rất nguy hiểm bởi, một ransomware được triển khai đ&uacute;ng c&aacute;ch th&igrave; việc kh&ocirc;i phục được dữ liệu m&agrave; kh&ocirc;ng c&oacute; kh&oacute;a giải m&atilde; l&agrave; một vấn đề v&ocirc; c&ugrave;ng kh&oacute; khăn. Th&ecirc;m v&agrave;o đ&oacute; rất kh&oacute; để theo d&otilde;i c&aacute;c d&ograve;ng tiền kỹ thuật số được sử dụng cho việc trả tiền chuộc, khiến việc truy t&igrave;m v&agrave; truy tố thủ phạm trở n&ecirc;n kh&oacute; khăn.</p> <h2 style="text-align: justify;">2. Ransomware l&acirc;y nhiễm từ đ&acirc;u?</h2> <p style="text-align: justify;">Giống như đa phần c&aacute;c loại m&atilde; độc kh&aacute;c, ransomware c&oacute; thể l&acirc;y nhiễm v&agrave;o m&aacute;y t&iacute;nh theo nhiều con đường kh&aacute;c nhau. Một trong những phương ph&aacute;p phổ biến nhất hiện nay l&agrave; th&ocirc;ng qua thư r&aacute;c độc hại, hoặc malspam, đ&acirc;y l&agrave; c&aacute;c email kh&ocirc;ng mong muốn được sử dụng để ph&acirc;n phối v&agrave; ph&aacute;t t&aacute;n c&aacute;c phần mềm độc hại. Email n&agrave;y thường chứa c&aacute;c tệp đ&iacute;nh k&egrave;m nhằm bẫy người d&ugrave;ng tải về v&agrave; mở ra, chẳng hạn như c&aacute;c t&agrave;i liệu PDF hoặc Word hoặc n&oacute; cũng c&oacute; thể chứa c&aacute;c li&ecirc;n kết đến c&aacute;c trang web độc hại. C&aacute;c email n&agrave;y sử dụng kỹ nghệ x&atilde; hội để lừa mọi người mở tệp đ&iacute;nh k&egrave;m hoặc nhấp v&agrave;o li&ecirc;n kết bằng c&aacute;ch giả mạo một tổ chức đ&aacute;ng tin cậy hoặc một người bạn của nạn nh&acirc;n thậm ch&iacute; đặt t&ecirc;n l&agrave; Bộ c&ocirc;ng an để dọa người d&ugrave;ng trả cho họ một khoản tiền để mở kh&oacute;a dữ liệu.</p> <p style="text-align: justify;">Một phương ph&aacute;p l&acirc;y nhiễm phổ biến kh&aacute;c, nổ rộ v&agrave;o năm 2016, l&agrave; sử dụng c&aacute;c quảng c&aacute;o độc hại. Kẻ tấn c&ocirc;ng sử dụng quảng c&aacute;o trực tuyến để ph&acirc;n phối phần mềm độc hại m&agrave; kh&ocirc;ng cần nhiều tương t&aacute;c với người d&ugrave;ng. Trong khi duyệt web, ngay cả c&aacute;c trang web hợp ph&aacute;p, người d&ugrave;ng c&oacute; thể được chuyển hướng đến c&aacute;c m&aacute;y chủ độc hại m&agrave; kh&ocirc;ng cần nhấp v&agrave;o quảng c&aacute;o. C&aacute;c m&aacute;y chủ n&agrave;y liệt k&ecirc; chi tiết về m&aacute;y t&iacute;nh nạn nh&acirc;n thậm ch&iacute; cả vị tr&iacute; của ch&uacute;ng, sau đ&oacute; chọn phần mềm độc hại ph&ugrave; hợp nhất để ph&aacute;t t&aacute;n đến m&aacute;y nạn nh&acirc;n, trong trường hợp n&agrave;y l&agrave; ransomware. Quảng c&aacute;o độc hại thường sử dụng c&aacute;c iframe hoặc c&aacute;c th&agrave;nh phần kh&ocirc;ng nh&igrave;n thấy được trong trang web để thực hiện c&aacute;c chuyển hướng hoặc thực thi c&aacute;c h&agrave;nh vi độc hại. C&aacute;c iframe chuyển hướng đến một trang đ&iacute;ch chứa c&aacute;c m&atilde; khai th&aacute;c v&agrave; m&atilde; độc tấn c&ocirc;ng hệ thống. Tất cả qu&aacute; tr&igrave;nh n&agrave;y xảy ra m&agrave; người d&ugrave;ng kh&ocirc;ng hề hay biết, đ&oacute; l&agrave; l&yacute; do tại sao n&oacute; thường được gọi l&agrave; drive by download (tự động tải về).</p> <h2>3.&nbsp; Một số dạng Ransomware</h2> <p style="text-align: justify;">C&aacute;c cuộc tấn c&ocirc;ng bằng ransomware thường được thực hiện bằng c&aacute;ch sử dụng Trojan, x&acirc;m nhập hệ thống th&ocirc;ng qua c&aacute;c tệp đ&iacute;nh k&egrave;m độc hại, li&ecirc;n kết được nh&uacute;ng trong email lừa đảo hoặc lỗ hổng trong dịch vụ mạng. Sau khi l&acirc;y nhiễm v&agrave;o hệ thống, chương tr&igrave;nh n&agrave;y sau đ&oacute; sẽ thực thi một payload ch&iacute;nh c&oacute; chức năng kh&oacute;a hệ thống theo một số c&aacute;ch n&agrave;o đ&oacute;, hoặc đưa ra một tuy&ecirc;n bố đe dọa kh&ocirc;ng c&oacute; thật như kh&oacute;a hệ thống hoặc tồn tại m&atilde; độc trong hệ thống (scareware), hiển thị cảnh b&aacute;o giả mạo mạo danh một cơ quan thực thi ph&aacute;p luật về việc hệ thống đ&atilde; được sử dụng cho c&aacute;c hoạt động bất hợp ph&aacute;p, chứa c&aacute;c nội dung khi&ecirc;u d&acirc;m hoặc vi phạm bản quyền.</p> <p>Về cơ bản c&oacute; thể chia ransomware th&agrave;nh ba dạng ch&iacute;nh, từ mức độ nghi&ecirc;m trọng từ nhẹ đến mức cực kỳ nguy hiểm bao gồm:</p> <h3><strong id="scareware">Scareware</strong></h3> <p style="text-align: justify;">Đ&acirc;y l&agrave; dạng &iacute;t g&acirc;y nguy hại nhất. N&oacute; l&agrave; c&aacute;c phần mềm bảo mật giả mạo hoặc c&aacute;c th&ocirc;ng b&aacute;o hỗ trợ c&ocirc;ng nghệ giả mạo. Bạn c&oacute; thể nhận được một th&ocirc;ng b&aacute;o bật l&ecirc;n tuy&ecirc;n bố rằng phần mềm độc hại đ&atilde; được ph&aacute;t hiện tr&ecirc;n hệ thống v&agrave; c&aacute;ch duy nhất để loại bỏ n&oacute; l&agrave; thanh to&aacute;n trả ph&iacute; cho một địa chỉ n&agrave;o đ&oacute;. Nhưng tr&ecirc;n thực tế th&igrave; kh&ocirc;ng hề tồn tại phần mềm độc hại n&agrave;y. Đ&oacute; l&agrave; c&aacute;c th&ocirc;ng b&aacute;o giả mạo v&agrave; nếu bạn kh&ocirc;ng l&agrave;m g&igrave;, rất c&oacute; thể bạn sẽ tiếp tục bị l&agrave;m phiền với c&aacute;c cửa sổ bật l&ecirc;n, nhưng về cơ bản c&aacute;c tệp v&agrave; dữ liệu của bạn vẫn an to&agrave;n. N&oacute; chỉ g&acirc;y đ&ocirc;i ch&uacute;t phiền phức v&agrave; kh&oacute; chịu. Một chương tr&igrave;nh phần mềm an ninh mạng hợp ph&aacute;p sẽ kh&ocirc;ng thu h&uacute;t kh&aacute;ch h&agrave;ng theo c&aacute;ch n&agrave;y. Th&ocirc;ng thường c&aacute;c phần mềm bảo mật thực sự thường l&agrave; miễn ph&iacute; ho&agrave;n to&agrave;n hoặc trả ph&iacute; định kỳ. Rất &iacute;t khi một phần mềm bảo mật n&agrave;o đ&ograve;i thanh to&aacute;n của người d&ugrave;ng theo c&aacute;ch n&agrave;y.</p> <p style="text-align: justify;"><img class="wp-image-4284 aligncenter" src="https://tek4.vn/wp-content/uploads/2019/03/scareware-1.jpg" alt="Scareware" width="598" height="365" /></p> <h3 style="text-align: justify;">C&aacute;c phần mềm kh&oacute;a m&agrave;n h&igrave;nh</h3> <p style="text-align: justify;">C&aacute;c phần mềm dạng n&agrave;y nguy hiểm hơn so với scareware. Khi ransomware kh&oacute;a m&agrave;n h&igrave;nh xuất hiện tr&ecirc;n m&aacute;y t&iacute;nh của bạn, điều đ&oacute; c&oacute; nghĩa l&agrave; m&aacute;y t&iacute;nh của bạn đ&atilde; bị đ&oacute;ng băng ho&agrave;n to&agrave;n. Khi khởi động m&aacute;y t&iacute;nh, một th&ocirc;ng b&aacute;o sẽ xuất hiện, thường đi k&egrave;m với một con dấu FBI hoặc Bộ Tư ph&aacute;p Hoa Kỳ tr&ocirc;ng kh&aacute; hợp thức n&oacute;i rằng hoạt động bất hợp ph&aacute;p đ&atilde; được ph&aacute;t hiện tr&ecirc;n m&aacute;y t&iacute;nh của bạn v&agrave; bạn phải trả tiền phạt. Tuy nhi&ecirc;n, FBI sẽ kh&ocirc;ng đ&oacute;ng băng m&aacute;y t&iacute;nh của bạn hoặc y&ecirc;u cầu thanh to&aacute;n cho hoạt động bất hợp ph&aacute;p. Nếu họ nghi ngờ bạn vi phạm bản quyền, nội dung khi&ecirc;u d&acirc;m trẻ em hoặc tội phạm mạng kh&aacute;c, họ sẽ th&ocirc;ng qua c&aacute;c k&ecirc;nh ph&aacute;p l&yacute; ph&ugrave; hợp. Tại Việt Nam chưa c&oacute; ransomware n&agrave;o mạo danh Bộ C&ocirc;ng an hay bất cứ cơ quan n&agrave;o kh&aacute;c.</p> <p><img class=" wp-image-4283 aligncenter" src="https://tek4.vn/wp-content/uploads/2019/03/Ransomware-l&agrave;-g&igrave;_2.jpg" alt="Phần mềm kh&oacute;a m&agrave;n h&igrave;nh" width="565" height="397" /></p> <h3>Ransomware m&atilde; h&oacute;a</h3> <p style="text-align: justify;">Đ&acirc;y l&agrave; những phần mềm lấy c&aacute;c dữ liệu v&agrave; m&atilde; h&oacute;a ch&uacute;ng, y&ecirc;u cầu thanh to&aacute;n để giải m&atilde; v&agrave; ph&acirc;n phối lại kh&oacute;a cho nạn nh&acirc;n. Loại ransomware n&agrave;y đặc biệt nguy hiểm bởi v&igrave; một dữ liệu bị m&atilde; h&oacute;a sẽ kh&ocirc;ng c&oacute; phần mềm bảo mật hoặc kh&ocirc;i phục hệ thống n&agrave;o c&oacute; thể kh&ocirc;i phục lại được. Với c&aacute;c phần mềm kh&oacute;a m&agrave;n h&igrave;nh, việc đơn giản l&agrave; bạn c&agrave;i đặt lại hệ thống, hoặc sử dụng c&aacute;c phần mềm recovery lại dữ liệu l&agrave; c&oacute; thể xử l&yacute; được nhưng với c&aacute;c ransomware m&atilde; h&oacute;a điều duy nhất c&oacute; thể tr&ocirc;ng đợi l&agrave; trả tiền chuộc v&agrave; cầu mong nhận lại được kh&oacute;a giải m&atilde;. Trong trường hợp xấu, ngay cả khi bạn trả tiền, kh&ocirc;ng c&oacute; g&igrave; đảm bảo tội phạm mạng sẽ trả lại cho bạn những dữ liệu đ&oacute;.</p> <p style="text-align: justify;"><img class=" wp-image-4285 aligncenter" src="https://tek4.vn/wp-content/uploads/2019/03/petya-ransom-note.jpg" alt="petya-ransom" width="528" height="308" /></p> <h2>4. Ransomware hoạt động như thế n&agrave;o?</h2> <p style="text-align: justify;">Như ở phần tr&ecirc;n ch&uacute;ng ta đ&atilde; biết rằng c&oacute; thể ph&acirc;n ransomware th&agrave;nh 3 dạng ch&iacute;nh v&agrave; c&aacute;ch thức hoạt động của mỗi dạng l&agrave; kh&aacute;c nhau. Về mặt bản chất tất cả c&aacute;c ransomware đểu thực hiện chức năng hiển thị c&aacute;c th&ocirc;ng b&aacute;o đe dọa v&agrave; đều c&oacute; cơ chế l&acirc;y nhiễm chung gần giống như c&aacute;c loại m&atilde; độc kh&aacute;c như virus, trojan hay worm. Tuy nhi&ecirc;n, phần payload ch&iacute;nh cho c&aacute;c dạng n&agrave;y c&oacute; nhiều kh&aacute;c biệt.</p> <p style="text-align: justify;">Đối với scareware, dạng phần mềm đưa ra c&aacute;c cảnh b&aacute;o đe dọa giả mạo như việc n&acirc;ng cấp bảo mật hay m&atilde; độc trong hệ thống, chức năng ch&iacute;nh của n&oacute; chỉ l&agrave; đưa ra c&aacute;c bảng th&ocirc;ng b&aacute;o, do đ&oacute; dạng phần mềm n&agrave;y kh&aacute; đơn giản, chỉ cần một số cơ chế chạy ẩn tiến tr&igrave;nh hoặc bật pop up v&agrave;o thời điểm nhất định.</p> <p style="text-align: justify;">Một số payload chỉ đơn giản l&agrave; một ứng dụng được thiết kế để kh&oacute;a hoặc hạn chế hệ thống cho đến khi thanh to&aacute;n được thực hiện, th&ocirc;ng thường bằng c&aacute;ch đặt Windows Shell về ch&iacute;nh n&oacute;, hoặc thậm ch&iacute; sửa đổi bản ghi khởi động ch&iacute;nh (Master Boot Record - MBR) hoặc bảng ph&acirc;n v&ugrave;ng để ngăn hệ điều h&agrave;nh khởi động cho đến khi n&oacute; được sửa chữa.</p> <p style="text-align: justify;">C&aacute;c payload m&atilde; h&oacute;a l&agrave; dạng tinh vi nhất, với nhiều module sử dụng c&aacute;c loại mật m&atilde; mạnh để m&atilde; h&oacute;a c&aacute;c tệp của nạn nh&acirc;n theo c&aacute;ch m&agrave; chỉ c&oacute; t&aacute;c giả phần mềm độc hại mới c&oacute; kh&oacute;a giải m&atilde; cần thiết.</p> <p style="text-align: justify;">Kh&aacute;i niệm về m&atilde; h&oacute;a tập tin ransomware được ph&aacute;t minh v&agrave; triển khai bởi Young v&agrave; Yung tại Đại học Columbia v&agrave; đ&atilde; được tr&igrave;nh b&agrave;y tại hội nghị IEEE Security &amp; Privacy năm 1996. N&oacute; được gọi l&agrave; tống tiền bằng mật m&atilde; được lấy cảm hứng từ nh&acirc;n vật giả tưởng trong bộ phim Alien. Tống tiền bằng mật m&atilde; l&agrave; giao thức ba bước được thực hiện giữa kẻ tấn c&ocirc;ng v&agrave; nạn nh&acirc;n.</p> <p style="text-align: justify;"><strong>Bước 1.</strong> [Kẻ tấn c&ocirc;ng &rarr; Nạn nh&acirc;n] Kẻ tấn c&ocirc;ng tạo ra một cặp kh&oacute;a v&agrave; đặt kh&oacute;a c&ocirc;ng khai tương ứng v&agrave;o phần mềm độc hại v&agrave; ph&aacute;t t&aacute;n đến nạn nh&acirc;n.<br /><strong>Bước 2.</strong> [Nạn nh&acirc;n &rarr; Kẻ tấn c&ocirc;ng] Để thực hiện cuộc tấn c&ocirc;ng tống tiền bằng mật m&atilde;, phần mềm độc hại tạo ra một kh&oacute;a đối xứng ngẫu nhi&ecirc;n v&agrave; m&atilde; h&oacute;a dữ liệu của nạn nh&acirc;n bằng kh&oacute;a n&agrave;y. N&oacute; sử dụng kh&oacute;a chung trong phần mềm độc hại để m&atilde; h&oacute;a kh&oacute;a đối xứng. Điều n&agrave;y được gọi l&agrave; m&atilde; h&oacute;a lai v&agrave; n&oacute; dẫn đến một bản m&atilde; nhỏ kh&ocirc;ng đối xứng cũng như bản m&atilde; đối xứng của dữ liệu của nạn nh&acirc;n. N&oacute; hủy bỏ kh&oacute;a đối xứng v&agrave; dữ liệu văn bản gốc để ngăn chặn việc phục hồi. N&oacute; đưa ra một th&ocirc;ng b&aacute;o cho người d&ugrave;ng bao gồm bản m&atilde; kh&ocirc;ng đối xứng v&agrave; c&aacute;ch trả tiền chuộc. Nạn nh&acirc;n gửi mật m&atilde; bất đối xứng v&agrave; tiền điện tử cho kẻ tấn c&ocirc;ng.<br /><strong>Bước 3.</strong> [Kẻ tấn c&ocirc;ng &rarr; Nạn nh&acirc;n] Kẻ tấn c&ocirc;ng nhận được khoản thanh to&aacute;n, giải m&atilde; mật m&atilde; bất đối xứng bằng kh&oacute;a ri&ecirc;ng của kẻ tấn c&ocirc;ng v&agrave; gửi kh&oacute;a đối xứng cho nạn nh&acirc;n. Nạn nh&acirc;n giải m&atilde; dữ liệu được m&atilde; h&oacute;a bằng kh&oacute;a đối xứng cần thiết.</p> <p style="text-align: justify;">Kh&oacute;a đối xứng được tạo ngẫu nhi&ecirc;n v&agrave; do đ&oacute; chỉ sử dụng được cho từng nạn nh&acirc;n m&agrave; kh&ocirc;ng thể sử dụng cho c&aacute;c nạn nh&acirc;n kh&aacute;c. Kh&oacute;a ri&ecirc;ng của kẻ tấn c&ocirc;ng chỉ do kẻ tấn c&ocirc;ng nắm giữ v&agrave; nạn nh&acirc;n chỉ cần gửi một bản m&atilde; rất nhỏ (kh&oacute;a đối xứng được m&atilde; h&oacute;a) cho kẻ tấn c&ocirc;ng nhằm nhận được kh&oacute;a đối xứng đ&atilde; được giải m&atilde; do đ&oacute; gần như kh&ocirc;ng thể kh&ocirc;i phục được kh&oacute;a v&agrave; dữ liệu nếu kẻ tấn c&ocirc;ng kh&ocirc;ng giải m&atilde; n&oacute;. Do đ&oacute;, ransomware dạng n&agrave;y đặc biệt nguy hiểm.</p> <p style="text-align: justify;">Mục ti&ecirc;u cuối c&ugrave;ng của ransomware lu&ocirc;n l&agrave; việc buộc nạn nh&acirc;n phải trả tiền để loại bỏ n&oacute; v&agrave; giải m&atilde; lại dữ liệu. Tuy nhi&ecirc;n việc giải m&atilde; dữ liệu c&oacute; thể kh&ocirc;ng thực sự xảy ra, kẻ tấn c&ocirc;ng c&oacute; thể nhận tiền nhưng kh&ocirc;ng giải m&atilde; dữ liệu, kh&ocirc;ng c&oacute; điều g&igrave; chắc chắn trong trường hợp n&agrave;y. Kẻ tấn c&ocirc;ng cũng c&oacute; thể cung cấp một chương tr&igrave;nh c&oacute; thể giải m&atilde; c&aacute;c tệp hoặc gửi m&atilde; mở kh&oacute;a tr&ecirc;n một k&ecirc;nh an to&agrave;n nhằm tr&aacute;nh việc bị truy vết. Một yếu tố quan trọng trong việc l&agrave;m cho ransomware trở l&ecirc;n hiệu quả v&agrave; thu lợi cho kẻ tấn c&ocirc;ng l&agrave; một hệ thống thanh to&aacute;n thuận tiện, kh&oacute; theo d&otilde;i. Một loạt c&aacute;c phương thức thanh to&aacute;n như vậy đ&atilde; được sử dụng, bao gồm chuyển khoản ng&acirc;n h&agrave;ng, tin nhắn văn bản c&oacute; ph&iacute; bảo hiểm, dịch vụ chứng từ trả trước như payafecard, v&agrave; gần đ&acirc;y l&agrave; bằng tiền kỹ thuật số như Bitcoin.</p> <h2>5. Lịch sử ph&aacute;t triển của Ransomware</h2> <h3 style="text-align: justify;">C&aacute;c ransomware sử dụng mật m&atilde;</h3> <p style="text-align: justify;">Phần mềm ransomware đầu ti&ecirc;n, được gọi l&agrave; PC Cyborg hoặc AIDS, được tạo ra v&agrave;o cuối những năm 1980 bởi Joseph Popp. PC Cyborg l&agrave; một dạng Trojan sẽ m&atilde; h&oacute;a tất cả c&aacute;c tệp trong thư mục C: sau 90 lần khởi động lại, v&agrave; sau đ&oacute; y&ecirc;u cầu người d&ugrave;ng gia hạn giấy ph&eacute;p bản quyền bằng c&aacute;ch gửi 189 $ qua thư cho PC Cyborg Corp. Tuy nhi&ecirc;n, ransomware n&agrave;y được thiết kế lỗi, n&oacute; sử dụng cơ chế m&atilde; h&oacute;a đơn giản v&agrave; chỉ đơn giản che dấu c&aacute;c tệp tin tr&ecirc;n ổ đĩa v&agrave; m&atilde; h&oacute;a t&ecirc;n của c&aacute;c tệp tin n&agrave;y, do đ&oacute; việc kh&ocirc;i phục dữ liệu l&agrave; tương đối đơn giản đối với những người hiểu biết về m&aacute;y t&iacute;nh.&nbsp; Trojan c&ograve;n được gọi l&agrave; "PC Cyborg". Do mức độ thiệt hại hạn chế, do đ&oacute; t&aacute;c giả của ransomware n&agrave;y, Popp, kh&ocirc;ng bị ra t&ograve;a v&igrave; h&agrave;nh động của m&igrave;nh, nhưng anh ta hứa sẽ quy&ecirc;n tặng tiền l&atilde;i từ phần mềm độc hại n&agrave;y để t&agrave;i trợ cho c&aacute;c nghi&ecirc;n cứu về bệnh AIDS.</p> <p style="text-align: justify;"><img class=" wp-image-4288 aligncenter" src="https://tek4.vn/wp-content/uploads/2019/03/AIDS_DOS_Trojan.png" alt="AIDS_DOS_Trojan" width="511" height="243" /></p> <p style="text-align: justify;">C&aacute;c biến thể đầu ti&ecirc;n của ransomware y&ecirc;u cầu thanh to&aacute;n được gửi qua thư điện tử v&agrave; do đ&oacute; rất kh&ocirc;ng an to&agrave;n v&agrave; gặp nhiều vấn đề hạn chế. Do đ&oacute;, trong v&ograve;ng 10 năm tiếp theo, chỉ xuất hiện một v&agrave;i biến thể đơn giản v&agrave; kh&ocirc;ng g&acirc;y nhiều hậu quả nghi&ecirc;m trọng như c&aacute;c loại m&atilde; độc kh&aacute;c như virus hay worm trong thời gian n&agrave;y. C&aacute;c phương tiện thanh to&aacute;n tiện lợi hơn chỉ được biết đến dưới dạng &yacute; tưởng chẳng hạn như kịch bản sử dụng c&aacute;c hệ thống tiền ẩn danh để thu tiền chuộc một c&aacute;ch an to&agrave;n đ&atilde; được giới thiệu v&agrave;o năm 1992 bởi Sebastiaan von Solms v&agrave; David Naccache (kịch bản von Solms-Naccache) sử dụng một ấn phẩm b&aacute;o ch&iacute; l&agrave;m trung gian (v&igrave; sổ c&aacute;i bitcoin kh&ocirc;ng tồn tại v&agrave;o thời điểm b&agrave;i b&aacute;o được viết).</p> <p style="text-align: justify;">Kh&aacute;i niệm sử dụng mật m&atilde; kh&oacute;a c&ocirc;ng khai cho c&aacute;c tấn c&ocirc;ng bằng ransomware đ&atilde; được giới thiệu v&agrave;o năm 1996 bởi Adam L. Young v&agrave; Moti Yung. Young v&agrave; Yung đ&atilde; chỉ ra sự thất bại của Trojan Cyborg khi chỉ dựa v&agrave;o mật m&atilde; kh&oacute;a đối xứng, đ&acirc;y l&agrave; một lỗ hổng nghi&ecirc;m trọng do với hệ mật kh&oacute;a đối xứng c&aacute;c kh&oacute;a giải m&atilde; phải được lưu tại ch&iacute;nh ransomware v&agrave; do đ&oacute; c&oacute; thể được tr&iacute;ch xuất từ việc ph&acirc;n t&iacute;ch ransomware n&agrave;y. Young v&agrave; Yung cũng&nbsp; triển khai một loại tiền điện tử chứng minh bằng chứng thử nghiệm tr&ecirc;n Macintosh SE / 30 sử dụng RSA v&agrave; Thuật to&aacute;n m&atilde; h&oacute;a nhỏ (TEA) để m&atilde; h&oacute;a dữ liệu của nạn nh&acirc;n. V&igrave; tiền điện tử kh&oacute;a c&ocirc;ng khai được sử dụng, n&ecirc;n tiền điện tử chỉ chứa kh&oacute;a m&atilde; h&oacute;a. Kẻ tấn c&ocirc;ng giữ kh&oacute;a giải m&atilde; ri&ecirc;ng tương ứng do đ&oacute; người d&ugrave;ng kh&ocirc;ng thể tr&iacute;ch xuất c&aacute;c kh&oacute;a mật cho việc giải m&atilde; từ việc ph&acirc;n t&iacute;ch ..m&atilde; độc. Cryptovirus thử nghiệm ban đầu của Young v&agrave; Yung đ&atilde; cho nạn nh&acirc;n gửi bản m&atilde; m&atilde; bằng kh&oacute;a đối xứng cho kẻ tấn c&ocirc;ng giải m&atilde; n&oacute; v&agrave; trả lại kh&oacute;a giải m&atilde; đối xứng để giải m&atilde; dữ liệu cho nạn nh&acirc;n sau khi đ&atilde; trả ph&iacute;.</p> <p style="text-align: justify;">Rất l&acirc;u trước khi tiền điện tử tồn tại, Young v&agrave; Yung đ&atilde; đề xuất việc sử dụng mật m&atilde; để tống tiền th&ocirc;ng qua tiền điện tử. Họ gọi c&aacute;c cuộc tấn c&ocirc;ng n&agrave;y l&agrave; "c&aacute;c virus tống tiền bằng mật m&atilde;". Giao thức tống tiền bằng mật m&atilde; được lấy cảm hứng từ bộ phim giả tưởng Alien.</p> <p style="text-align: justify;">Tuy rất nhiều &yacute; tưởng về kỹ thuật đ&atilde; được đề xuất, tuy nhi&ecirc;n c&aacute;c mối đe dọa về ransomware chỉ thực sự xuất hiện cho đến năm 2004, khi GpCode sử dụng m&atilde; h&oacute;a RSA yếu để m&atilde; h&oacute;a c&aacute;c tệp tin c&aacute; nh&acirc;n nhằm đ&ograve;i tiền chuộc. Đến giữa năm 2006, c&aacute;c Trojan như Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip v&agrave; MayArchive bắt đầu sử dụng c&aacute;c lược đồ m&atilde; h&oacute;a RSA tinh vi hơn, với k&iacute;ch thước kh&oacute;a ng&agrave;y c&agrave;ng tăng. Gpcode.AG, được ph&aacute;t hiện v&agrave;o th&aacute;ng 6 năm 2006, đ&atilde; được m&atilde; h&oacute;a bằng kh&oacute;a c&ocirc;ng khai RSA 660 bit. V&agrave;o th&aacute;ng 6 năm 2008, một biến thể được gọi l&agrave; Gpcode.AK đ&atilde; được ph&aacute;t hiện. Sử dụng kh&oacute;a RSA 1024 bit, n&oacute; được cho l&agrave; đủ lớn để kh&ocirc;ng thể t&iacute;nh to&aacute;n được nếu kh&ocirc;ng sử dụng t&iacute;nh to&aacute;n ph&acirc;n t&aacute;n.</p> <p style="text-align: justify;">V&agrave;o năm 2007, WinLock l&agrave; một loại ransomware mới khởi đầu cho xu hướng mới thay v&igrave; m&atilde; h&oacute;a c&aacute;c tệp tin th&ocirc;ng thường của người d&ugrave;ng th&igrave; n&oacute; kh&oacute;a ho&agrave;n to&agrave;n người d&ugrave;ng khỏi hệ thống. WinLock chiếm m&agrave;n h&igrave;nh nạn nh&acirc;n v&agrave; hiển thị h&igrave;nh ảnh khi&ecirc;u d&acirc;m. Sau đ&oacute;, n&oacute; y&ecirc;u cầu thanh to&aacute;n qua tin nhắn SMS trả ph&iacute; để x&oacute;a ch&uacute;ng.</p> <p style="text-align: justify;">H&igrave;nh thức ransomware mạo danh c&aacute;c cơ quan ph&aacute;p luật được ra đời với c&aacute;c biến thể đầu ti&ecirc;n của họ m&atilde; độc Reveton v&agrave;o năm 2012. Khi bị nhiễm m&atilde; độc n&agrave;y m&aacute;y t&iacute;nh của nạn nh&acirc;n sẽ bị kh&oacute;a v&agrave; hiển thị một trang c&oacute; giao diện giả mạo c&aacute;c cơ quan thực thi ph&aacute;p luật như FBI v&agrave; Interpol. C&aacute;c ransomware sẽ tuy&ecirc;n bố rằng người d&ugrave;ng đ&atilde; phạm tội, chẳng hạn như hack m&aacute;y t&iacute;nh, tải xuống c&aacute;c tệp bất hợp ph&aacute;p hoặc thậm ch&iacute; c&oacute; li&ecirc;n quan đến nội dung khi&ecirc;u d&acirc;m trẻ em. Hầu hết c&aacute;c họ ransomware mạo danh c&aacute;c cơ quan ph&aacute;p luật y&ecirc;u cầu phạt tiền từ 100$ đến 3.000$ bằng thẻ trả trước như UKash hoặc PaySafeCard. Người d&ugrave;ng th&ocirc;ng thường thường kh&ocirc;ng biết phải l&agrave;m g&igrave; với điều n&agrave;y v&agrave; tin rằng họ thực sự bị điều tra từ cơ quan thực thi ph&aacute;p luật. Chiến thuật kỹ nghệ x&atilde; hội n&agrave;y đ&aacute;nh v&agrave;o cảm tội lỗi của nạn nh&acirc;n, khiến họ nghi ngờ về sự trong sạch của m&igrave;nh hoặc thậm ch&iacute; cố gắng che dấu kh&ocirc;ng b&aacute;o c&aacute;o về việc nhiễm m&atilde; độc để tr&aacute;nh c&aacute;c điều tiếng. Do đ&oacute;, c&aacute;c nạn nh&acirc;n thường trả tiền chuộc v&agrave; giữ im lặng.</p> <p style="text-align: justify;">C&aacute;c ransomware m&atilde; h&oacute;a ng&agrave;y c&agrave;ng ph&aacute;t triển mạnh mẽ với sự tiện lợi của c&aacute;c đồng tiền kỹ thuật số ẩn danh như Bitcoin. V&agrave;o cuối năm 2013 CryptoLocker, sử dụng nền tảng tiền kỹ thuật số Bitcoin để thu tiền chuộc. CryptoLocker đ&atilde; sử dụng c&aacute;c hệ mật m&atilde; cao cấp đạt chuẩn trong quốc ph&ograve;ng v&agrave; lưu trữ kh&oacute;a cần thiết để mở kh&oacute;a c&aacute;c tệp tr&ecirc;n m&aacute;y chủ từ xa. Điều n&agrave;y c&oacute; nghĩa l&agrave; người d&ugrave;ng hầu như kh&ocirc;ng thể lấy lại dữ liệu của m&igrave;nh m&agrave; kh&ocirc;ng phải trả tiền chuộc. V&agrave;o th&aacute;ng 12 năm 2013, ZDNet ước t&iacute;nh dựa tr&ecirc;n th&ocirc;ng tin giao dịch Bitcoin rằng từ ng&agrave;y 15 th&aacute;ng 10 đến 18 th&aacute;ng 12 năm đ&oacute;, c&aacute;c t&aacute;c giả của CryptoLocker đ&atilde; thu được khoảng 27 triệu đ&ocirc; la Mỹ từ người d&ugrave;ng bị nhiễm m&atilde; độc. Loại ransomware m&atilde; h&oacute;a n&agrave;y vẫn c&ograve;n được sử dụng cho đến ng&agrave;y nay, v&igrave; n&oacute; đ&atilde; được chứng minh l&agrave; một c&ocirc;ng cụ cực kỳ hiệu quả để tội phạm mạng kiếm tiền. Kỹ thuật của CryptoLocker thậm ch&iacute; đ&atilde; được sao ch&eacute;p rộng r&atilde;i trong nhiều họ ransomware tiếp theo như CryptoLocker 2.0 (được cho l&agrave; kh&ocirc;ng li&ecirc;n quan đến CryptoLocker), CryptoDefense (ban đầu chứa một lỗ hổng trong thiết kế lưu trữ kh&oacute;a ri&ecirc;ng tr&ecirc;n hệ thống bị nhiễm ở vị tr&iacute; c&oacute; thể truy xuất được của người d&ugrave;ng để sử dụng API m&atilde; h&oacute;a t&iacute;ch hợp của Windows)...</p> <p><img class=" wp-image-4286 aligncenter" src="https://tek4.vn/wp-content/uploads/2019/03/Ransomware-l&agrave;-g&igrave;_3.jpg" alt="Ransomware l&agrave; g&igrave;_CryptoLocker" width="615" height="417" /></p> <p style="text-align: justify;">Th&aacute;ng 8 năm 2014 đ&aacute;nh dấu việc c&aacute;c ransomware mở rộng phạm vi tấn c&ocirc;ng sang c&aacute;c hệ thống chuy&ecirc;n dụng đặc biệt với sự xuất hiện của Trojan nhắm mục ti&ecirc;u v&agrave;o c&aacute;c thiết bị lưu trữ mạng do Synology sản xuất. V&agrave;o th&aacute;ng 1 năm 2015, đ&atilde; c&oacute; b&aacute;o c&aacute;o rằng c&aacute;c cuộc tấn c&ocirc;ng theo kiểu ransomware đ&atilde; xảy ra đối với c&aacute;c trang web ri&ecirc;ng lẻ th&ocirc;ng qua ransomware được thiết kế để nhắm mục ti&ecirc;u c&aacute;c m&aacute;y chủ web dựa tr&ecirc;n Linux.</p> <h3 style="text-align: justify;">Ransomware tr&ecirc;n MAC OSX</h3> <p style="text-align: justify;">Ransomware đầu ti&ecirc;n tr&ecirc;n Mac OS xuất hiện v&agrave;o năm 2016 với t&ecirc;n gọi l&agrave; KeRanger, phần mềm ransomware&nbsp; n&agrave;y c&oacute; dạng như một Trojan l&acirc;y nhiễm qua một ứng dụng c&oacute; t&ecirc;n l&agrave; Transmission, khi được khởi chạy, n&oacute; sao ch&eacute;p c&aacute;c tệp độc hại v&agrave;o hệ thống v&agrave; vẫn chạy ẩn trong ba ng&agrave;y cho đến khi ch&uacute;ng thực hiện việc m&atilde; h&oacute;a c&aacute;c tập tin. Rất may, chương tr&igrave;nh chống phần mềm độc hại t&iacute;ch hợp của Apple XProtect đ&atilde; ph&aacute;t h&agrave;nh bản cập nhật ngay sau khi ph&aacute;t hiện ransomware n&agrave;y v&agrave; đ&atilde; ngăn chặn n&oacute; l&acirc;y nhiễm v&agrave;o hệ thống người d&ugrave;ng. Tuy nhi&ecirc;n, điều n&agrave;y đ&atilde; cảnh b&aacute;o rằng c&aacute;c ransomware tr&ecirc;n m&ocirc;i trường MAC OS đ&atilde; kh&ocirc;ng c&ograve;n chỉ l&agrave; l&yacute; thuyết nữa.<br /><img class="size-full wp-image-4287 aligncenter" src="https://tek4.vn/wp-content/uploads/2019/03/Ransomware-l&agrave;-g&igrave;_4.jpeg" alt="Ransomware l&agrave; g&igrave;" width="600" height="331" /></p> <h3 style="text-align: justify;">Ransomware tr&ecirc;n thiết bị di động</h3> <p style="text-align: justify;">C&aacute;c ransomware tr&ecirc;n thiết bị di động bắt đầu trở l&ecirc;n b&ugrave;ng ph&aacute;t năm 2014 với CryptoLocker v&agrave; c&aacute;c họ biến thể của n&oacute;. Với sự phổ biến ng&agrave;y c&agrave;ng tăng của ransomware tr&ecirc;n m&aacute;y t&iacute;nh c&aacute; nh&acirc;n, c&aacute;c ransomware nhắm v&agrave;o c&aacute;c hệ điều h&agrave;nh di động cũng trở l&ecirc;n ng&agrave;y c&agrave;ng phổ biến. C&aacute;c ransomware tr&ecirc;n di động thường hiển thị th&ocirc;ng b&aacute;o rằng thiết bị đ&atilde; bị kh&oacute;a do một số loại hoạt động bất hợp ph&aacute;p. Th&ocirc;ng b&aacute;o cho biết điện thoại sẽ được mở kh&oacute;a sau khi trả ph&iacute;. C&aacute;c ransomware di động thường được ph&acirc;n phối qua c&aacute;c ứng dụng độc hại v&agrave; y&ecirc;u cầu nạn nh&acirc;n khởi động điện thoại ở chế độ an to&agrave;n v&agrave; x&oacute;a ứng dụng bị nhiễm để lấy quyền truy cập v&agrave;o thiết bị di động của nạn nh&acirc;n. Ch&uacute;ng chủ yếu ngăn chặn người d&ugrave;ng truy cập v&agrave;o hệ thống v&agrave; hiếm khi thực hiện việc m&atilde; h&oacute;a dữ liệu v&igrave; dữ liệu tr&ecirc;n thiết bị di động thường c&oacute; bản sao lưu tr&ecirc;n cloud v&agrave; c&oacute; thể dễ d&agrave;ng kh&ocirc;i phục được. Ransomware tr&ecirc;n di động thường nhắm mục ti&ecirc;u nền tảng Android, v&igrave; n&oacute; cho ph&eacute;p c&aacute;c ứng dụng được c&agrave;i đặt từ c&aacute;c nguồn của b&ecirc;n thứ ba. C&aacute;c payload thường được ph&acirc;n phối dưới dạng tệp APK được c&agrave;i đặt bởi người d&ugrave;ng m&agrave; kh&ocirc;ng hề gặp phải sự kh&ocirc;ng nghi ngờ n&agrave;o; n&oacute; c&oacute; thể cố gắng hiển thị th&ocirc;ng b&aacute;o chặn tr&ecirc;n tất cả c&aacute;c ứng dụng kh&aacute;c, hoặc một số y&ecirc;u cầu người d&ugrave;ng cấp quyền "quản trị vi&ecirc;n thiết bị" để truy cập s&acirc;u hơn v&agrave;o hệ thống.</p> <p style="text-align: justify;"><img class="size-full wp-image-4289 aligncenter" src="https://tek4.vn/wp-content/uploads/2019/03/Android-Cryptolocker-cleaner-APK3.png" alt="Ransomware l&agrave; g&igrave;" width="200" height="356" /></p> <p style="text-align: justify;">Nhiều kỹ thuật kh&aacute;c nhau đ&atilde; được sử dụng tr&ecirc;n c&aacute;c thiết bị iOS, chẳng hạn như khai th&aacute;c t&agrave;i khoản iCloud v&agrave; sử dụng hệ thống T&igrave;m iPhone của Apple để kh&oacute;a quyền truy cập v&agrave;o thiết bị. Tr&ecirc;n iOS 10.3, Apple đ&atilde; v&aacute; một lỗi trong việc xử l&yacute; c&aacute;c cửa sổ JavaScript bật l&ecirc;n trong Safari đ&atilde; bị c&aacute;c trang web ransomware khai th&aacute;c.</p> <h3 style="text-align: justify;">C&aacute;c ransomware kh&ocirc;ng m&atilde; h&oacute;a</h3> <p style="text-align: justify;">V&agrave;o th&aacute;ng 8 năm 2010, ch&iacute;nh quyền Nga đ&atilde; bắt giữ ch&iacute;n c&aacute; nh&acirc;n c&oacute; li&ecirc;n quan đến một Trojan ransomware được gọi l&agrave; WinLock. Kh&ocirc;ng giống như Trojan Gpcode trước đ&acirc;y, WinLock kh&ocirc;ng sử dụng m&atilde; h&oacute;a. Thay v&agrave;o đ&oacute;, WinLock hạn chế quyền truy cập v&agrave;o hệ thống bằng c&aacute;ch hiển thị h&igrave;nh ảnh khi&ecirc;u d&acirc;m v&agrave; y&ecirc;u cầu người d&ugrave;ng gửi tin nhắn SMS trả ph&iacute; với chi ph&iacute; khoảng 10 đ&ocirc; la Mỹ để nhận m&atilde; c&oacute; thể được sử dụng để mở kh&oacute;a m&aacute;y của họ. Vụ lừa đảo đ&atilde; tấn c&ocirc;ng nhiều người d&ugrave;ng tr&ecirc;n khắp nước Nga v&agrave; c&aacute;c quốc gia l&acirc;n cận. Nh&oacute;m n&agrave;y đ&atilde; kiếm được hơn 16 triệu USD từ m&atilde; độc n&agrave;y.</p> <p style="text-align: justify;">V&agrave;o năm 2011, một Trojan ransomware đ&atilde; xuất hiện bắt chước th&ocirc;ng b&aacute;o K&iacute;ch hoạt Sản phẩm Windows (Windows Product Activation) v&agrave; th&ocirc;ng b&aacute;o cho người d&ugrave;ng rằng bản c&agrave;i đặt Windows của hệ thống của họ phải được k&iacute;ch hoạt lại do "l&agrave; nạn nh&acirc;n của lừa đảo". T&ugrave;y chọn k&iacute;ch hoạt trực tuyến đ&atilde; được cung cấp (như quy tr&igrave;nh k&iacute;ch hoạt Windows thực tế), nhưng kh&ocirc;ng khả dụng, y&ecirc;u cầu người d&ugrave;ng gọi một trong s&aacute;u số quốc tế để nhập m&atilde; gồm 6 chữ số. Mặc d&ugrave; phần mềm độc hại tuy&ecirc;n bố rằng cuộc gọi n&agrave;y sẽ miễn ph&iacute;, nhưng n&oacute; đ&atilde; được chuyển qua một tổng đ&agrave;i lừa đảo ở một quốc gia c&oacute; gi&aacute; điện thoại quốc tế cao, họ đ&atilde; giữ cuộc gọi, khiến người d&ugrave;ng phải chịu c&aacute;c khoản ph&iacute; đường d&agrave;i quốc tế lớn.</p> <p style="text-align: justify;">V&agrave;o th&aacute;ng 2 năm 2013, một Trojan ransomware dựa tr&ecirc;n bộ c&ocirc;ng cụ khai th&aacute;c Stamp.EK đ&atilde; xuất hiện; phần mềm độc hại được ph&acirc;n phối th&ocirc;ng qua c&aacute;c trang web được lưu trữ tr&ecirc;n dịch vụ lưu trữ dự &aacute;n SourceForge v&agrave; GitHub tuy&ecirc;n bố cung cấp "ảnh khỏa th&acirc;n giả" của những người nổi tiếng. V&agrave;o th&aacute;ng 7 năm 2013, một Trojan ransomware d&agrave;nh ri&ecirc;ng cho OS X đ&atilde; xuất hiện, hiển thị một trang web c&aacute;o buộc người d&ugrave;ng tải xuống nội dung khi&ecirc;u d&acirc;m. Kh&ocirc;ng giống như c&aacute;c phi&ecirc;n bản tr&ecirc;n Windows, n&oacute; kh&ocirc;ng chặn to&agrave;n bộ m&aacute;y t&iacute;nh m&agrave; chỉ khai th&aacute;c h&agrave;nh vi của ch&iacute;nh tr&igrave;nh duyệt web để l&agrave;m nản l&ograve;ng c&aacute;c nỗ lực đ&oacute;ng trang th&ocirc;ng qua c&aacute;c phương tiện th&ocirc;ng thường.</p> <h3><span id="Leakware_(also_called_Doxware)" class="mw-headline">Leakware (hay Doxware)</span></h3> <p style="text-align: justify;">Một dạng ransomware kh&aacute;c so với kịch bản đ&atilde; c&ocirc;ng bố của Adam L. Young l&agrave; Leakware. Dạng m&atilde; độc n&agrave;y đe dọa sẽ c&ocirc;ng bố th&ocirc;ng tin bị đ&aacute;nh cắp từ hệ thống m&aacute;y t&iacute;nh của nạn nh&acirc;n thay v&igrave; ngăn nạn nh&acirc;n truy cập v&agrave;o n&oacute;. Trong một cuộc tấn c&ocirc;ng bằng Leakware kẻ tấn c&ocirc;ng sẽ lọc c&aacute;c th&ocirc;ng tin nhạy cảm thu được từ hệ thống của người d&ugrave;ng v&agrave; đe dọa trả tiền để kh&ocirc;ng c&ocirc;ng bố th&ocirc;ng tin n&agrave;y. Cuộc tấn c&ocirc;ng đ&atilde; được tr&igrave;nh b&agrave;y tại West Point năm 2003. Trong tấn c&ocirc;ng n&agrave;y, nạn nh&acirc;n vẫn giữ được quyền truy cập v&agrave;o dữ liệu của m&igrave;nh. Cuộc tấn c&ocirc;ng bắt nguồn từ l&yacute; thuyết tr&ograve; chơi v&agrave; c&oacute; thể mang lại lợi &iacute;ch kinh tế cho kẻ tấn c&ocirc;ng trong trường hợp phần mềm độc hại c&oacute; được quyền truy cập v&agrave;o th&ocirc;ng tin c&oacute; thể g&acirc;y thiệt hại cho người d&ugrave;ng hoặc tổ chức nạn nh&acirc;n, v&iacute; dụ, thiệt hại về mặt uy t&iacute;n c&oacute; thể dẫn đến việc c&ocirc;ng bố bằng chứng rằng cuộc tấn c&ocirc;ng đ&atilde; th&agrave;nh c&ocirc;ng.</p> <h3 style="text-align: justify;">Một số ransomware nổi bật</h3> <p style="text-align: justify;">Mặc d&ugrave; ransomware về mặt kỹ thuật đ&atilde; c&oacute; từ những năm 90, nhưng chỉ trong v&ograve;ng năm năm qua, n&oacute; mới thực sự ph&aacute;t triển mạnh mẽ, chủ yếu l&agrave; do sự sẵn c&oacute; của c&aacute;c phương thức thanh to&aacute;n kh&ocirc;ng thể kiểm so&aacute;t như Bitcoin. Một số ransomware nổi tiếng nhất c&oacute; thể kể đến l&agrave;:</p> <ul> <li style="text-align: justify;">CryptoLocker, một cuộc tấn c&ocirc;ng năm 2013 đ&atilde; khởi động thời đại ransomware hiện đại v&agrave; l&acirc;y nhiễm tới hơn 500.000 m&aacute;y ở giai đoạn cao điểm.</li> <li style="text-align: justify;">TeslaCrypt, c&oacute; mục ti&ecirc;u nhắm v&agrave;o c&aacute;c tệp của c&aacute;c tr&ograve; chơi điện tử v&agrave; li&ecirc;n tục cải tiến c&aacute;c phi&ecirc;n bản g&acirc;y ra những hậu quả ng&agrave;y c&agrave;ng nghi&ecirc;m trọng.</li> <li style="text-align: justify;">SimpleLocker, cuộc tấn c&ocirc;ng ransomware phổ biến đầu ti&ecirc;n tập trung v&agrave;o c&aacute;c thiết bị di động</li> <li style="text-align: justify;">WannaCry, ph&aacute;t t&aacute;n tự động từ m&aacute;y t&iacute;nh n&agrave;y sang m&aacute;y t&iacute;nh kh&aacute;c th&ocirc;ng qua lỗ hổng EternalBlue, một m&atilde; khai th&aacute;c được ph&aacute;t triển bởi NSA v&agrave; sau đ&oacute; bị đ&aacute;nh cắp bởi tin tặc</li> <li style="text-align: justify;">NotPetya, cũng sử dụng EternalBlue v&agrave; c&oacute; thể l&agrave; một phần của cuộc tấn c&ocirc;ng mạng do Nga định hướng chống lại Ukraine.</li> <li style="text-align: justify;">Locky, bắt đầu lan rộng v&agrave;o năm 2016, "c&oacute; phương thức tấn c&ocirc;ng tương tự với phần mềm ng&acirc;n h&agrave;ng nổi tiếng Dridex".</li> </ul> <p style="text-align: justify;">B&ecirc;n cạnh đ&oacute; c&ograve;n rất nhiều c&aacute;c họ ransomware kh&aacute;c mới ph&aacute;t triển gần đ&acirc;y như BadRmus, đ&atilde; lan rộng khắp c&aacute;c c&ocirc;ng ty truyền th&ocirc;ng ở Đ&ocirc;ng &Acirc;u v&agrave; Ch&acirc;u &Aacute;.</p> <h2 style="text-align: justify;">6. Sự ph&aacute;t triển mạnh mẽ của ransomware</h2> <p style="text-align: justify;">V&agrave;o th&aacute;ng 6 năm 2013, h&atilde;ng bảo mật McAfee đ&atilde; c&ocirc;ng bố dữ liệu cho thấy họ đ&atilde; thu thập được gấp đ&ocirc;i số lượng mẫu ransomware so với c&ugrave;ng kỳ năm trước. Trong 6 th&aacute;ng đầu năm 2018 đ&atilde; c&oacute; tới 181,5 triệu cuộc tấn c&ocirc;ng g&acirc;y ra bởi ransomware tr&ecirc;n phạm vi thế giới (tăng 229% so với c&ugrave;ng kỳ năm 2017). Một số ransomware c&oacute; thời gian tồn tại kh&aacute; l&acirc;u v&agrave; đem lại nhiều lợi nhuận cho kẻ tấn c&ocirc;ng. Điển h&igrave;nh như CryptoLocker đ&atilde; kiếm được khoảng 3 triệu đ&ocirc; la Mỹ trước khi bị ch&iacute;nh quyền gỡ xuống, hay CryptoWall ước t&iacute;nh đ&atilde; t&iacute;ch lũy được hơn 18 triệu đ&ocirc; la Mỹ v&agrave;o th&aacute;ng 6 năm 2015. V&agrave; nhiều người d&ugrave;ng vẫn kh&ocirc;ng ngừng bị ảnh hưởng bởi c&aacute;c m&atilde; độc n&agrave;y cho tới hiện nay.</p> <p style="text-align: justify;">Năm 2017 chứng kiến sự b&ugrave;ng ph&aacute;t quy m&ocirc; lớn của ransomware, như WannaCry v&agrave;o th&aacute;ng 5 năm 2017 v&agrave; Petya v&agrave;o th&aacute;ng 6 năm 2017. Hai ransomware n&agrave;y g&acirc;y thiệt hại v&agrave; ảnh hưởng đến h&agrave;ng loạt doanh nghiệp lớn v&agrave; người d&ugrave;ng c&aacute; nh&acirc;n tr&ecirc;n phạm vi to&agrave;n cầu. Tại Việt Nam một số doanh nghiệp cũng bị ảnh hưởng bởi hai loại m&atilde; độc n&agrave;y. Sự nguy hiểm của c&aacute;c ransomware n&agrave;y nằm ở chỗ kh&aacute;c với c&aacute;c ransomware th&ocirc;ng thường được l&acirc;y nhiễm v&agrave; ph&aacute;t t&aacute;n bằng c&aacute;ch sử dụng một Trojan được ngụy trang th&agrave;nh một tệp hợp ph&aacute;p m&agrave; người d&ugrave;ng bị lừa tải xuống hoặc mở khi n&oacute; đến dưới dạng tệp đ&iacute;nh k&egrave;m email c&aacute;c ransomware cao cấp n&agrave;y sử dụng kỹ thuật khai th&aacute;c lỗ hồng mạng (Eternalblue) như worm để tự động di chuyển giữa c&aacute;c m&aacute;y t&iacute;nh m&agrave; kh&ocirc;ng cần c&oacute; sự tương t&aacute;c của người d&ugrave;ng.</p> <p style="text-align: justify;">Một số chủng ransomware đ&atilde; sử dụng proxy gắn với c&aacute;c dịch vụ ẩn danh Tor để kết nối với m&aacute;y chủ điều khiển của ch&uacute;ng, l&agrave;m tăng kh&oacute; khăn trong việc truy t&igrave;m vị tr&iacute; ch&iacute;nh x&aacute;c của tội phạm. Symantec đ&atilde; ph&acirc;n loại ransomware l&agrave; mối đe dọa an to&agrave;n th&ocirc;ng tin nguy hiểm nhất hiện nay. Tuy c&oacute; sự ph&aacute;t triển kh&aacute; muộn v&agrave; chỉ nở rộ v&agrave;o sau khoảng 2012 nhưng sức ảnh hưởng v&agrave; mức độ nguy hiểm của ransomware kh&ocirc;ng hề nhỏ. Số lượng v&agrave; mức độ nguy hiểm của c&aacute;c tấn c&ocirc;ng Ransomware gần như c&oacute; tỷ lệ tăng trưởng gấp đ&ocirc;i, thậm ch&iacute; gấp ba sau mỗi năm.</p> <h2>7. Ai l&agrave; c&oacute; thể l&agrave; mục ti&ecirc;u của ransomware</h2> <p style="text-align: justify;">Khi ransomware ra đời, nạn nh&acirc;n ban đầu chủ yếu của n&oacute; l&agrave; c&aacute;c hệ thống ri&ecirc;ng lẻ (hay người d&ugrave;ng th&ocirc;ng thường). Tuy nhi&ecirc;n, dần dần tội phạm mạng bắt đầu sử dụng n&oacute; cho c&aacute;c tấn c&ocirc;ng v&agrave;o c&aacute;c doanh nghiệp. Ransomware đ&atilde; rất th&agrave;nh c&ocirc;ng trong c&aacute;c tấn c&ocirc;ng v&agrave;o doanh nghiệp. C&aacute;c tấn c&ocirc;ng n&agrave;y l&agrave;m giảm năng suất v&agrave; dẫn đến mất dữ liệu v&agrave; doanh thu của doanh nghiệp đồng thời gi&uacute;p hacker thu về h&agrave;ng triệu đ&ocirc; la. V&agrave;o cuối năm 2016, 12,3 phần trăm số lượng ransomware được ph&aacute;t hiện nhắm đến doanh nghiệp, trong khi chỉ c&oacute; 1,8 phần trăm nhắm đến người d&ugrave;ng th&ocirc;ng thường. V&agrave; v&agrave;o năm 2017 c&oacute; tới 35 phần trăm c&aacute;c doanh nghiệp vừa v&agrave; nhỏ đ&atilde; bị tấn c&ocirc;ng ransomware.</p> <p style="text-align: justify;">Về mặt địa l&yacute;, c&aacute;c tấn c&ocirc;ng ransomware vẫn chủ yếu tập trung v&agrave;o c&aacute;c thị trường phương t&acirc;y như Anh, Mỹ v&agrave; Canada l&agrave; ba quốc gia mục ti&ecirc;u h&agrave;ng đầu. Cũng như c&aacute;c t&aacute;c nh&acirc;n đe dọa kh&aacute;c, c&aacute;c t&aacute;c giả của ransomware sẽ hoạt động v&igrave; lợi nhuận, do đ&oacute; họ thường t&igrave;m kiếm c&aacute;c khu vực c&oacute; tỷ lệ sử dụng m&aacute;y t&iacute;nh c&aacute; nh&acirc;n rộng r&atilde;i v&agrave; c&oacute; sự gi&agrave;u c&oacute; tương đối đủ để chi trả c&aacute;c khoản tiền chuộc. Khi c&aacute;c thị trường mới nổi ở ch&acirc;u &Aacute; v&agrave; Nam Mỹ tăng trưởng mạnh về kinh tế c&oacute; thể cũng sẽ phải đối mặt với sự gia tăng của ransomware (v&agrave; c&aacute;c dạng phần mềm độc hại kh&aacute;c).</p> <h2 style="text-align: justify;">8. Dấu hiệu m&aacute;y t&iacute;nh bị nhiễm ransomware</h2> <p style="text-align: justify;">Nếu một ng&agrave;y đẹp trời n&agrave;o đ&oacute;, bạn mở m&aacute;y ra v&agrave;...."BUMFMMMM..." - một bảng th&ocirc;ng b&aacute;o đỏ l&ograve;m đ&ograve;i trả tiền cho một thứ g&igrave; đ&oacute; bật l&ecirc;n m&agrave; kh&ocirc;ng thể tắt được. Rất c&oacute; thể bạn đ&atilde; bị nhiễm ransomware.</p> <p style="text-align: justify;">Bạn mở m&aacute;y ra, v&agrave;o thư mục th&ocirc;ng thường v&agrave; bạn cảm thấy lạ l&agrave;. Ồ...Sao c&aacute;c tệp tin đều c&oacute; t&ecirc;n lạ hoắc v&agrave; lằng nhằng thế n&agrave;o...Rất c&oacute; thể bạn đ&atilde; nhiễm Ransomware!!!</p> <p style="text-align: justify;">Bạn mở m&aacute;y ra, ph&aacute;t hiện m&igrave;nh nhận được một th&ocirc;ng b&aacute;o của Interpol. Chia buồn v&igrave; bạn đ&atilde; nhiễm ransomware. Bởi Interpol chắc chẳng khi n&agrave;o rảnh để để t&acirc;m đến bạn.</p> <p style="text-align: justify;">C&oacute; rất nhiều c&aacute;c kiểu biểu hiện của ransomware kh&aacute;c nhau. Tuy nhi&ecirc;n chung nhất đ&oacute; l&agrave; ai đ&oacute; đ&ograve;i bạn một khoản tiền chuộc hoặc tiền đ&oacute;ng g&oacute;p cho một thứ g&igrave; đ&oacute; m&agrave; bạn cảm thấy l&agrave; lạ. Vậy trong trường hợp n&agrave;y, bạn phải l&agrave;m g&igrave;?</p> <h2 style="text-align: justify;">9. L&agrave;m g&igrave; khi bị nhiễm ransomware</h2> <p style="text-align: justify;">Nguy&ecirc;n tắc đầu ti&ecirc;n nếu bạn thấy m&igrave;nh bị nhiễm ransomware l&agrave; kh&ocirc;ng bao giờ trả tiền chuộc. Đ&acirc;y hiện l&agrave; lời khuy&ecirc;n được FBI đưa ra cho nạn nh&acirc;n của ransomware. Nếu bạn trả tiền chuộc, sẽ tốt th&ocirc;i nếu bạn nhận lại được dữ liệu quan trọng, tuy nhi&ecirc;n trong một số trường hợp, thậm ch&iacute; khi trả tiền bạn cũng kh&ocirc;ng nhận được g&igrave;. Điều quan trọng nhất l&agrave; việc trả tiền chuộc chỉ l&agrave;m khuyến kh&iacute;ch tội phạm mạng tiến h&agrave;nh c&aacute;c cuộc tấn c&ocirc;ng kh&aacute;c v&agrave;o ch&iacute;nh bạn hoặc người kh&aacute;c sau n&agrave;y.</p> <p style="text-align: justify;">Trong một số trường hợp ransomware đơn giản, bạn c&oacute; thể tr&ocirc;ng chờ v&agrave;o một số bộ giải m&atilde; miễn ph&iacute; được cung cấp một thời gian sau khi m&atilde; độc được c&ocirc;ng bố. Tuy nhi&ecirc;n, kh&ocirc;ng phải tất cả c&aacute;c họ ransomware đều c&oacute; bộ giải m&atilde;, trong nhiều trường hợp v&igrave; ransomware đang sử dụng c&aacute;c thuật to&aacute;n m&atilde; h&oacute;a ti&ecirc;n tiến v&agrave; tinh vi nhất do đ&oacute; hầu như kh&ocirc;ng hề c&oacute; c&aacute;ch giải m&atilde; được dữ liệu. Trong trường hợp n&agrave;y c&oacute; thể sẽ kh&aacute; buồn cho bạn khi phải chia tay với dữ liệu của m&igrave;nh.</p> <p style="text-align: justify;">Ngay cả khi c&oacute; một bộ giải m&atilde;, th&igrave; kh&ocirc;ng phải l&uacute;c n&agrave;o cũng c&oacute; thể giải m&atilde; được dữ liệu nếu bạn bị nhiễm c&aacute;c phi&ecirc;n bản kh&aacute;c của m&atilde; độc với thuật to&aacute;n v&agrave; tham số đ&atilde; được sửa đổi.</p> <p style="text-align: justify;">Cần ch&uacute; &yacute; đến ch&iacute;nh th&ocirc;ng điệp đ&ograve;i tiền chuộc, hoặc c&oacute; thể hỏi lời khuy&ecirc;n của chuy&ecirc;n gia bảo mật/CNTT trước khi thử bất cứ điều g&igrave;.</p> <p style="text-align: justify;">C&aacute;c c&aacute;ch kh&aacute;c để đối ph&oacute; với nhiễm ransomware l&agrave; tải xuống một sản phẩm bảo mật chất lượng để khắc phục v&agrave; chạy qu&eacute;t để loại bỏ c&aacute;c mối đe dọa. Bạn c&oacute; thể kh&ocirc;ng lấy lại được dữ liệu của m&igrave;nh, nhưng &iacute;t ra bạn c&oacute; thể y&ecirc;n t&acirc;m rằng m&atilde; độc l&acirc;y nhiễm sẽ được dọn sạch. Đối với ransomware kh&oacute;a m&agrave;n h&igrave;nh, c&oacute; thể kh&ocirc;i phục lại to&agrave;n bộ hệ thống như Ghost lại m&aacute;y hoặc c&agrave;i đặt lại hệ thống. Nếu điều đ&oacute; kh&ocirc;ng gi&uacute;p &iacute;ch g&igrave;, c&oacute; thể thử chạy c&aacute;c ứng dụng qu&eacute;t từ ổ đĩa CD hoặc ở USB bootable.</p> <p style="text-align: justify;">Nếu nhận thấy hệ thống của m&igrave;nh chạy chậm m&agrave; dường như kh&ocirc;ng c&oacute; l&yacute; do, h&atilde;y tắt n&oacute; v&agrave; ngắt kết nối với Internet. Nếu, khi bạn khởi động lại, phần mềm độc hại vẫn hoạt động, n&oacute; sẽ kh&ocirc;ng thể gửi hoặc nhận hướng dẫn từ m&aacute;y chủ điều khiển. Điều đ&oacute; c&oacute; nghĩa l&agrave; kh&ocirc;ng c&oacute; kh&oacute;a hoặc c&aacute;ch để tr&iacute;ch xuất thanh to&aacute;n, phần mềm độc hại c&oacute; thể kh&ocirc;ng hoạt động. Tại thời điểm đ&oacute;, tải xuống v&agrave; c&agrave;i đặt một sản phẩm bảo mật v&agrave; chạy qu&eacute;t to&agrave;n bộ. Điều n&agrave;y c&oacute; thể cứu được một số dữ liệu. Bởi ransomware cần thực hiện m&atilde; h&oacute;a sẽ ti&ecirc;u tốn kh&aacute; nhiều thời gian v&agrave; t&agrave;i nguy&ecirc;n, do đ&oacute; vẫn c&ograve;n đ&ocirc;i ch&uacute;t thời gian kịp cho bạn ứng ph&oacute; nếu cảm thấy nghi ngờ.</p> <h2 style="text-align: justify;">10. L&agrave;m thế n&agrave;o để ph&ograve;ng chống ransomware</h2> <p style="text-align: justify;">Mặc d&ugrave; c&oacute; nhiều phương ph&aacute;p kh&aacute;c nhau để đối ph&oacute; khi bị nhiễm ransomware, tuy nhi&ecirc;n ch&uacute;ng kh&ocirc;ng phải l&agrave; giải ph&aacute;p ho&agrave;n hảo nhất v&agrave; thường đ&ograve;i hỏi nhiều kỹ năng kỹ thuật hơn so với khả năng của người d&ugrave;ng m&aacute;y t&iacute;nh th&ocirc;ng thường. V&igrave; vậy, việc ngăn ngừa việc bị nhiễm ransomware l&agrave; một việc l&agrave;m m&agrave; mỗi người d&ugrave;ng cần &yacute; thức được. Dưới đ&acirc;y l&agrave; một số ch&uacute; &yacute; trong việc đảm bảo hệ thống tr&aacute;nh khỏi việc bị l&acirc;y nhiễm m&atilde; độc n&oacute;i chung v&agrave; ransomware n&oacute;i ri&ecirc;ng:</p> <ul> <li style="text-align: justify;">Giữ cho hệ điều h&agrave;nh lu&ocirc;n được cập nhật để đảm bảo hệ thống c&oacute; &iacute;t lỗ hổng c&oacute; thể khai th&aacute;c được nhất. Sự b&ugrave;ng nổ của ransomware WannaCry đ&atilde; lợi dụng lỗ hổng trong phần mềm của Microsoft. Trong khi c&ocirc;ng ty đ&atilde; ph&aacute;t h&agrave;nh một bản v&aacute; cho lỗ hổng bảo mật trở lại v&agrave;o th&aacute;ng 3 năm 2017, nhiều người đ&atilde; kh&ocirc;ng c&agrave;i đặt bản cập nhật, điều khiến họ bỏ ngỏ để tấn c&ocirc;ng. Ch&uacute;ng t&ocirc;i nhận thấy rằng n&oacute; kh&oacute; c&oacute; thể đứng đầu trong danh s&aacute;ch cập nhật ng&agrave;y c&agrave;ng tăng từ danh s&aacute;ch phần mềm v&agrave; ứng dụng ng&agrave;y c&agrave;ng ph&aacute;t triển được sử dụng trong cuộc sống h&agrave;ng ng&agrave;y của bạn. Đ&oacute; l&agrave; l&yacute; do tại sao ch&uacute;ng t&ocirc;i khuy&ecirc;n bạn n&ecirc;n thay đổi c&agrave;i đặt của m&igrave;nh để cho ph&eacute;p cập nhật tự động.</li> <li style="text-align: justify;">Kh&ocirc;ng c&agrave;i đặt phần mềm hoặc cung cấp cho n&oacute; quyền quản trị trừ khi biết ch&iacute;nh x&aacute;c n&oacute; l&agrave; g&igrave; v&agrave; l&agrave;m g&igrave;.</li> <li style="text-align: justify;">C&agrave;i đặt phần mềm chống vir&uacute;t, ph&aacute;t hiện c&aacute;c chương tr&igrave;nh độc hại như ransomware khi ch&uacute;ng tiếp cận đến hệ thống v&agrave; x&acirc;y dựng danh s&aacute;ch trắng c&aacute;c phần mềm được ph&eacute;p thực thi để ngăn c&aacute;c ứng dụng tr&aacute;i ph&eacute;p thực thi ngay từ đầu. C&aacute;c phần mềm diệt virus n&ecirc;n c&oacute; chức năng bảo vệ thời gian thực v&agrave; ngăn chặn c&aacute;c phần mềm độc hại ti&ecirc;n tiến như ransomware.</li> <li style="text-align: justify;">Sao lưu c&aacute;c tập tin thường xuy&ecirc;n v&agrave; tự động! Điều n&agrave;y sẽ kh&ocirc;ng ngăn chặn được phần mềm độc hại, nhưng n&oacute; c&oacute; thể l&agrave;m cho thiệt hại g&acirc;y ra được giảm thiểu hơn nhiều. Việc sao lưu n&ecirc;n được thực hiện th&ocirc;ng qua sử dụng c&aacute;c dịch vụ lưu trữ đ&aacute;m m&acirc;y c&oacute; hỗ trợ m&atilde; h&oacute;a cấp cao v&agrave; x&aacute;c thực nhiều yếu tố. Tuy nhi&ecirc;n, bạn c&oacute; thể mua USB hoặc ổ cứng ngo&agrave;i để lưu trữ c&aacute;c tệp mới hoặc cập nhật. Cần đảm bảo ngắt kết nối vật l&yacute; c&aacute;c thiết bị n&agrave;y với m&aacute;y t&iacute;nh sau khi sao lưu để tr&aacute;nh khả năng bị l&acirc;y nhiễm ransomware sang cả c&aacute;c thiết bị n&agrave;y.</li> <li style="text-align: justify;">Cuối c&ugrave;ng, h&atilde;y l&agrave; một người d&ugrave;ng cẩn trọng với bất cứ một th&ocirc;ng điệp n&agrave;o nhận được. Một trong những c&aacute;ch phổ biến nhất để ph&aacute;t t&aacute;n ransomware l&agrave; th&ocirc;ng qua kỹ nghệ x&atilde; hội. H&atilde;y tự trang bị cho m&igrave;nh những kiến thức về c&aacute;ch ph&aacute;t hiện thư r&aacute;c, c&aacute;c trang web đ&aacute;ng ngờ v&agrave; c&aacute;c tr&ograve; gian lận kh&aacute;c. V&agrave; tr&ecirc;n hết, h&atilde;y lu&ocirc;n cảnh gi&aacute;c trước những th&ocirc;ng điệp lạ.</li> </ul> <p style="text-align: justify;">Cũng như c&aacute;c dạng phần mềm độc hại kh&aacute;c, c&aacute;c phần mềm bảo mật n&oacute;i chung v&agrave; phần mềm antivirus n&oacute;i ri&ecirc;ng c&oacute; thể kh&ocirc;ng ph&aacute;t hiện được c&aacute;c payload của ransomware đặc biệt trong trường hợp c&aacute;c payload bị m&atilde; h&oacute;a hoặc sử dụng c&aacute;c biện ph&aacute;p bảo vệ. Khi đ&oacute; c&aacute;c hệ thống tập tin bảo vệ chống lại ransomware trong hệ điều h&agrave;nh l&agrave; một lựa chọn tốt. H&atilde;y bật c&aacute;c t&iacute;nh năng bảo vệ v&agrave; sử dụng c&aacute;c hệ thống tệp tin n&agrave;y để đảm bảo an to&agrave;n. Một số hệ thống quản l&yacute; tệp giữ c&aacute;c ảnh snapshot của dữ liệu lưu trữ, c&oacute; thể được sử dụng để kh&ocirc;i phục nội dung của c&aacute;c tệp trong một thời gian trước cuộc tấn c&ocirc;ng của ransomware trong trường hợp ransomware kh&ocirc;ng v&ocirc; hiệu h&oacute;a hệ thống lưu trữ n&agrave;y.</p> <ul> <li style="text-align: justify;">Tr&ecirc;n Windows, Volume shadow copy (VSS) thường được sử dụng để lưu trữ c&aacute;c bản sao lưu dữ liệu; ransomware thường nhắm mục ti&ecirc;u đến c&aacute;c ảnh snapshot n&agrave;y để ngăn chặn khả năng phục hồi dữ liệu v&agrave; do đ&oacute;, thường n&ecirc;n v&ocirc; hiệu h&oacute;a quyền truy cập của người d&ugrave;ng v&agrave;o c&ocirc;ng cụ người d&ugrave;ng VSSadmin.exe để giảm rủi ro ransomware c&oacute; thể bị v&ocirc; hiệu h&oacute;a hoặc cố t&igrave;nh x&oacute;a c&aacute;c bản sao trong qu&aacute; khứ của hệ thống trước khi thực hiện tấn c&ocirc;ng.</li> <li style="text-align: justify;">Tr&ecirc;n Windows 10, người d&ugrave;ng c&oacute; thể th&ecirc;m c&aacute;c thư mục hoặc tệp cụ thể v&agrave;o mục Controlled Folder Access trong Windows Defender để bảo vệ ch&uacute;ng khỏi ransomware. Bạn cũng n&ecirc;n th&ecirc;m bản sao lưu v&agrave; c&aacute;c thư mục quan trọng kh&aacute;c v&agrave;o trong mục n&agrave;y.</li> <li style="text-align: justify;">C&aacute;c m&aacute;y chủ tệp chạy ZFS hầu như miễn dịch với ransomware, v&igrave; ZFS c&oacute; khả năng snapshot ngay cả một hệ thống tệp lớn nhiều lần trong một giờ v&agrave; c&aacute;c ảnh snapshot n&agrave;y l&agrave; bền vững v&agrave; chỉ cho ph&eacute;p đọc do đ&oacute; c&oacute; thể dễ d&agrave;ng kh&ocirc;i phục lại c&aacute;c tệp trong trường hợp dữ liệu bị hỏng. N&oacute;i chung, chỉ quản trị vi&ecirc;n mới c&oacute; thể x&oacute;a (nhưng kh&ocirc;ng thể sửa đổi) c&aacute;c snapshot n&agrave;y.</li> </ul> <h2>11. Tại sao Bitcoin v&agrave; tiền số nặc danh tạo n&ecirc;n sự b&ugrave;ng nổ ransomware</h2> <p style="text-align: justify;">Bitcoin đặc biệt hữu &iacute;ch ở đ&acirc;y v&igrave; n&oacute; nhanh ch&oacute;ng, đ&aacute;ng tin cậy v&agrave; c&oacute; thể kiểm chứng được dễ d&agrave;ng. Tin tặc c&oacute; thể chỉ cần xem blockchain c&ocirc;ng khai để biết liệu v&agrave; khi n&agrave;o nạn nh&acirc;n đ&atilde; trả tiền; hắn thậm ch&iacute; c&oacute; thể tạo một địa chỉ thanh to&aacute;n duy nhất cho mỗi nạn nh&acirc;n v&agrave; tự động h&oacute;a qu&aacute; tr&igrave;nh mở kh&oacute;a c&aacute;c tệp của họ khi giao dịch bitcoin được x&aacute;c nhận đến địa chỉ duy nhất đ&oacute;.</p> <p style="text-align: justify;">Sự thật l&agrave;, th&ocirc;ng thường, bọn tội phạm c&oacute; c&aacute;c th&ocirc;ng số thiết kế rất nghi&ecirc;m ngặt đối với c&aacute;c c&ocirc;ng cụ m&agrave; ch&uacute;ng sử dụng v&igrave; kh&ocirc;ng c&oacute; sự hỗ trợ c&ocirc;ng nghệ, hợp đồng hoặc truy đ&ograve;i ph&aacute;p l&yacute; cho một t&ecirc;n tội phạm khi c&aacute;c c&ocirc;ng cụ kh&ocirc;ng thực hiện đ&uacute;ng như mong đợi. Bọn tội phạm đang sử dụng Bitcoin trong trường hợp n&agrave;y bởi v&igrave; n&oacute; l&agrave; một hệ thống đ&aacute;ng tin cậy hoạt động một c&aacute;ch ẩn danh v&agrave; kh&ocirc;ng phụ thuộc v&agrave;o bất cứ b&ecirc;n thứ ba n&agrave;o.</p> <p style="text-align: justify;">H&igrave;nh thức thanh to&aacute;n bằng tiền điện tử tiện lợi, nhanh ch&oacute;ng, đ&aacute;ng tin cậy v&agrave; ẩn danh như Bitcoin hay c&aacute;c đồng tiền số ẩn danh kh&aacute;c đang l&agrave; mỏ v&agrave;ng để tin tặc khai th&aacute;c cho việc thu lợi nhuận từ c&aacute;c hoạt động bất hợp ph&aacute;p. Rất kh&oacute; để truy vết v&agrave; biết ai l&agrave; tin tặc, ai l&agrave; tội phạm v&agrave; ai l&agrave; người d&ugrave;ng b&igrave;nh thường. Điều n&agrave;y trở th&agrave;nh một c&ocirc;ng cụ thanh to&aacute;n hữu hiệu l&agrave;m b&ugrave;ng nổ sự ph&aacute;t triển của ransomware n&oacute;i ri&ecirc;ng v&agrave; c&aacute;c hoạt động tội phạm mạng ẩn danh kh&aacute;c.</p> <h2>12. C&oacute; n&ecirc;n trả tiền chuộc để lấy lại dữ liệu khi bị nhiễm ransomware hay kh&ocirc;ng?</h2> <p style="text-align: justify;">Một c&acirc;u hỏi kh&aacute; phổ biến khi xử l&yacute; c&aacute;c sự cố m&atilde; độc do ransomware g&acirc;y ra đ&oacute; l&agrave;: Bếu hệ thống của đ&atilde; bị nhiễm phần mềm độc hại v&agrave; l&agrave;m mất c&aacute;c dữ liệu quan trọng m&agrave; kh&ocirc;ng thể kh&ocirc;i phục được từ bản sao lưu, th&igrave; ch&uacute;ng ta c&oacute; n&ecirc;n trả tiền chuộc để lấy lại dữ liệu hay kh&ocirc;ng?</p> <p style="text-align: justify;">Những kẻ tấn c&ocirc;ng ransomware giữ gi&aacute; tương đối thấp - thường từ 700 đến 1.300 đ&ocirc; la, đ&acirc;y l&agrave; một số tiền m&agrave; c&aacute;c c&ocirc;ng ty thường c&oacute; thể đủ khả năng để trả trong thời gian ngắn. Một số phần mềm độc hại đặc biệt tinh vi sẽ ph&aacute;t hiện quốc gia nơi m&aacute;y t&iacute;nh bị nhiễm đang chạy v&agrave; điều chỉnh tiền chuộc để ph&ugrave; hợp với nền kinh tế của quốc gia đ&oacute;, đ&ograve;i hỏi nhiều hơn từ c&aacute;c c&ocirc;ng ty ở c&aacute;c nước gi&agrave;u v&agrave; &iacute;t hơn từ c&aacute;c khu vực ngh&egrave;o. Thậm ch&iacute; kẻ tấn c&ocirc;ng c&ograve;n cung cấp c&aacute;c giảm gi&aacute; để gi&uacute;p nạn nh&acirc;n đưa ra để h&agrave;nh động nhanh ch&oacute;ng, thanh to&aacute;n nhanh trước khi nghĩ qu&aacute; nhiều về n&oacute;. N&oacute;i chung, gi&aacute; tiền chuộc được kẻ tấn c&ocirc;ng đặt sao cho n&oacute; đủ cao để xứng đ&aacute;ng với h&agrave;nh vi phạm tội nhưng đủ thấp để rẻ hơn so với gi&aacute; trị những g&igrave; nạn nh&acirc;n sẽ phải trả để kh&ocirc;i phục m&aacute;y t&iacute;nh hoặc x&acirc;y dựng lại dữ liệu bị mất.</p> <p style="text-align: justify;">Như ở tr&ecirc;n khi n&oacute;i về mặt l&yacute; thuyết, hầu hết c&aacute;c cơ quan thực thi ph&aacute;p luật khuy&ecirc;n bạn kh&ocirc;ng n&ecirc;n trả tiền cho những kẻ tấn c&ocirc;ng ransomware, theo logic rằng l&agrave;m như vậy chỉ khuyến kh&iacute;ch tin tặc tạo ra nhiều ransomware hơn. Tuy nhi&ecirc;n tr&ecirc;n thực tế, nhiều tổ chức thấy m&igrave;nh bị ảnh hưởng bởi phần mềm độc hại đ&atilde; nhanh ch&oacute;ng ngừng suy nghĩ về "lợi &iacute;ch lớn hơn" v&agrave; bắt đầu ph&acirc;n t&iacute;ch c&aacute;c lợi &iacute;ch chi ph&iacute;, c&acirc;n nhắc gi&aacute; tiền chuộc so với gi&aacute; trị của dữ liệu được m&atilde; h&oacute;a. Theo nghi&ecirc;n cứu từ Trend Micro, 66% c&aacute;c c&ocirc;ng ty n&oacute;i rằng họ sẽ kh&ocirc;ng bao giờ trả tiền chuộc theo đ&uacute;ng nguy&ecirc;n tắc khi trả lời khảo s&aacute;t, nhưng thực tế c&oacute; tới 65% trong c&aacute;c c&ocirc;ng ty n&agrave;y thực hiện trả tiền chuộc khi họ bị tấn c&ocirc;ng. Một số c&ocirc;ng ty thậm ch&iacute; c&ograve;n bắt đầu x&acirc;y dựng c&aacute;c khoản dự chi để trả tiền chuộc dữ liệu bị tấn c&ocirc;ng ransomware v&agrave;o ng&acirc;n s&aacute;ch chi cho c&aacute;c kế hoạch bảo mật của họ: v&iacute; dụ, một số c&ocirc;ng ty lớn của Anh đang giữ một số Bitcoin dự trữ đặc biệt gi&agrave;nh cho việc thanh to&aacute;n tiền chuộc.</p> <p style="text-align: justify;">Trước khi suy nghĩ về việc trả tiền chuộc, đầu ti&ecirc;n, h&atilde;y x&aacute;c định ch&iacute;nh x&aacute;c xem c&oacute; phải bị nhiễm ransomware v&agrave; dữ liệu c&oacute; bị m&atilde; h&oacute;a một c&aacute;ch kh&ocirc;ng thể giải được hay kh&ocirc;ng. Rất nhiều m&atilde; độc tr&ocirc;ng giống như ransomware c&oacute; thể kh&ocirc;ng thực sự m&atilde; h&oacute;a dữ liệu; h&atilde;y đảm bảo c&aacute;c đe dọa m&atilde; h&oacute;a dữ liệu kh&ocirc;ng phải xuất ph&aacute;t từ c&aacute;c cảnh b&aacute;o giả mạo của scareware trước khi t&iacute;nh đến việc chi trả. V&agrave; thứ hai, trả tiền cho những kẻ tấn c&ocirc;ng kh&ocirc;ng đảm bảo rằng bạn sẽ lấy lại được c&aacute;c tập tin của m&igrave;nh. Đ&ocirc;i khi, bọn tội phạm chỉ lấy tiền v&agrave; chạy, v&agrave; thậm ch&iacute; c&oacute; thể kh&ocirc;ng x&acirc;y dựng chức năng giải m&atilde; v&agrave;o phần mềm độc hại. Nhưng bất kỳ phần mềm độc hại n&agrave;o như vậy sẽ nhanh ch&oacute;ng nổi tiếng v&agrave; sẽ kh&ocirc;ng tạo ra doanh thu, v&igrave; vậy, trong hầu hết c&aacute;c trường hợp (ước t&iacute;nh khoảng 65 đến 70 phần trăm trường hợp) kẻ tấn c&ocirc;ng sẽ gửi m&atilde; kh&ocirc;i phục dữ liệu hợp lệ. Do đ&oacute;, h&atilde;y xem x&eacute;t mức độ thiệt hại dữ liệu v&agrave; gi&aacute; trị của dữ liệu trước khi nghĩ đến việc thanh to&aacute;n c&aacute;c tiền chuộc.</p> <p style="text-align: justify;">Ngo&agrave;i việc trả tiền chuộc, cũng c&oacute; một số c&ocirc;ng cụ d&agrave;nh ri&ecirc;ng để giải m&atilde; c&aacute;c tệp bị kh&oacute;a bởi ransomware, mặc d&ugrave; c&oacute; thể kh&ocirc;ng thể kh&ocirc;i phục th&agrave;nh c&ocirc;ng. Nếu c&ugrave;ng một kh&oacute;a m&atilde; h&oacute;a được sử dụng cho tất cả c&aacute;c tệp, c&aacute;c c&ocirc;ng cụ giải m&atilde; sẽ sử dụng c&aacute;c tệp c&oacute; cả bản sao lưu chưa được m&atilde; h&oacute;a v&agrave; bản sao được m&atilde; h&oacute;a (tấn c&ocirc;ng cặp r&otilde; m&atilde;) để t&igrave;m ra kh&oacute;a m&atilde; h&oacute;a. Việc kh&ocirc;i phục kh&oacute;a, nếu c&oacute; thể, c&oacute; thể mất đến v&agrave;i ng&agrave;y. C&aacute;c c&ocirc;ng cụ giải m&atilde; ransomware miễn ph&iacute; c&oacute; thể gi&uacute;p giải m&atilde; c&aacute;c tập tin được m&atilde; h&oacute;a bằng c&aacute;c họ ransomware c&oacute; thể kể tới như sau: AES_NI, Alcatraz Locker, Apocalypse, BadBlock, Bart, BTCWare, Crypt888, CryptoMix, CrySiS, EncrypTile, FindZip, Globe, Hidden Tear, Jigsaw, LambdaLocker, Legion, NoobCrypt, Stampado, SZFLocker, TeslaCrypt, XData</p> <p style="text-align: justify;">Ngo&agrave;i ra, c&aacute;c bản sao cũ của tệp c&oacute; thể tồn tại tr&ecirc;n đĩa đ&atilde; bị x&oacute;a trước đ&oacute;. Trong một số trường hợp, c&aacute;c phi&ecirc;n bản đ&atilde; x&oacute;a n&agrave;y vẫn c&oacute; thể được phục hồi bằng phần mềm kh&ocirc;i phục dữ liệu.</p> <p style="text-align: justify;">Hi vọng qua b&agrave;i viết, độc giả đ&atilde; c&oacute; những c&aacute;i nh&igrave;n cơ bản về ransomware, đ&atilde; hiểu r&otilde; ransomware l&agrave; g&igrave;, c&aacute;c cơ chế hoạt động cũng như quan trọng nhất l&agrave; c&aacute;ch ph&ograve;ng chống n&oacute;. H&atilde;y c&ugrave;ng theo d&otilde;i c&aacute;c b&agrave;i viết kh&aacute;c của chuy&ecirc;n mục <a href="https://tek4.vn/kien-thuc/an-toan-thong-tin/">an to&agrave;n th&ocirc;ng tin</a> để c&ugrave;ng cập nhật những c&ocirc;ng nghệ mới c&ugrave;ng <a href="https://tek4.vn">tek4.vn </a>v&agrave; đừng qu&ecirc;n để lại b&igrave;nh luận b&ecirc;n dưới.</p>