Bạn tải Acronis Ransomware Protection tại đây (dung lượng 19 MB) và tương thích Windows 7 Service Pack 1 trở lên.

1. Ransomware là gì:

Ransomware là loại malware tống tiền, nó sử dụng một hệ thống mật mã để mã hóa dữ liệu trên máy tính và đòi tiền chuộc thì mới khôi phục lại. Loại malware này đã hoành hành trong năm 2017 với tên gọi WannaCry chắc hẳn bạn đã biết và nghe qua.

2. Sử dụng:

Sử dụng Acronis Ransomware Protection cần có tài khoản. Khi cài đặt xong, bạn sẽ thấy giao diện yêu cầu đăng nhập. Nếu chưa có, bấm I don’t have an account yet để đăng ký. Acronis sẽ gửi email tới họp thư và bạn cần kích hoạt tài khoản để sử dụng chức năng sao lưu với 5 GB miễn phí.

Acronis Ransomware Protection sẽ giới thiệu các chức năng trong lần đầu sử dụng. Phần mềm sẽ giám sát mọi tiến trình hoạt động trên máy tính và hiển thị những tiến trình đáng ngờ (Suspicious) mà bạn có thể chặn hay tin tưởng chúng.

Bấm Manage processes để xem các tiến trình đáng ngờ, nếu tiến trình có trong danh sách là tin cậy bạn hãy đánh dấu tin tưởng để phần mềm bỏ qua. Bấm lên tiến trình > Trust. Còn ngược lại thì Block để chặn tiến trình đó hoạt động. Bạn có thể quản lý và thêm những tiến trình thực thi khác (bin, cmd, com, cpl, dll, exe) bằng cách bấm Add an application.

Nếu có tiến trình đáng ngờ cố gắng mã hóa các tập tin hoặc chèn mã độc hại vào hệ thống, Acronis Ransomware Protection sẽ ngăn chặn và thông báo ngay lập tức đến cho bạn. Bạn có thể biết sức khỏe máy tính qua biểu đồ thời gian trên giao diện. Nếu thấy một dãi xanh thì máy tính bạn đang an toàn chưa nhiễm mã độc hại. Còn nếu thấy dấu đỏ chứng tỏ dữ liệu trên máy đã dính ransomware.

3. Sao lưu dữ liệu:

Acronis Ransomware Protection hỗ trợ khôi phục các tập tin nếu dữ liệu bị ransomware mã hóa. Acronis phục hồi các tập tin từ cache, các tập tin tạm thời hoặc sao lưu.

Tuy nhiên, “phòng bệnh còn hơn chữa bệnh” và Acronis Ransomware Protection cung cấp cho bạn một không gian lưu trữ với 5 GB miễn phí để sao lưu các dữ liệu quan trọng.

Bạn chỉ cần kéo thả file hay thư mục file vào khung Drop your folder… hay bấm add them manually để chọn. Quá trình sao lưu sẽ diễn ra ngay sau đó, bạn bấm nút bánh răng cưa để quản lý các file sao lưu hay thêm mới (kéo thả hay chọn với Add a folder). Để tải về các file sao lưu, bạn bấm Browse hay truy cập https://cloud-wr-ru2.acronis.com/.

Trend Micro đang xem xét các kịch bản tấn công của tội phạm không gian mạng hiện nay và trong tương lai để đưa ra những biện pháp bảo mật hiệu quả. Trong năm 2017, Trend Micro đã dự đoán rằng các cuộc tấn công bằng ransomware sẽ phát triển mạnh mẽ. Sự cố WannaCry, các cuộc tấn công Petya, Locky&FakeGlobe và Bad Rabbit đã gây ra những ảnh hưởng không nhỏ đến người dùng.

Với sự phát triển nhanh chóng hiện nay của đồng tiền kỹ thuật số, tội phạm công nghệ cao có thể sẽ sử dụng phương thức tấn công mạnh mẽ hơn nữa vào các dữ liệu quan trọng của người dùng để tống tiền. Các dạng Ransomware-as-a-service (RaaS) được cung cấp trong các diễn đàn hoạt động ngầm và deepweb, các cuộc tấn công quy mô lớn vào đồng tiền Bitcoin rất có thể sẽ nhanh chóng diễn ra.

Các giai đoạn phát triển của Ransomware trong những năm qua.

Dấu hiệu nhận biết sự nguy hiểm rõ ràng nhất của các tội phạm công nghệ cao trong thời gian qua đó là chúng nhắm thẳng vào các hình thức đánh cắp tiền hoặc tống tiền người dùng. Các phần mềm độc hại hoặc các payload ẩn qua nhiều cách sẽ chiếm đoạt thông tin giao dịch ngân hàng cũng như thông tin cá nhân của người dùng.

Phần mềm độc hại với hình thức mới xuất hiện dưới dạng các chương trình diệt virus giả mạo (FAKEAV). Theo đó, người dùng bị lừa gạt khi tải phần mềm và bắt buộc phải trả tiền để lấy lại quyền truy cập thiết bị của mình.

Những bước đầu thành công trong việc dùng ransomware đã thúc đẩy tội phạm không gian mạng tìm cách tấn công vào các mục tiêu lớn hơn nữa với mức tiền chuộc cao hơn. Bọn tội phạm thực hiện các chiến dịch lừa đảo, gửi đi các email chứa ransomware hàng loạt để đảm bảo sẽ có người dùng bị tấn công.

Bên cạnh đó, để tìm kiếm những khoản tiền lớn hơn, chúng tấn công vào mục tiêu là các tổ chức lớn, ưu tiên doanh nghiệp hoạt động trong ngành Công nghiệp Internet Vạn vật (IIoT – Industrial Internet of Things). Một cuộc tấn công bằng ransomware sẽ làm gián đoạn hoạt động và gây ảnh hưởng đến dây chuyền sản xuất.

Cuộc tấn công bởi WannaCry và Petya là minh chứng cho việc đó. Các công ty phải trả một khoản tiền lớn để lấy lại những thông tin của họ. Tuy nhiên, khi các công ty đã tìm ra giải pháp để ngăn chặn nguy cơ này, những biến thể ransomware mới xuất hiện với việc sử dụng các lỗ hổng bảo mật để đánh cắp thông tin.

Trend Micro dự đoán rằng mục tiêu tấn công hàng đầu của tin tặc trong năm 2018 là các thiết bị IoT (Internet of Things). Máy quay video kỹ thuật số (DVR), Camera IP và Router có thể bị xâm nhập và phá hoại. Bên cạnh đó, bằng việc thực hiện các cuộc tấn công DDoS, tin tặc sử dụng địa chỉ IP của IoT bị tấn công để giả mạo vị trí và lưu lượng truy cập web. Từ đó, chúng sẽ thực hiện các cuộc tấn công mạng khác mà không sợ bị các cơ quan an ninh mạng tra rõ vị trí IP.

Với xu hướng sử dụng rộng rãi thiết bị IoT hiện nay, các nhà sản xuất liên tục đưa những sản phẩm mới để cạnh tranh thị trường. Vì vậy, nhiều bản thiết kế của các thiết bị IoT đều xuất hiện lỗ hổng. Chưa kể, việc vá lỗi trên các thiết bị IoT cực kỳ khó khăn so với PC. Cuộc tấn công KRACK đã chứng minh rằng ngay cả những thiết bị kết nối không dây cũng có thể bị tấn công bởi tin tặc. Tương tự, tin tặc tấn công vào các thiết bị cá nhân như loa không dây hay các công cụ trợ lý bằng giọng nói để xác định vị trí nhà ở người dùng và thực hiện các vụ cướp tài sản.

Gần đây xuất hiện các vụ tấn công vào lĩnh vực hàng không của tin tặc, tiêu biểu là tai nạn hoặc va chạm máy bay diễn ra thường xuyên. Vì vậy, Trend Micro cảnh báo nguy cơ tội phạm công nghệ cao sẽ nhắm mục tiêu vào hệ thống máy bay không người lái. Được biết, có hàng trăm nghìn chiếc máy bay không người lái hiện đang “lơ lửng” trên không phận của Mỹ. Nếu điều này thật sự diễn ra, thảm họa 11 tháng 9 thậm chí có thể tái hiện thêm lần nữa tại quốc gia này.

Ngoài ra, Trend Micro còn phát hiện ra các trường hợp tin tặc tấn công vào lỗ hổng bảo mật trên các thiết bị hỗ trợ y tế như máy đo nhịp tim hay theo dõi sinh trắc học. Việc tin tặc truy cập để đánh cắp và thay đổi thông tin từ các thiết bị này có nguy cơ gây tử vong cho người dùng.

Các cơ quan quản lý và nhà sản xuất nên nhìn nhận lại rằng không phải tất cả thiết bị IoT có tính năng bảo mật được tích hợp sẵn đều an toàn. Các thiết bị này nên được đánh giá rủi ro, thay đổi mật khẩu mặc định và thường xuyên được cập nhật phần mềm.

Theo thống kê của Cục điều tra Liên bang Mỹ (FBI), Thư điện tử BEC (Business Email Compromise) đã được ghi nhận xuất hiện ở hơn một trăm quốc gia và tăng 2,37% so với số lượng trong khoảng giữa tháng 1 năm 2015 đến tháng 12 năm 2016. Cách thức này cực kỳ đơn giản, không tốn nhiều thời gian để theo dõi mà phạm vi ảnh hưởng rất lớn, số tiền kiếm được nhanh chóng. Điều này được chứng minh qua số tiền bị đánh cắp là hơn 5 tỷ USD đã được ghi nhận lại bởi FBI trong năm 2016.

Số tiền thiệt hại có thể lên đến 9,1 tỷ USD theo tình hình phát triển của MEC hiện nay.

Trend Micro dự đoán việc sử dụng BEC giả mạo sẽ còn gia tăng hơn nữa trong năm 2018, những tổn thất do hình thức này mang lại có thể lên đến 9 tỷ USD. Mục tiêu chủ yếu của tin tặc là các ngân hàng lớn.

Cụ thể, tin tặc sẽ đánh cắp thông tin cá nhân của Giám đốc Điều hành các ngân hàng, tạo chữ ký và email giả mạo, gửi đến người dùng để yêu cầu nộp khoản tiền đặt cọc. Bên cạnh đó, những kẻ tấn công còn có thể lên những kế hoạch dài hạn với nhiều thao tác hơn để nhắm vào bộ phận tài chính ở các ngân hàng.

Tuy nhiên, hệ thống doanh nghiệp sẽ không phải là mục tiêu duy nhất của tội phạm không gian mạng. Vào năm 2018, Trend Micro hy vọng sẽ cố gắng hơn nữa để tìm ra và khắc phục các lỗ hổng bảo mật trên nền tảng của Adobe và Microsoft, tập trung chủ yếu trên trình duyệt và máy chủ.

Trong năm qua, các lỗ hổng bảo mật của Adobe Flash Player, Oracle của Java và Microsoft Silverlight trở thành mục tiêu tấn công của tin tặc. Tuy nhiên, Trend Micro tiên đoán rằng các nguy cơ trong năm 2018 sẽ chủ yếu nhằm vào công cụ JavaScript trên các trình duyệt. Các lỗi tương tự như Google Chrome’s V8, Chakra của Microsoft Edge hay lỗ hổng trên trình duyệt của JavaScript sẽ xuất hiện nhiều hơn nữa vào năm 2018.

Những kẻ tấn công sẽ tập trung vào việc khai thác các lỗ hổng bảo mật để đưa các payload nguy hiểm xuống thiết bị người dùng. Trend Micro dự đoán rằng việc sử dụng SMB (Server Message Block) và Samba nhằm mục đích phát tán ransomware sẽ mạnh mẽ hơn nữa trong 2018. Các lỗ hổng của SMB có thể được khai thác mà không cần sự tương tác từ người dùng.

Trên thực tế, lỗ hổng SMB đã được sử dụng trong vụ tấn công bằng EternalBlue làm tê liệt nhiều hệ thống chạy trên Windows dưới dạng WannaCry và Petya Ransomware hay EternalRomance bằng Bad Rabbit. Nguồn mở Samba trên Linux cũng có khả năng khai thác lỗ hổng SMB tương tự vậy.

Người dùng cá nhân và doanh nghiệp nên thường xuyên kiểm tra các bản cập nhật phần mềm và áp dụng bản vá lỗi. Trend Micro khuyên bạn nên tích hợp tính năng bảo mật cần thiết để bảo vệ các nền tảng chống lại lỗ hổng bảo mật chưa được vá và không được cập nhật. Các giải pháp bảo mật về mạng nên tập trung vào việc thực hiện các bản vá trực tuyến và thường xuyên kiểm tra lưu lượng bất hợp lý từ mọi nguồn. Và hơn hết, việc cập nhật tin tức về các vấn đề bảo mật hàng ngày là cực kỳ quan trọng trong thời đại công nghệ hiện nay.

Cụ thể, các nhà nghiên cứu tại CyphortLabs cho biết đã phát hiện ra một cuộc tấn công tương tự đến một trong những máy chủ honeypot của hãng nhắm vào lỗ hổng EternalBlue. Ban đầu, các nhà nghiên cứu nghĩ đây là một cuộc tấn công của mã độc WannaCry, nhưng sau khi điều tra thêm, các nhà nghiên cứu đã phát hiện ra một mã độc truy cập từ xa (RAT) có thể cho phép kẻ tấn công tiến hành giám sát màn hình, âm thanh, bàn phím, tải lên và tải xuống các tập tin, đồng thời kiểm soát hoàn toàn thiết bị mục tiêu.

Theo một số phân tích, các nhà nghiên cứu cho biết mã độc này đã sử dụng lỗ hổng EternalBlue từ trước khi WannaCry bùng nổ vào ngày 12/5/2017. Hiện tại, các nhà nghiên cứu tin rằng nhóm tin tặc phát tán mã độc này cũng chính là nhóm tin tặc đã phát tán mã độc Mirai trong năm 2016.

Đại Phát

Trong hơn 10 ngày trở lại đây, số lượng các doanh nghiệp, bệnh viện, tổ chức tài chính… bị mã độc tấn công, mã hoá toàn bộ đã tăng lên đột biến. Nhiều dữ liệu và phần mềm quan trọng như kế toán, ERP, CRM,.. bị mã hoá, làm cho hoạt động của toàn bộ tổ chức bị ngưng trệ.

Ông Võ Đỗ Thắng – Giám đốc Trung tâm An ninh mạng Athena cho biết, hiện nay tình hình mã độc ransomware Wannacry diễn biến khá phức tạp, những đơn vị nào đã bị nhiễm mã độc ransomware Wannacry thì rất khó để khôi phục và thiệt hại chắc chắn là không nhỏ.

“Athena đã tiếp nhận hơn 30 trường hợp doanh nghiệp bị lây nhiễm mã độc WannaCry trong những ngày qua. Công ty phân bón VX, khu công nghiệp Biên Hoà là nạn nhân mới nhất của ransomware wwnnacry vừa liên hệ với chúng tôi để ‘cầu cứu’. Toàn bộ server kế toán, dữ liệu công nợ đại lý…. đã bị mã hóa hết”, ông Thắng nói.

Không ngoài dự báo, từ đầu tuần, Wannacry đã tăng cường tấn công doanh nghiệp. Các doanh nghiệp trong lĩnh vực an ninh mạng đã, đang và còn tiếp tục bị “bội thực” vì các cuộc gọi ‘cầu cứu’ từ các doanh nghiệp, tổ chức, thậm chí có cả tòa soạn báo.

Theo Tập đoàn công nghệ Bkav, việc phát tán mã độc mã hóa tống tiền WannaCry chỉ là bề nổi của “tảng băng chìm”. Ông Vũ Ngọc Sơn, Phó chủ tịch phụ trách mảng Chống mã độc (Anti Malware) của Bkav phân tích: “Chúng ta không nên quên Cơ quan an ninh Mỹ NSA được cho là đã sử dụng lỗ hổng này để do thám. Do đó, không loại trừ khả năng cơ quan gián điệp của một quốc gia khác cũng âm thầm khai thác lỗ hổng này, cài đặt phần mềm gián điệp nằm vùng để thực hiện các cuộc tấn công có chủ đích APT”.

Với 4 triệu máy tính có lỗ hổng tại Việt Nam, việc bị cài đặt phần mềm gián điệp để tấn công có chủ đích sẽ nguy hiểm hơn nhiều, thậm chí tiềm ẩn nguy cơ đối với an ninh quốc gia. Nguy cơ này không thể nhận biết rõ như mã độc mã hóa tống tiền. “Việt Nam cần ngay lập tức có chiến dịch vá lỗ hổng này”, ông Vũ Ngọc Sơn nhấn mạnh.

Trên thực tế, chính các doanh nghiệp cũng đang rất khổ vì quá tải thông tin Wannacry, nhưng không có người làm hoặc không có nhân sự đủ chuyên môn để triển khai.

“Các tổ chức, doanh nghiệp hãy tự bảo vệ mình trước, hãy thông báo tình trạng, nguy cơ bắt cốc dữ liệu cho tất cả nhân viên, huấn luyện cho nhân viên kiến thức an ninh mạng, cần cập nhật các bản vá lỗi và các bản chống mã độc,…. Trong trường hợp, doanh nghiệp , tổ chức không có nhân sự thì nên tham khảo, hoặc nhờ tư vấn từ các chuyên gia trong thời gian sớm nhất, trước khi quá muộn. Đừng để mất bò rồi mới lo làm chuồng”, ông Thắng khuyến cáo.

Tuấn An

Mã độc WannaCry khai thác lỗ hổng trên hệ điều hành Windows để tấn công vào các máy tính với mục tiêu mã hóa dữ liệu đòi tiền chuộc, ảnh hưởng tới nhiều tổ chức, cá nhân trên phạm vi toàn cầu.

Phòng chống mã độc tống tiền WannaCry:

– Có thể phòng tránh WannaCry bằng cách cài đặt bản vá bảo mật mới nhất được Microsoft phát hành ngày 14/3 (trừ Windows XP). Bạn có thể vào đây để xem thông tin về các phiên bản Windows bị ảnh hưởng và tải về bản vá lỗi EternalBlue ngay lập tức (MS17-010), tất cả các hệ thống không được cài đặt bản vá lỗi MS17-010 đều có thể bị ảnh hưởng bất cứ lúc nào. Các máy dùng Windows XP/Vista/8, có thể vào đây tải bản cập nhật tương ứng.

Ngoài ra, bạn cần thường xuyên kiểm tra cập nhật trên Windows Update để đảm bảo máy tính được cập nhật các phiên bản, bản vá lỗi mới nhất.

– Không nhấn các đường link lạ, link pdf hoặc link file có định dạng .hta.

– Không tắt tường lửa của Windows, cài đặt trình diệt virus mạnh có khả năng tìm diệt mã độc tống tiền.

– Tải và cài đặt phần mềm chống mã độc WannaCry hoàn toàn miễn phí tại đây.

– Để ngăn chặn Ransomware WannaCry lây nhiễm, bạn mở Notepad, chép và dán nội dung sau vào:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskdl.exe]
“Debugger”=”taskkill /IM /F taskdl.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskse.exe]
“Debugger”=”taskkill /IM /F taskse.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wannacry.exe]
“Debugger”=”taskkill.exe /IM /F wannacry.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mssecsvc.exe]
“Debugger”=”taskkill.exe /IM /F mssecsvc.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasksche.exe]
“Debugger”=”taskkill.exe /IM /F tasksche.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskhsvc.exe]
“Debugger”=”taskkill.exe /IM /F taskhsvc.exe”

Sau đó, lưu file dưới dạng .reg (nhấn Ctrl +S, chọn All Files tại mục Save as type, đặt tên file BlockWC.reg), rồi chạy file này bằng quyền Administrator (nhấn phải chọn Run as administrator).

NHƠN LỘC