Hơn 3 năm kể từ cuộc tấn công của ransomware Wannacry khét tiếng, những thiệt hại các tổ chức phải gánh chịu do tin tặc đánh cắp dữ liệu gây ra vẫn là bài học đắt giá.

Gần đây nhất, ransomware mang tên SNAKE (còn được gọi là EKANS) đã tấn công và làm gián đoạn hoạt động trên nhiều quốc gia của một tên tuổi lớn về động cơ trên thế giới.

Theo số liệu thống kê mới nhất của Kaspersky, các doanh nghiệp vừa và nhỏ (SMB) ở khu vực Đông Nam Á cũng đối mặt với mối đe dọa này. Trong 3 tháng đầu năm 2020, có tổng cộng 269.204 cuộc tấn công ransomware nhắm vào các doanh nghiệp có quy mô 20 – 250 nhân viên.

 Số lượng tấn công ransomware vào SMB của các quốc gia Đông Nam Á

Ông Yeo Siang Tiong, Tổng Giám đốc Kaspersky khu vực Đông Nam Á cho biết: “Chúng ta có thể thấy tấn công ransomware trên toàn cầu đã đạt đỉnh vài năm trước đây. Tuy giảm về số lượng nhưng tấn công ransomware lại có sự chuyển hướng sang doanh nghiệp.

Theo nghiên cứu mới nhất của Kaspersky, 1 phần 3 tấn công ransomware hiện nay đang nhắm vào người dùng doanh nghiệp. Mặc dù tổng số cuộc tấn công ransomware trong khu vực vào Q1 2020 thấp hơn 69% so với cùng kỳ năm 2019, rủi ro cho doanh nghiệp nói chung và SMB nói riêng khi bị ransomware đánh cắp dữ liệu và tiền bạc vẫn còn tồn tại. Tin vui là vẫn có nhiều cách để SMB tránh tổn thất về tiền bạc trước những cuộc tấn công đòi tiền chuộc”.

Khi nhiều quốc gia ở khu vực Đông Nam Á bắt đầu mở cửa trở lại sau thời gian giãn cách, chuyên gia từ Kaspersky chia sẻ những cách hữu ích để các doanh nghiệp tự bảo vệ trước những cuộc tấn công ransomware.

Một tin nhắn chứa ransomware

Trước tấn công ransomware

Liên tục sao lưu dữ liệu

Luôn sao lưu tất cả dữ liệu phòng trường hợp bị mất (có thể do phần mềm độc hại hoặc thiết bị hư hỏng); Lưu trữ dữ liệu không chỉ trên thiết bị vật lý mà còn trong bộ nhớ đám mây để có độ tin cậy cao hơn. Chắc chắn rằng doanh nghiệp có thể nhanh chóng truy cập dữ liệu trong trường hợp khẩn cấp.

Đào tạo cho nhân viên

Xây dựng ý thức trách nhiệm giữa các thành viên trong công ty; Hướng dẫn nhân viên những quy tắc cơ bản để tránh sự cố ransomware; Xây dựng chính sách và hoạt động kiểm soát bao gồm các hoạt động quản trị mạng và những hoạt động khác, như quy định đổi mới mật khẩu, xử lý sự cố, quy tắc kiểm soát truy cập, bảo vệ dữ liệu nhạy cảm,…

Thiết lập bảo mật lớp

Bảo mật tất cả điểm tiếp xúc dữ liệu trong hệ thống mạng, có thể thông qua các thiết bị phần cứng hoặc phần mềm.

Thường xuyên cập nhật dữ liệu cho thiết bị

Cài đặt cập nhật bảo mật ngay khi có thể; Luôn cập nhật hệ điều hành để loại bỏ các lỗ hổng bảo mật, cũng như sử dụng giải pháp bảo mật uy tín với cơ sở dữ liệu được cập nhật.

Sử dụng giải pháp bảo mật

Các doanh nghiệp cũng có thể sử dụng giải pháp bảo mật miễn phí dành cho doanh nghiệp – Kaspersky Anti-Ransomware Tool for Business. Phiên bản mới nhất được cập nhật tính năng ngăn ngừa khai thác lỗ hổng nhằm bảo vệ thiết bị khỏi tấn công ransomware và những mối đe dọa mạng khác. Phiên bản này cũng rất có ích cho người dùng Windows 7: vì khi Windows 7 ngừng được hỗ trợ, các lỗ hổng mới cũng sẽ không được nhà phát triển hỗ trợ bản vá.

Trong và sau tấn công ransomeware

Bỏ chặn máy tính; loại bỏ phần mềm độc hại

Nếu máy tính của doanh nghiệp bị chặn (không tải được hệ điều hành) – hãy sử dụng Kaspersky WindowsUnlocker. Đây là một tiện ích miễn phí có thể bỏ chặn và giúp hệ điều hành Windows khởi động lại.

Tiền mã hóa là một loại khó bẻ khóa hơn. Trước tiên, cần loại bỏ phần mềm độc hại bằng cách chạy phần mềm quét virus. Nếu không có sẵn chương trình diệt virus thích hợp, có thể tải xuống phiên bản dùng thử miễn phí tại link.

Thay vì trả tiền, hãy báo cáo

Hãy nhớ rằng ransomware là một tội hình sự, do đó doanh nghiệp không nên trả tiền chuộc. Nếu trở thành nạn nhân của ransomware, hãy báo cáo sự việc cho cơ quan thực thi pháp luật liên quan.

Lấy lại các tập tin; tìm kiếm bộ giải mã

Nếu doanh nghiệp đã có bản sao lưu các tệp, doanh nghiệp chỉ cần khôi phục dữ liệu từ bản sao lưu đó. Nhưng nếu không thể thực hiện các bản sao lưu, doanh nghiệp có thể giải mã các tệp bằng cách sử dụng tiện ích đặc biệt là bộ giải mã. Doanh nghiệp có thể thử tìm bộ giải mã miễn phí được tạo bởi Kaspersky tại https://noransom.kaspersky.com.

Các công ty bảo mật mạng khác cũng đã bắt đầu phát triển bộ giải mã. Tuy nhiên, hãy chắc chắn rằng đã tải xuống chương trình này từ một trang web uy tín.

Tham vấn ý kiến từ chuyên gia

Nếu bộ giải mã không có sẵn trực tuyến, hãy liên hệ với nhà cung cấp bảo mật mạng đáng tin cậy để tìm ra công cụ giải mã ransomware thích hợp.

Cuộc tấn công dựa trên lỗ hổng được tìm thấy vào năm 2018 trong driver Gigabyte có mã chi tiết là CVE-2018-19320. Driver này đã bị Gigabyte ngừng hỗ trợ, cho phép các tác nhân độc hại có thể khai thác lỗi và truy xuất được và hệ thống máy tính, triển khai một driver thứ hai với mục đích vô hiệu hoá tất cả trình diệt virus hay bảo mật trên máy.

Các ransomware được sử dụng này được gọi tên là RobbinHood và nó yêu cầu các nạn nhân phải trả tiền chuộc để mở khoá các file. Nếu họ không trả tiền chuộc sớm, số tiền chuộc sẽ được tăng lên 10.000USD mỗi ngày.

Tập tin thực thi này khai thác driver gigabyte trên file gdrv.sys có tên là Steel.exe, và nó sẽ giải nén một file có tên là ROBNR.EXE nằm trong thư mục C:\WINDOWS\TEMP, nó sẽ tiếp tục giải nén hai driver khác nhau, một driver được phát triển bở Gigabyte (driver có dính lỗi bảo mật) và một driver khác có thể vô hiệu hoá các trình antivirus. Do lỗ hổng được khai thác nên driver khai thác lỗi này sẽ không bị kiểm định chữ ký (một giao thức bảo mật của Windows).

Sophos cho biết hiện tại vẫn không có thông tin cụ thể nào giúp bạn có thể tránh các ransomware dạng này. Do đó bạn cần hết sức cẩn thận khi tải các trình driver trên mạng hay các file cài đặt có nguồn gốc không rõ ràng.

Phiên bản mới đã có một thiết kế giao diện hoàn toàn mới so với phiên bản cũ và trông hiện đại hơn hẳn so với “thế hệ 3”. Ngoài ra điểm nhấn quan trọng hơn nữa là Malwarebytes chiếm dụng RAM và CPU ít hơn phiên bản cũ khoảng 50%, rất hiệu quả.

Bản Malwarebytes 3.8.3

Bản Malwarebytes 4 mới ra mắt

Malwarebytes mới còn giới thiệu một công cụ mới được gọi là Katana. Nó sử dụng một số phương pháp đặc biện (thậm chí được cấp bằng sáng chế) để cải thiện việc phát hiện các mối đe dọa. Quá trình xác định mối đe dọa cũng đã được sắp xếp hợp lý với việc giảm 50% thời gian CPU nói trên kèm theo việc quét nhanh hơn.

Qua trải nghiệm, mình thấy Malwarebytes 4.0 quét nhanh thật sự và chiếm dụng rất ít CPU. Khi bấm Scan thì mình chỉ tốn vài phút để có kết quả. Và kết quả quét ra có vẻ khá nhiều, thông tin về các mối đe doạ cũng rõ ràng.

Các cải tiến khác bao gồm cài đặt tích hợp Windows Security Center được đơn giản hóa (xem Cài đặt > Bảo mật) và công nghệ bảo vệ web nâng cao để chặn các trang web độc hại tiềm ẩn.

Cũng như các phiên bản trước, phiên bản miễn phí của phần mềm chỉ cung cấp khả năng quét và xóa. Người dùng có thể nâng cấp lên phiên bản Premium để thêm bảo vệ theo thời gian thực.

Hiện tại Malwarebytes vẫn đang được xếp trong top các ứng dụng quét các mối đe doạ tốt nhất trên Windows 10. Một trong những ưu điểm chính của nó được thiết kế để chạy cùng với các công cụ chống phần mềm độc hại khác, cung cấp một lớp bảo vệ thứ hai.

Nếu chỉ dành để quét các mối đe doạ thông thường, phiên bản miễn phí là đủ dùng cho bạn. Bản Premium cho bạn thêm các tính năng nâng cấp như quét tự động, kiểm soát các mối đe doạn nền web, bảo vệ máy tính trước ransomware,…

Tải ứng dụng Malwarebytes 4.0 về tại đây.

Nhà phát triển của dòng ransomware đặc biệt này đã phát hành các khóa giải mã sau khi một nhà nghiên cứu bảo mật chia sẻ chi tiết về những gì ban đầu được cho là một loại ransomware mới.

Mặc dù nhà phát triển nói rằng HildaCrypt “chỉ được tạo ra để giải trí”, quyết định phát hành miễn phí các khóa chính dường như đã được tác giả nghiêm túc thực hiện vì thực tế là HildaCrypt đã được sử dụng để tạo ra các biến thể ransomware khác.

Mời bạn tải công cụ tại đây.

Theo Betanews

Một công cụ giải mã ransomware vừad9uo57c Emsisoft phát hành trong tuần này có tên Planetary Ransomware cho phép các nạn nhân giải mã các tập tin của họ miễn phí. Họ ransomware này được đặt tên là Planetary vì nó thường sử dụng tên của các hành tinh cho các phần mở rộng được thêm vào tên của tập tin được mã hóa.

Khi mã hóa tệp, nó sẽ bổ sung phần mở rộng của file thành .mira, .yum, .Pluto hoặc .Neptune. Ví dụ: nếu một tập tin có tên test.jpg được mã hóa, nó sẽ được đổi tên thành test.jpg.Pluto. Biến thể mới nhất nối thêm phần mở rộng .mira, được đặt tên theo hành tinh hư cấu từ trò chơi Xenoblade.

Để giải mã các tập tin của bạn miễn phí, bạn sẽ cần đảm bảo rằng bạn có một bản sao của ghi chú tiền chuộc được tạo khi bạn bị nhiễm. Các ghi chú tiền chuộc này được đặt tên !!! READ_IT !!!. Txt và được đặt trong mỗi thư mục có các tệp được mã hóa và trên màn hình nền.

Cách thực hiện như sau:

Bước 1: Tải xuống chương trình decrypt_Plan tiền.exe từ liên kết sau và lưu nó trên máy tính.

Bước 2: Chạy ứng dụng với quyền Admin để giải mã tất cả các tập tin bị ransomware mã hoá. Sau khi bắt đầu, bạn sẽ ở màn hình bruteforcer nơi yêu cầu bạn chọn một ghi chú tiền chuộc.

Bước 3: Duyệt và chọn một ghi chú tiền chuộc và sau đó nhấp vào nút Start. Bộ giải mã sau đó sẽ hiển thị khóa giải mã được tìm thấy như hình bên dưới.

Bước 4: Bây giờ bạn có thể nhấn nút OK để tải khóa vào bộ giải mã.

Bước 5: Màn hình giải mã chính bây giờ sẽ được hiển thị và bạn nên thêm bất kỳ ổ đĩa nào chứa các tập tin bạn muốn giải mã.

Bước 6: Khi đã sẵn sàng, nhấp vào nút Decrypt để bắt đầu quá trình giải mã. Bộ giải mã bây giờ sẽ tìm kiếm trên máy tính các tập tin được mã hóa kết thúc bằng phần mở rộng .mira , .yum , .Pluto hoặc .Neptune và tự động giải mã chúng.

Sau khi kết thúc, tab Result sẽ trạng thái Completed và tất cả các tập tin của bạn sẽ được giải mã.

Theo BleepingComputer

Phía sân bay cho biết vụ tấn công bắt đầu vào sáng thứ sáu tuần qua, khiến máy tính trong hệ thống mạng của sân bay bị ngừng hoạt động. Đáng chú ý là cả các màn hình hiển thị thông tin chi tiết các chuyến bay cũng bị ảnh hưởng.

Vụ tấn công nói trên đã buộc sân bay phải cho ngừng vận hành hệ thống mạng, sử dụng bảng trắng và áp phích bằng giấy để thông báo về thông tin check-in cũng như các chuyến bay đến sân bay và các điểm nhận hành lý trong suốt ngày thứ sáu, thứ bảy và đêm trong ngày tiếp theo.

We are currently experiencing technical problems with our flight information screens. Flights are unaffected. Tannoys are assisting with flight info and extra staff are on hand to assist passengers.

— Bristol Airport (@BristolAirport) September 14, 2018

Trang Twitter chính thức của sân bay Bristol sau đó đã đăng thông báo sân bay đang gặp sự cố kỹ thuật với các màn hình thông báo chuyến bay và cho biết các chuyến bay đều không bị ảnh hưởng. Đồng thời cho biết các thông tin về chuyến đến và đi sẽ được đưa lên hệ thống địa chỉ công cộng.

Phía sân bay cũng kêu gọi hành khách đến sân bay sớm để có thêm thời gian cho việc làm thủ tục lên máy bay. Dù vậy, hai ngày với sự cố kỹ thuật này đã gây ra chậm trễ trong việc xử lý hành lý của khách hàng, khiến hành khách phải chờ đợi lâu hơn khoảng một tiếng.

Tuy nhiên, may mắn là không có chuyến bay nào bị trễ do cuộc tấn công nói trên. Hiện tại, hệ thống này đã được phục hồi và vận hành lại bình thường.

Theo The Hacker News

Bạn tải Acronis Ransomware Protection tại đây (dung lượng 19 MB) và tương thích Windows 7 Service Pack 1 trở lên.

1. Ransomware là gì:

Ransomware là loại malware tống tiền, nó sử dụng một hệ thống mật mã để mã hóa dữ liệu trên máy tính và đòi tiền chuộc thì mới khôi phục lại. Loại malware này đã hoành hành trong năm 2017 với tên gọi WannaCry chắc hẳn bạn đã biết và nghe qua.

2. Sử dụng:

Sử dụng Acronis Ransomware Protection cần có tài khoản. Khi cài đặt xong, bạn sẽ thấy giao diện yêu cầu đăng nhập. Nếu chưa có, bấm I don’t have an account yet để đăng ký. Acronis sẽ gửi email tới họp thư và bạn cần kích hoạt tài khoản để sử dụng chức năng sao lưu với 5 GB miễn phí.

Acronis Ransomware Protection sẽ giới thiệu các chức năng trong lần đầu sử dụng. Phần mềm sẽ giám sát mọi tiến trình hoạt động trên máy tính và hiển thị những tiến trình đáng ngờ (Suspicious) mà bạn có thể chặn hay tin tưởng chúng.

Bấm Manage processes để xem các tiến trình đáng ngờ, nếu tiến trình có trong danh sách là tin cậy bạn hãy đánh dấu tin tưởng để phần mềm bỏ qua. Bấm lên tiến trình > Trust. Còn ngược lại thì Block để chặn tiến trình đó hoạt động. Bạn có thể quản lý và thêm những tiến trình thực thi khác (bin, cmd, com, cpl, dll, exe) bằng cách bấm Add an application.

Nếu có tiến trình đáng ngờ cố gắng mã hóa các tập tin hoặc chèn mã độc hại vào hệ thống, Acronis Ransomware Protection sẽ ngăn chặn và thông báo ngay lập tức đến cho bạn. Bạn có thể biết sức khỏe máy tính qua biểu đồ thời gian trên giao diện. Nếu thấy một dãi xanh thì máy tính bạn đang an toàn chưa nhiễm mã độc hại. Còn nếu thấy dấu đỏ chứng tỏ dữ liệu trên máy đã dính ransomware.

3. Sao lưu dữ liệu:

Acronis Ransomware Protection hỗ trợ khôi phục các tập tin nếu dữ liệu bị ransomware mã hóa. Acronis phục hồi các tập tin từ cache, các tập tin tạm thời hoặc sao lưu.

Tuy nhiên, “phòng bệnh còn hơn chữa bệnh” và Acronis Ransomware Protection cung cấp cho bạn một không gian lưu trữ với 5 GB miễn phí để sao lưu các dữ liệu quan trọng.

Bạn chỉ cần kéo thả file hay thư mục file vào khung Drop your folder… hay bấm add them manually để chọn. Quá trình sao lưu sẽ diễn ra ngay sau đó, bạn bấm nút bánh răng cưa để quản lý các file sao lưu hay thêm mới (kéo thả hay chọn với Add a folder). Để tải về các file sao lưu, bạn bấm Browse hay truy cập https://cloud-wr-ru2.acronis.com/.

Trend Micro đang xem xét các kịch bản tấn công của tội phạm không gian mạng hiện nay và trong tương lai để đưa ra những biện pháp bảo mật hiệu quả. Trong năm 2017, Trend Micro đã dự đoán rằng các cuộc tấn công bằng ransomware sẽ phát triển mạnh mẽ. Sự cố WannaCry, các cuộc tấn công Petya, Locky&FakeGlobe và Bad Rabbit đã gây ra những ảnh hưởng không nhỏ đến người dùng.

Với sự phát triển nhanh chóng hiện nay của đồng tiền kỹ thuật số, tội phạm công nghệ cao có thể sẽ sử dụng phương thức tấn công mạnh mẽ hơn nữa vào các dữ liệu quan trọng của người dùng để tống tiền. Các dạng Ransomware-as-a-service (RaaS) được cung cấp trong các diễn đàn hoạt động ngầm và deepweb, các cuộc tấn công quy mô lớn vào đồng tiền Bitcoin rất có thể sẽ nhanh chóng diễn ra.

Các giai đoạn phát triển của Ransomware trong những năm qua.

Dấu hiệu nhận biết sự nguy hiểm rõ ràng nhất của các tội phạm công nghệ cao trong thời gian qua đó là chúng nhắm thẳng vào các hình thức đánh cắp tiền hoặc tống tiền người dùng. Các phần mềm độc hại hoặc các payload ẩn qua nhiều cách sẽ chiếm đoạt thông tin giao dịch ngân hàng cũng như thông tin cá nhân của người dùng.

Phần mềm độc hại với hình thức mới xuất hiện dưới dạng các chương trình diệt virus giả mạo (FAKEAV). Theo đó, người dùng bị lừa gạt khi tải phần mềm và bắt buộc phải trả tiền để lấy lại quyền truy cập thiết bị của mình.

Những bước đầu thành công trong việc dùng ransomware đã thúc đẩy tội phạm không gian mạng tìm cách tấn công vào các mục tiêu lớn hơn nữa với mức tiền chuộc cao hơn. Bọn tội phạm thực hiện các chiến dịch lừa đảo, gửi đi các email chứa ransomware hàng loạt để đảm bảo sẽ có người dùng bị tấn công.

Bên cạnh đó, để tìm kiếm những khoản tiền lớn hơn, chúng tấn công vào mục tiêu là các tổ chức lớn, ưu tiên doanh nghiệp hoạt động trong ngành Công nghiệp Internet Vạn vật (IIoT – Industrial Internet of Things). Một cuộc tấn công bằng ransomware sẽ làm gián đoạn hoạt động và gây ảnh hưởng đến dây chuyền sản xuất.

Cuộc tấn công bởi WannaCry và Petya là minh chứng cho việc đó. Các công ty phải trả một khoản tiền lớn để lấy lại những thông tin của họ. Tuy nhiên, khi các công ty đã tìm ra giải pháp để ngăn chặn nguy cơ này, những biến thể ransomware mới xuất hiện với việc sử dụng các lỗ hổng bảo mật để đánh cắp thông tin.

Trend Micro dự đoán rằng mục tiêu tấn công hàng đầu của tin tặc trong năm 2018 là các thiết bị IoT (Internet of Things). Máy quay video kỹ thuật số (DVR), Camera IP và Router có thể bị xâm nhập và phá hoại. Bên cạnh đó, bằng việc thực hiện các cuộc tấn công DDoS, tin tặc sử dụng địa chỉ IP của IoT bị tấn công để giả mạo vị trí và lưu lượng truy cập web. Từ đó, chúng sẽ thực hiện các cuộc tấn công mạng khác mà không sợ bị các cơ quan an ninh mạng tra rõ vị trí IP.

Với xu hướng sử dụng rộng rãi thiết bị IoT hiện nay, các nhà sản xuất liên tục đưa những sản phẩm mới để cạnh tranh thị trường. Vì vậy, nhiều bản thiết kế của các thiết bị IoT đều xuất hiện lỗ hổng. Chưa kể, việc vá lỗi trên các thiết bị IoT cực kỳ khó khăn so với PC. Cuộc tấn công KRACK đã chứng minh rằng ngay cả những thiết bị kết nối không dây cũng có thể bị tấn công bởi tin tặc. Tương tự, tin tặc tấn công vào các thiết bị cá nhân như loa không dây hay các công cụ trợ lý bằng giọng nói để xác định vị trí nhà ở người dùng và thực hiện các vụ cướp tài sản.

Gần đây xuất hiện các vụ tấn công vào lĩnh vực hàng không của tin tặc, tiêu biểu là tai nạn hoặc va chạm máy bay diễn ra thường xuyên. Vì vậy, Trend Micro cảnh báo nguy cơ tội phạm công nghệ cao sẽ nhắm mục tiêu vào hệ thống máy bay không người lái. Được biết, có hàng trăm nghìn chiếc máy bay không người lái hiện đang “lơ lửng” trên không phận của Mỹ. Nếu điều này thật sự diễn ra, thảm họa 11 tháng 9 thậm chí có thể tái hiện thêm lần nữa tại quốc gia này.

Ngoài ra, Trend Micro còn phát hiện ra các trường hợp tin tặc tấn công vào lỗ hổng bảo mật trên các thiết bị hỗ trợ y tế như máy đo nhịp tim hay theo dõi sinh trắc học. Việc tin tặc truy cập để đánh cắp và thay đổi thông tin từ các thiết bị này có nguy cơ gây tử vong cho người dùng.

Các cơ quan quản lý và nhà sản xuất nên nhìn nhận lại rằng không phải tất cả thiết bị IoT có tính năng bảo mật được tích hợp sẵn đều an toàn. Các thiết bị này nên được đánh giá rủi ro, thay đổi mật khẩu mặc định và thường xuyên được cập nhật phần mềm.

Theo thống kê của Cục điều tra Liên bang Mỹ (FBI), Thư điện tử BEC (Business Email Compromise) đã được ghi nhận xuất hiện ở hơn một trăm quốc gia và tăng 2,37% so với số lượng trong khoảng giữa tháng 1 năm 2015 đến tháng 12 năm 2016. Cách thức này cực kỳ đơn giản, không tốn nhiều thời gian để theo dõi mà phạm vi ảnh hưởng rất lớn, số tiền kiếm được nhanh chóng. Điều này được chứng minh qua số tiền bị đánh cắp là hơn 5 tỷ USD đã được ghi nhận lại bởi FBI trong năm 2016.

Số tiền thiệt hại có thể lên đến 9,1 tỷ USD theo tình hình phát triển của MEC hiện nay.

Trend Micro dự đoán việc sử dụng BEC giả mạo sẽ còn gia tăng hơn nữa trong năm 2018, những tổn thất do hình thức này mang lại có thể lên đến 9 tỷ USD. Mục tiêu chủ yếu của tin tặc là các ngân hàng lớn.

Cụ thể, tin tặc sẽ đánh cắp thông tin cá nhân của Giám đốc Điều hành các ngân hàng, tạo chữ ký và email giả mạo, gửi đến người dùng để yêu cầu nộp khoản tiền đặt cọc. Bên cạnh đó, những kẻ tấn công còn có thể lên những kế hoạch dài hạn với nhiều thao tác hơn để nhắm vào bộ phận tài chính ở các ngân hàng.

Tuy nhiên, hệ thống doanh nghiệp sẽ không phải là mục tiêu duy nhất của tội phạm không gian mạng. Vào năm 2018, Trend Micro hy vọng sẽ cố gắng hơn nữa để tìm ra và khắc phục các lỗ hổng bảo mật trên nền tảng của Adobe và Microsoft, tập trung chủ yếu trên trình duyệt và máy chủ.

Trong năm qua, các lỗ hổng bảo mật của Adobe Flash Player, Oracle của Java và Microsoft Silverlight trở thành mục tiêu tấn công của tin tặc. Tuy nhiên, Trend Micro tiên đoán rằng các nguy cơ trong năm 2018 sẽ chủ yếu nhằm vào công cụ JavaScript trên các trình duyệt. Các lỗi tương tự như Google Chrome’s V8, Chakra của Microsoft Edge hay lỗ hổng trên trình duyệt của JavaScript sẽ xuất hiện nhiều hơn nữa vào năm 2018.

Những kẻ tấn công sẽ tập trung vào việc khai thác các lỗ hổng bảo mật để đưa các payload nguy hiểm xuống thiết bị người dùng. Trend Micro dự đoán rằng việc sử dụng SMB (Server Message Block) và Samba nhằm mục đích phát tán ransomware sẽ mạnh mẽ hơn nữa trong 2018. Các lỗ hổng của SMB có thể được khai thác mà không cần sự tương tác từ người dùng.

Trên thực tế, lỗ hổng SMB đã được sử dụng trong vụ tấn công bằng EternalBlue làm tê liệt nhiều hệ thống chạy trên Windows dưới dạng WannaCry và Petya Ransomware hay EternalRomance bằng Bad Rabbit. Nguồn mở Samba trên Linux cũng có khả năng khai thác lỗ hổng SMB tương tự vậy.

Người dùng cá nhân và doanh nghiệp nên thường xuyên kiểm tra các bản cập nhật phần mềm và áp dụng bản vá lỗi. Trend Micro khuyên bạn nên tích hợp tính năng bảo mật cần thiết để bảo vệ các nền tảng chống lại lỗ hổng bảo mật chưa được vá và không được cập nhật. Các giải pháp bảo mật về mạng nên tập trung vào việc thực hiện các bản vá trực tuyến và thường xuyên kiểm tra lưu lượng bất hợp lý từ mọi nguồn. Và hơn hết, việc cập nhật tin tức về các vấn đề bảo mật hàng ngày là cực kỳ quan trọng trong thời đại công nghệ hiện nay.

Loại malware này sử dụng một hệ thống mật mã để mã hóa dữ liệu thuộc về một cá nhân và đòi tiền chuộc thì mới khôi phục lại. Một trong những đại diện nổi tiếng nhất của loại malware này có tên là CryptoLocker, nó sẽ tiến hành “bắt cóc” dữ liệu của người dùng làm con tin và đòi họ chi trả hàng trăm USD để “chuộc” lại chúng.

Giống như các phần mềm độc hại khác, Ransomware có thể xâm nhập vào máy tính của người sử dụng khi người dùng tìm và dùng các phần mềm crack; bấm vào quảng cáo; truy cập web đen, đồi trụy; truy cập vào website giả mạo; tải và cài đặt phần mềm không rõ nguồn gốc; file đính kèm qua email spam…

Sau khi xâm nhập vào máy tính, nó sẽ tiến hành mã hóa dữ liệu của bạn nhưng không yêu cầu bạn đưa ra tiền chuộc ngay, mà nó sẽ đưa ra cho bạn danh sách các phần mềm để bẻ khóa dữ liệu khi bạn tiến hành tìm kiếm trên mạng. Tất nhiên các phần mềm này đều có phí.

Nhiều ransomware được ngụy trang khá tốt. Đôi khi nó còn được gọi là “scareware” bởi chúng sẽ đưa ra những cảnh báo giả cho người dùng như “Máy tính của bạn đã bị nhiễm malware, hãy mua phần mềm [xxx] để tiến hành loại bỏ malware này” hoặc “Máy tính của bạn đã được sử dụng để tải về các dữ liệu vi phạm pháp luật, hãy nộp phạt để có thể tiếp tục sử dụng máy tính”.

Một số trường hợp khác, ransomware sẽ trực tiếp nêu lên vấn đề cho bạn. Chúng sẽ thâm nhập sâu vào bên trong hệ thống của máy rồi hiển thị một thông báo rằng chúng sẽ chỉ biến mất khi bạn trả tiền cho tác giả của ransomware đó. Kiểu phần mềm độc này có thể bị trị bằng các công cụ gỡ bỏ mã độc hoặc cài lại Windows.

Làm sao để tự bảo vệ bản thân khỏi ransomware? Rất đơn giản, người dùng nên tuân theo những lời khuyên sau đây:

– Cài đặt và thường xuyên nâng cấp một phần mềm diệt virus trên máy tính.

– Đảm bảo Windows và mọi phần mềm đang sử dụng trên máy tính đều thường xuyên được nâng cấp để vá lại các lỗ hổng bảo mật.

– Tuyệt đối không kích vào các đường link khả nghi, dù được gửi đến từ người quen (bởi lẽ tài khoản của họ có thể đã bị hacker chiếm đoạt hoặc tự động phát tán đường link có chứa mã độc). Nhìn chung, nếu không chắc chắn về các trang web, tuyệt đối không mở chúng.

– Tuyệt đối không mở các file đính kèm được gửi đến từ những người không quen biết hoặc không tải các file từ các trang web không rõ nguồn gốc.

– Thường xuyên sao lưu những dữ liệu quan trọng trên máy tính ra các thiết bị lưu trữ bên ngoài hoặc các dịch vụ lưu trữ đám mây.

Ransomware Petya dùng mã khai thác do Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) phát triển, thông tin này bị rò rỉ và sau đó được sử dụng trong vụ tấn công bằng ramsomware WannaCry gây ra sự gián đoạn toàn cầu hồi tháng Năm, nay đến Petya.

Rất nhiều hệ thống máy tính tại các doanh nghiệp lớn đã bị đình trệ vì Petya như hãng quảng cáo WPP của Anh, công ty vật liệu xây dựng Saint-Gobain của Pháp, nhiều công ty dầu thép của Nga… Một số hãng thực phẩm, công ty luật, công ty vận tải và hệ thống y tế tại Đan Mạch cũng bị ảnh hưởng bởi ransomware này.

Hiện chưa rõ một máy tính có thể bị lây nhiễm Petya như thế nào, nhưng nhiều khả năng không phải qua email như WannaCry. Trước đó ảnh chụp một máy tính được cho là bị nhiễm Petya đã được đăng tải với thông báo cho biết dữ liệu đã bị mã hóa, yêu cầu trả khoản Bitcoin tương đương 300 USD để lấy mã mở khóa.

Khi được phát hành lần đầu tiên, mã nguồn mở cho phép bất cứ ai, kể cả các nhà phát triển không có kinh nghiệm, quấy rối nạn nhân với ransomware. Các biến thể dựa trên Hidden Tear đầu tiên, và thậm chí cả các ransomware nguồn mở tương tự như EDA2, không khác xa bản gốc. Tuy nhiên, không có gì ngạc nhiên khi các tác giả ransomware tiếp tục xây dựng mã nguồn đã được phát hành và tạo ra các biến thể cải tiến.

Một ví dụ là ransomware May (được phát hiện bởi Trend Micro dưới dạng RANSOM_HIDDENTEARMAY.A), một phiên bản Hidden Tear gần đây sử dụng mã hóa AES256 và RSA4096. Việc mã hóa thực sự dựa trên mã nguồn Hidden Tear, nhưng thế hệ khóa lại khác. Chỉ cần bạn chọn một tệp tin ngẫu nhiên trong C: \ Program Files \ Internet Explorer thì ransomware May sẽ tự chạy và xáo trộn 128 byte đầu tiên của tệp đó, sau đó sử dụng các byte đã được xáo trộn làm mật khẩu khóa AES.

Để giữ cho hệ thống của nạn nhân chạy trơn tru và ép họ trả tiền chuộc dễ dàng hơn, May tránh mã hóa các tập tin trong các thư mục chứa các chuỗi sau:

• Program Files
• Windows
• Program Data

Ransomware Mooware (được phát hiện dưới dạng RANSOM_HIDDEMEARMOWARE) là một biến thể Hidden Tear khác với mã nguồn gốc. Để khởi động, nó có một thuật toán mã hóa khác nhau từ Hidden Tear, sử dụng mã hóa XOR thay vì AES. Các ransomware mã hóa tập tin trong các thư mục Desktop, Personal, MyMusic, MyPictures và Cookies. Nó cũng kiểm tra kết nối mạng và vô hiệu hóa các công cụ Registry, Task Manager và CMD.

Cách đòi tiền chuộc cũng khá tinh vi, thậm chí “giúp đỡ” các nạn nhân với một loạt các câu hỏi thường gặp đính kèm.

Hình 1. Cách đòi tiền chuộc của Mooware.

Một phiên bản Hidden Tear khác được gọi là ransomware Franzi (được phát hiện bởi Trend Micro dưới dạng RANSOM_HIDDENTEARFRANZI.A) quét phần mềm gỡ lỗi của Microsoft. Cụ thể, nó kiểm tra: Crypto Obfuscator, OLLYDBG, IsDebuggerPresent, và CheckRemoteDebuggerPresent.

Ransomware mới tập trung vào đồ họa và kế hoạch thanh toán

Trend Micro lưu ý rằng TeslaCrypt đã bị xóa sổ vào tháng 5 năm 2016 nhưng sự biến mất đó lại mở ra một kỷ nguyên ransomware mới: Tesla (Trend Micro phát hiện dưới dạng RANSOM_CRYPTEAR.SM). Mặc dù có cùng tên Tesla, Tesla có một số khác biệt rõ rệt với TeslaCrypt cũ, bao gồm một giao diện phức tạp hơn. Nó cũng được viết bằng Microsoft Intermediate Language (MSIL), trong khi TeslaCrypt sử dụng C++.

Hình 2. Biểu tượng ransomware Tesla.

Hình 3. Cách đòi tiền chuộc của Tesla.

Widia (được phát hiện bởi Trend Micro dưới dạng RANSOM_WIDIALOCKER.A) là một ransomware khóa màn hình đang được phát triển, có thể có nguồn gốc từ Romania. Một tính năng của Widia là yêu cầu người sử dụng thanh toán tiền chuộc qua thẻ tín dụng, thay vì thanh toán Bitcoin. Phương thức thanh toán này là một lựa chọn thú vị cho các nhà phát triển bởi vì thẻ tín dụng vốn được sử dụng nhiều hơn và sẽ làm cho nạn nhân trả tiền chuộc dễ dàng hơn. Thẻ tín dụng giao dịch cũng dễ dàng truy vấn chứ không rắc rối như Bitcoin.

Trong khi đó, BlueHowl (được phát hiện bởi Trend Micro dưới dạng RANSOM_BLUEHOWL) là một ransomware khóa màn hình mới có âm thanh đính kèm và video nhúng của The Final Countdown nhằm đe doạ nạn nhân. Đối với thanh toán, nó có tùy chọn Bitcoin thông thường nhưng lại có thêm mã QR để tạo thuận lợi cho việc thanh toán.

Hình 4. BlueHowl sử dụng mã QR để thanh toán.

Bọn hacker sáng tạo ransomware đang tìm kiếm những cách mới để thu tiền chuộc từ nạn nhân bằng cách tạo ra các giao diện tốt hơn hoặc cung cấp các lựa chọn thanh toán được sử dụng rộng rãi. Khi ransomware tiếp tục lan rộng và phát triển, người dùng phải luôn cảnh giác và đảm bảo an toàn được ưu tiên.

Như Quỳnh (Theo Trend Micro)

Chỉ trong vài ngày ngắn ngủi, ransomware (mã độc tống tiền) WannaCry đã lây nhiễm trên hàng trăm ngàn máy tính tại 150 quốc gia và con số này vẫn không ngừng tăng lên. Việt Nam chúng ta cũng nằm trong Top 20 nước bị WannaCry tấn công hàng đầu.

WannaCry là gì?

WannaCry (hay còn gọi là WannaCrypt) là loại ransomware kiểu mới, tấn công người dùng bằng cách tận dụng lỗ hổng SMB (MS17-010) trên Windows mà Microsoft đã vá lỗi hồi tháng ba vừa qua.

Khi đã xâm nhập thành công vào máy tính, WannaCry sẽ khóa các tập tin và yêu cầu nạn nhân phải trả ít nhất là 300USD bằng bitcoins để lấy lại quyền kiểm soát hệ thống. Tuy nhiên, không có gì đảm bảo rằng mọi thứ sẽ trở về nguyên vẹn ngay sau khi bạn đã trả tiền chuộc.

Theo một số nguồn tin khác thì sau khi thâm nhập được vào hệ thống, bọn tin tặc không những khóa và ăn trộm dữ liệu quan trọng mà còn chiếm luôn quyền sử dụng các tài khoản Facebook, Skype, Gmail,… đang lưu trên máy để giả dạng người dùng, gửi tin nhắn phát tán đường link chứa ransomware cho bạn bè và người thân.

WannaCry lây lan như thế nào?

Thông thường, ransomware sẽ lây nhiễm vào máy tính thông qua các liên kết hoặc tập tin độc hại được đính kèm trong email, nếu người dùng tò mò và tải về, ngay lập tức mã độc sẽ được kích hoạt.

Điều nguy hiểm ở chỗ, WannaCry lây lan mạnh qua mạng LAN do tận dụng các công cụ khai thác lỗi SMB mà NSA (Cơ quan an ninh quốc gia Hoa Kỳ) phát triển bí mật và bị nhóm ShadowBroker đánh cắp và tung ra public từ cả tháng trước. Nếu một máy trong cơ quan bị nhiễm thì khả năng toàn bộ các máy trong mạng LAN cũng có thể nhiễm theo nếu như không được vá lỗi trước đó.

Cách kiểm tra xem máy tính của bạn có thể bị WannaCry tấn công hay không?

– Bkav vừa phát hành công cụ kiểm tra mã độc miễn phí cho người dùng Windows (tải tại đây). Công cụ này cho phép bạn kiểm tra có đang bị nhiễm WannaCry không, đồng thời cảnh báo nếu máy tính có chứa lỗ hổng EternalBlue – điểm yếu mà WannaCry đang khai thác để xâm nhập máy tính.

– Ngoài ra, Công ty Cổ phần Công nghệ An toàn thông tin và Truyền thông Việt Nam (VNIST) cũng đã xây dựng công cụ cho phép dò quét lỗ hổng MS17-010 trong các dải mạng để phát hiện các máy tính chưa được khắc phục, cập nhật bản vá lỗ hổng này của Microsoft.

Tải công cụ kiểm tra tại đây.

Các bước kiểm tra lỗ hổng những máy tính trong hệ thống mạng:

+ Bước 1: Xác định các địa chỉ IP hoặc giải mạng của tổ chức, doanh nghiệp (ví dụ: 192.168.1.1/24).

+ Bước 2: Thực hiện việc dò quét bằng việc thực thi dòng lệnh qua CMD: VNISTscanner.exe 192.168.1.1/24

+ Bước 3: Theo dõi kết quả quét của công cụ.

Những IP nào xuất hiện cụm từ “is safe” thì địa chỉ IP đó không bị ảnh hưởng bởi lỗ hổng, địa chỉ IP nào xuất hiện cụm từ “vulnerable”.

NHƠN LỘC (tổng hợp)

Netflix có 93 triệu thuê bao tại hơn 190 quốc gia. Đây là một ứng dụng phổ biến, nhưng nhiều người không sẵn sàng trả phí thuê bao hàng tháng. Họ cố gắng dùng mọi cách nhằm bỏ qua các chi phí và xem nội dung miễn phí. Tội phạm mạng đã lợi dụng điều này để phát tán ransomware.

Theo đó, ransomware mới được phát hiện – RANSOM_NETIX.A lừa người dùng máy tính Windows tạo tài khoản đăng nhập trên các trang web độc hại có liên kết hay tiếp cận với các dịch vụ web trả phí. Chỉ cần nạn nhân bấm vào nút “Generate Login” và quá trình mã hóa được khởi động. Các ransomware sử dụng đăng nhập giả mã hóa 39 loại tập tin dưới dạng C:\Users.

Chương trình sau đó đòi $100 Bitcoin từ các nạn nhân. Mặc dù mục tiêu của nó là người dùng Windows, nhưng nó không được khởi chạy trên Windows 7 hoặc Windows 10.

Netflix, với lượng người dùng khổng lồ, đã bày ra một cơ hội hấp dẫn cho các tin tặc khai thác lỗ hổng, lây nhiễm hệ thống để ăn cắp dữ liệu người dùng, và kiếm tiền từ dữ liệu trên web đen. Thông tin bị đánh cắp có thể được sử dụng để mặc cả giữa các tội phạm hoặc nạn nhân bị lừa cài đặt phần mềm độc hại và tạo ra lợi nhuận.

“Chúng tôi thường xuyên chứng kiến bọn tội phạm mạng đe dọa nạn nhân sử dụng các ứng dụng hoặc dịch vụ phổ biến như một mồi nhử để nạn nhân tự lây nhiễm chính mình”, Jon Clay, đại diện hãng bảo mật Trend Micro giải thích. “Ngoài ra, tội phạm còn lừa nạn nhân bằng cách sử dụng hình ảnh tương tự như hình ảnh các nhà cung cấp thực sự.”

Đại diện Trend Micro cho biết thêm, phát hiện này đánh dấu xu hướng ransomware trong năm 2016 đã được kiểm chứng, trong đó bao gồm việc tạo ra các chiến thuật mới để đánh lừa nạn nhân hơn. Sau khi nhìn thấy sự tăng trưởng gần 750% trong các chủng ransomware mới trong năm 2016, Trend Micro dự đoán trong năm 2017 các chủng ransomware mới sẽ tăng trưởng 25%.

Các ứng dụng Netflix lừa đảo sẽ thúc đẩy ransomware bùng lên trong năm nay.

“Chúng tôi có thể nhìn thấy tội phạm mạng đang lên kế hoạch đối với các thương hiệu nổi tiếng khác sau khi các ứng dụng Netflix lừa đảo thành công. Bọn tội phạm sẽ sử dụng chiến thuật này một lần nữa với các nhà cung cấp khác”, đại diện Trend Micro cảnh báo.

Đây là một lời cảnh tỉnh cho các nạn nhân tiềm năng bảo vệ tài khoản của họ. Bạn cần phải thường xuyên cập nhật thông tin tài khoản, sử dụng xác thực hai chiều, hạn chế tải các nguồn tin không chính thức, và cảnh giác với các email không hợp pháp.

Hãng bảo mật Trend Micro khuyến cáo, các doanh nghiệp nên đào tạo nhân viên của mình về cách phòng tránh ransomware trong khi làm việc. Nhân viên cần phải nhận thức rằng việc có được một tài khoản Netflix miễn phí là chuyện hoàn toàn “không có thật”, và bạn không nên bị tác động bởi điều này.

Ngoài ra, người dùng còn có thể tự bảo vệ mình bằng cách tránh tải từ các trang web sơ sài hoặc nhấp vào quảng cáo đáng ngờ.

NHƯ QUỲNH

Thống kê từ hệ thống giám sát virus của Bkav cho thấy, có tới 16% lượng email lưu chuyển trong năm 2016 là email phát tán ransomware, nhiều gấp 20 lần năm 2015. Như vậy cứ trung bình 10 email nhận được trong năm 2016 thì người sử dụng sẽ gặp 1,6 email chứa ransomware, một con số rất đáng báo động.

Ransomware chuyên mã hóa các file dữ liệu trên máy, khiến người sử dụng không thể mở file nếu không trả tiền chuộc cho hacker. Số tiền chuộc khổng lồ hacker kiếm được chính là nguyên nhân dẫn tới sự bùng nổ của loại mã độc nguy hiểm này. Để phòng tránh, tốt nhất người dùng nên trang bị cho mình phần mềm diệt virus để được bảo vệ tự động, luôn mở file tải về từ email trong môi trường cách ly an toàn Safe Run.

NHƯ QUỲNH

Từ các biến thể nâng cấp lên thành phiên bản sửa lại được bán với giá rẻ trên web đen (dark web), các ransomware đang phát triển mạnh mẽ và không có dấu hiệu dừng lại. Dưới đây là bản tin tổng kết của Trend Micro về ransomware mới cùng những xu hướng phát triển đáng chú ý trong tháng 7 và dự đoán sẽ phát triển mạnh hơn trong tương lai:

# Xu hướng tái tạo: Các chủng ransomware lấy cảm hứng từ các chủng tiền nhiệm

Stampado

Giữa tháng 7, hãng bảo mật Trend Micro phát hiện Stampado có nhiều điểm tương đồng với Crypto Locker. Stampado đã được quảng cáo và rao bán trong thế giới ngầm với giá 39 USD. Với giá tương đối thấp nhưng lại được sử dụng với “bản quyền trọn đời”, Stampado đã thu hút sự chú ý từ các nhà nghiên cứu và các nhà báo. Sau khi phân tích sâu hơn, Stampado cũng cho thấy điểm tương đồng với các hành vi của Jigsaw khi cả hai đều mã hóa tập tin bằng AES và tự động xóa các tập tin sau một khoảng thời gian mất hiệu lực mà không phải trả tiền chuộc.

CrypMIC

Khi CrypMIC được phát hiện, Trend Micro đã nhanh chóng nhận ra điểm tương đồng của nó với CryptXXX. Đây được xem là nỗ lực để nhân rộng thành công của chủng ransomware này với hàng loạt điểm tương tự như hiển thị ghi chú đòi tiền chuộc hay thậm chí thanh toán qua giao diện người dùng. Tuy nhiên, CrypMIC không thêm bất kỳ tên mở rộng tập tin nào mà nó đã mã hóa. Điều này làm việc phát hiện các tập tin bị ảnh hưởng khá khó khăn.

# Xu hướng cập nhật: Ransomware với các phiên bản cập nhật

Cerber

Sau nhiều thông tin cập nhật để nâng cao khả năng, tháng 7 này chứng kiến sự xuất hiện phiên bản mới nhất của Cerber. Nó đã đặt người dùng Office 365 cá nhân và doanh nghiệp trong hàng loạt cuộc tấn công bằng cách sử dụng các tài liệu Office vĩ mô đính kèm độc hại trong thư rác. Khi nhấp vào tập tin đính kèm, các biến thể sẽ mã hóa 442 loại tập tin bằng cách sử dụng kết hợp mã hóa AES-256 và RSA. Trend Micro còn phát hiện phiên bản mới này được thực hiện bởi quá trình khai thác lỗ hổng Rig và Magnitude – hai quá trình dựa trên việc tận dụng lỗ hổng zero-day.

CryptXXX

Gần đây, một làn sóng các trang web kinh doanh hợp pháp đã bị xâm nhập bởi một mạng botnet có tên SoakSoak cung cấp ransomware cho khách ghé thăm trang web. Hệ thống quản lý nội dung dễ bị tổn thương và chưa được vá đã bị ảnh hưởng bởi các cuộc tấn công tự động. Các trang web bị tấn công sau đó chuyển hướng truy cập vào một trang web độc hại, nơi các tải trọng đã được tìm thấy là CryptXXX, một trong những chủng ransomware khét tiếng.

# Xu hướng thay máu: Xuất hiện nhiều biến thể ransomware mới

cuteRansomware, CTB Faker, Alfa, và Ranscam

Bốn biến thể này được hãng bảo mật Trend Micro phát hiện cùng một tuần trong tháng. cuteRansomware sử dụng Google Docs để truyền tải các khóa mã hóa và thu thập thông tin người dùng để tránh bị phát hiện.

Alfa xuất hiện không lâu sau đó. Được cho là hậu duệ của Cerber, phần mềm độc hại này quét ổ đĩa nội bộ trên hệ thống bị nhiễm và mã hóa trên 142 loại tập tin, chèn thêm phần mở rộng “.bin” của tập tin bị khóa.

Sau Alfa là CTB Faker nổi lên và gần như bắt chước CTB Locker. Phiên bản này được lan truyền thông qua thông tin giả mạo từ các trang web người lớn lừa đảo người dùng với sự hứa hẹn về quyền truy cập mật khẩu vào một video thoát y. Các liên kết độc sau đó dẫn đến việc tải các ransomware lưu trữ trên JottaCloud.

Ranscam cũng được phát hiện cùng thời điểm, đe dọa sẽ xóa các tập tin nếu không nhận được 0,2 Bitcoin tiền chuộc. Tuy cấu hình thấp và không tràn lan rộng rãi, thế nhưng những chủng ransomware này vẫn cho thấy nỗ lực không ngừng của tội phạm mạng để thực hiện những tham vọng đen tối to lớn hơn trong cảnh quan ransomware.

Sự phát triển vượt bậc của ransomware theo những xu hướng định hình đã gây ảnh hưởng không nhỏ tới người dùng cá nhân, tổ chức và các nhà bảo mật. Các chuyên gia dự đoán, nhiều chủng ransomware cùng những xu hướng mới sẽ xuất đầu lộ diện trong tháng 8 và những tháng tiếp theo.

NHƯ QUỲNH (theo Trend Micro)

Sở dĩ ransomware ngày càng phát triển mạnh mẽ là bởi mỗi ngày hacker đều thay đổi các phương pháp và chiến thuật tấn công mới. Mỗi chủng ransomware mới ra đời lại có khả năng làm các phiên bản công cụ giải mã trước bị lỗi thời. Vì vậy, số người nhiễm ransomware ngày càng gia tăng.

Công cụ giải mã ransomware miễn phí do hãng bảo mật Trend Micro phát hành có thể giải mã các tập tin bị mã hóa bởi các ransomware nhất định.

Công cụ giải mã ransomware của Trend Micro có thể giải mã một tập tin duy nhất hoặc tất cả các tập tin chứa trong một thư mục một cách nhanh chóng. Hơn nữa, công cụ này giải mã được rất nhiều chủng ransomware, có thể kể đến như:

Để có thể tải về và sử dụng công cụ giải mã ransomware miễn phí của Trend Micro, người dùng truy cập vào đường link sau đây: http://esupport.trendmicro.com/solution/en-us/1114221.aspx

Các chuyên gia bảo mật Trend Micro cũng khuyên người dùng, để có thể tránh khỏi sự tấn công của ransomware, người dùng nên luyện tập thói quen bảo mật an toàn với các lưu ý sau:

• Hãy chắc chắn rằng bạn luôn sử dụng điện toán đám mây để sao lưu dữ liệu quan trọng nhất của mình.
• Hãy đảm bảo rằng bạn luôn áp dụng các bản cập nhật quan trọng mới nhất và bản vá lỗi cho hệ điều hành hệ thống cũng như phần mềm quan trọng khác (ví dụ như các trình duyệt).
• Hãy cài đặt phiên bản mới nhất và áp dụng các cấu hình tốt nhất của các giải pháp bảo mật tối ưu.

NHƯ QUỲNH

Được biết đến với tên gọi Ransom:Win32/ZCryptor.A, mã độc này có cách thức lây nhiễm tương tự như cách thức lây nhiễm của một số dạng mã độc khác như: thư rác, mã độc marco hay chương trình cài đặt giả mạo. Điểm khác biệt của Zcryptor là khả năng tự phát tán và lây nhiễm từ một máy tính bị xâm nhập.

Để thực hiện lây nhiễm, ZCryptor cài đặt một tập tin autorun.inf trên ổ cứng di động. Tập tin này có thể lây nhiễm vào các máy tính khi sử dụng những ổ đĩa này. Các nhà nghiên cứu của Microsoft giải thích rằng, các mã độc tống tiền này sẽ lợi dụng mạng nhằm mục đích tự phát tán, chúng sẽ cài đặt các bản sao của mình đến các vị trí khác nhau, thay đổi các thuộc tính tập tin này để tự ẩn mình trong mạng.

Khi phân tích mã độc này, các nhà nghiên cứu của hãng bảo mật TrendMicro nhận thấy, mã độc ZCryptor được thiết kế để nhắm vào các máy tính Windows XP 64 bit, ngoài ra chúng cũng có thể chạy trên một số phiên bản gần đây của Windows như Windows 7 và 8.

Khi lây nhiễm vào hệ thống, mã độc Zcryptor có thể chạy khi khởi động hệ thống bằng cách tạo ra các khóa đăng ký registry, sau khi cài tập tin autorun.inf từ ổ cứng di động và zycrypt.lnk vào trong thư mục khởi động hệ thống. Tiếp đó, các mã độc này sẽ tạo ra các bản sao ẩn của chúng là {Drive}: \ system.exevà % appdata% \ zcrypt.exe.

Mã độc tống tiền này nhắm vào hầu hết các loại tập tin, mã hóa chúng và thêm phần mở rộng .zcrypt, đồng thời cũng tạo các mutex zcrypt1.0 trên những máy tính bị nhiễm, với mục đích thông báo rằng máy tính của người dùng đã nhiễm phần mềm độc hại. Ngoài ra chúng cũng kết nối đến các máy chủ điều khiển để trao đổi thông tin.

Mã độc ZCryptor yêu cầu khoản tiền chuộc ban đầu là 1,2 Bitcoin, nhưng sẽ tăng lên 5 Bitcoin sau bốn ngày nếu người dùng không thanh toán. Tuy nhiên, việc trả tiền chuộc không phải là một sự lựa chọn có thể giải quyết được triệt để vấn đề. Thay vào đó, người dùng nên sao lưu dữ liệu để giảm bớt tác động của sự lây nhiễm mã độc.

KIM LONG