Ransomware là gì? Cách ngăn chặn mã độc tống tiền

Cập nhật ngày 17/09/2022 bởi mychi

Bài viết Ransomware là gì? Cách ngăn chặn mã độc tống tiền thuộc chủ đề về Wiki How thời gian này đang được rất nhiều bạn quan tâm đúng không nào !! Hôm nay, Hãy cùng https://HuongLiYa.vn/ tìm hiểu Ransomware là gì? Cách ngăn chặn mã độc tống tiền trong bài viết hôm nay nhé ! Các bạn đang xem bài : “Ransomware là gì? Cách ngăn chặn mã độc tống tiền”

Đánh giá về Ransomware là gì? Cách ngăn chặn mã độc tống tiền



Banner hosting giá rẻ dành cho sinh viên

Ransomware là một mã độc mà bất cứ người dùng máy tính hay laptop của mình bị nhiễm mã độc này. Vậy để biết Ransomware thực chất là gì mà nó đáng sợ như vậy? Hãy cùng Vietnix tìm hiểu ở bài viết dưới đây.

Ransomware (mã độc tống tiền) là một loại virus đã được mã hóa và được Bộ tư pháp Hoa Kỳ xem nó là một mô hình tội phạm cùng với nguy cơ gây ra nguy hiểm cho hệ thống mạng toàn cầu. Khi Ransomware được lây nhiễm vào trong máy tính, nó sẽ mã hóa hay chặn tất cả truy cập trên ổ đĩa. Một khoản tiền chuộc sau đó được bắt buộc để cung cấp quyền truy cập. Ransomware thường được thiết kế để lây lan trên mạng và nhắm mục tiêu đến database và file server. do đó có thể nhénh chóng làm tê liệt toàn bộ tổ chức.

ransomware là gì Ransomware là gì?

Đây là một mối đe dọa ngày càng tăng, tạo ra hàng tỷ đô la thanh toán cho hacker và gây ra thiệt hại và chi phí đáng kể cho các công ty và tổ chức chính phủ.

>> Xem thêm: Malware là gì? Có những hình thức Malware nào Hiện tại?

Banner Hosting Cao Cấp dành cho SEOer
các loại Ransomware các loại Ransomware

Có hai loại ransomware chính: Locker ransomware, khóa máy tính hoặc thiết bị, và ransomware Crypto, ngăn ngừa truy cập vào tệp hoặc dữ liệu, thường thông qua mã hóa.

RYUK là một trường hợp đặc biệt của ransomware, trong những tháng đầu tiên vận hành đã đem lại cho bọn tội phạm lợi nhuận 705 BTC (khoảng 125.360.287.252 đồng). Nó khác với các đối thủ như thế nào? Chỉ có các công ty lớn được nhắm mục tiêu.

Để tối đa hóa có khả năng tấn công thành công, phần mềm đã được nâng cấp với các cơ chế chịu trách nhiệm vô hiệu hóa các sản phẩm sao lưu tự động, chống vi-rút và xóa các bản sao y lưu hiện có. Khi dữ liệu được mã hóa và thông tin tiền chuộc được hiển thị sau một số tuần, thì đã quá muộn – Doanh nghiệp sẽ chỉ có các bản sao y lưu không đầy đủ.

Nói một cách đơn giản, phương thức tấn công bao gồm các bước sau:

  • Lây nhiễm một trong các máy tính có phần mềm độc hại “bất kỳ” nào sẽ cho Chúng Tôi cơ hội lây lan trong hạ tầng hệ thống
  • Đánh giá xem máy tính bị nhiễm có thuộc về tổ chức được gọi là HVT – high value target (mục tiêu giá trị cao) hay không, và đưa ra các hành động và sự tham gia tiếp theo có hợp lý không
  • Trong trường hợp xác định mục tiêu có tổng giá trị, cơ sở hạ tầng của tổ chức (domain controller) bị xâm chiếm và dữ liệu có giá trị bị đánh cắpbước cuối cùng là lây nhiễm càng nhiều cơ sở hạ tầng ransomware càng tốt kèm với thông báo tiền chuộc.

Xem xét mức độ của cuộc tấn công, việc đánh cắp dữ liệu và hành động nhạy cảm trước đó nhằm mục đích phá hủy các bản sao y lưu, cuộc tấn công phần mềm độc hại RYUK thường rất đang lo ngại.

Sodinokibi còn được gọi là REvil, BluBackground hoặc Sodin, là một ransomware dùng nhiều chiến thuật để phân phối ransomware nhằm kiếm tiền hoa hồng. Nó nhắm vào người sử dụng nói tiếng Anh. Nó cũng khai thác các lỗ hổng trong các dịch vụ từ xa như Oracle WebLogic (CVE-2019-2725). Mọi người tin rằng nó có quan hệ với GandCrab. Theo Intezer Phân tích, nó sử dụng mã của Pony, RedOctober và Vidar.

Vào ngày 16 tháng 8 năm 2019, Sodinokibi đã tấn công vào 22 cơ sở hành chính ở Texas và yêu cầu một khoản tiền chuộc tổng cộng là 2,5 triệu đô la. Nó đã xâm phạm thường xuyên MSP (nhà cung cấp sản phẩm được quản lý) phát tán phần mềm độc hại cho khách hàng của họ.

Vào ngày 29 tháng 8 năm 2019, Sodinokibi đã tấn công một dịch vụ sao lưu dữ liệu từ xa và các tệp được mã hóa từ các cơ sở nhé khoa ở Hoa Kỳ.

Vào ngày 9 tháng 12 năm 2019, Sodinokibi đã tấn công một nhà cung cấp CNTT khác đáp ứng hàng trăm cơ sở nhé khoa, lây nhiễm máy tính của khách hàng bằng cách khai thác một công cụ truy cập từ xa dễ bị tấn công.

Vào ngày 12 tháng 12 năm 2019, UNKN tuyên bố rằng một “lãnh vực” mới đã được tạo ra cho các vận hành lớn. Họ cũng tuyên bố rằng sẽ dùng các tệp và dữ liệu bị đánh cắp làm đòn bẩy để bắt nạn nhân trả tiền chuộc.

Mọi Người Xem :   Cơm gà xối mỡ chứa bao nhiêu calo?

Hành viSau khi thực hiện, Sodinokibi sẽ tạo ra một mutex với tên mã hóa toàn cầu Global206D87E0-0E60-DF25-DD8F-8E4E7D1E3BF0 và giải mã với một cấu hình được nhúng sẵn.

Nếu tham số exp trong cấu hình được thiết lập, phần mềm độc hại sẽ cố gắng khai thác CVE-2018-8453 để có được các đặc quyền HỆ THỐNG.

Nếu tham số đó không được cấu hình để thực hiện khai thác hoặc nếu nỗ lực không thành công, thay vào đó, nó sẽ cố gắng tự chạy lại với tư cách quản trị viên.

Sodinokibi thu thập một số thông tin hệ thống cơ bản và lưu nó vào registry cùng với các tham số mã hóa được tạo. Nếu tùy chọn dbg không được đặt trong cấu hình, các tổng giá trị bố trí bàn phím và ngôn ngữ UI sẽ được kiểm tra và phần mềm độc hại sẽ thoát ra trên các hệ thống sử dụng một trong các mã ngôn ngữ.

Phobos là một chương trình ransomware độc hại (giống như hầu hết các chương trình thuộc loại này) mã hóa / chặn các tệp dữ liệu và giữ chúng ở trạng thái này để trả tiền chuộc. Phobos đổi tên tất cả các tệp được mã hóa, thêm phần mở rộng “.phobos” và địa chỉ email và ID duy nhất của nạn nhân. Chẳng hạn như, “a.jpg” có khả năng được đổi thành, “a.jpg.ID-63855656. [[email protected]] .phobos” hoặc “1.jpg.ID-63855656. [[email protected] ] .phobos “.Các email được hiển thị trong phần mở rộng được thêm vào thường khác nhéu. Virus mã hóa dữ liệu bằng mã hóa AES và sau khi mã hóa sẽ tạo ra một ứng dụng HTML (“Phobos.hta”) rồi mở nó. Ứng dụng này hiển thị một cửa sổ bật lên với thông báo tiền chuộc.

Phần mềm ransomware Globelmposter xuất hiện lần đầu tiên vào tháng 5 năm 2017. Chúng chủ yếu được truyền qua các email lừa đảo. Vào tháng 2 năm 2018, các mẫu biến thể Globelmposter của phiên bản 2.0 đã nổ ra tại các bệnh viện lớn ở Trung Quốc.

Virus này lây lan qua kỹ thuật mạng xã hội, các cuộc tấn công brute-force RDP kết hợp với các chương trình độc hại để mã hóa các tệp của máy chủ bị nhiễm, tạo ra một bảng ghi chú tiền chuộc và yêu cầu tiền chuộc. Nhóm bảo mật Sangfor đang chú ý đến sự phát triển của họ virus này và đã thực hiện phân tích chuyên sâu về mẫu biến thể được phát hiện.

DoppelPaymer Ransomware là một trojan khóa tệp chặn media của bạn và để lại các ghi chú tiền chuộc chuyển hướng bạn đến một cổng thanh toán cho trình mở khóa. Mặc dù đây là bản cập nhật rất giống của BitPaymer Ransomware, nhưng nó dùng một phương thức mã hóa riêng biệt và yêu cầu một bộ giải mã khác để khôi phục. Hãy để các sản phẩm chống phần mềm độc hại của bạn loại bỏ DoppelPaymer Ransomware ngay khi chúng phát hiện ra nó và lưu trữ các bản sao lưu an toàn để đề phòng các cuộc tấn công.

DoppelPaymer Ransomware không chỉ là chủng virut đơn giản và có ít nhất tám lần tấn công vào hạ tầng mạng trên thế giới, mỗi lần có nhiều cải tiến về tính năng của chúng hơn trước. Trojan sử dụng mã hóa AES – với phần đệm – cùng với RSA-2048, để mã hóa và chặn các media kỹ thuật số mở. Các chuyên gia về phần mềm độc hại của Chúng Tôi cũng cảnh báo rằng DoppelPaymer Ransomware có thể khóa các tệp nhénh hơn so với phiên bản trước, nhờ vào tập tính mã hóa đa luồng.

Nói về virus Mamba (còn được gọi là ransomware HDD Cryptor), nó hoàn toàn độc hại như loài rắn mà virus lấy tên của nó. Loại virus khét tiếng này cho phép cư dân San Francisco được tự do đi lại trên mạng lưới tàu điện ngầm miễn phí, do việc tấn công hệ thống máy tính của công ty và yêu cầu 73.000 đô la tiền chuộc.

Không giống như Petya, phần mềm ransomware này tấn công các tệp trên đĩa thay vì các mục khởi động. Nó dùng phần mềm DiskCryptor cho mục đích này. Virus để lại tệp 152.exe hoặc 141.exe trên máy tính chịu trách nhiệm thực hiện quá trình mã hóa. Sau khi mã hóa các tập tin của nạn nhân, virus khởi động lại máy tính và sau đó hiển thị thông báo sau trên màn hình:

man-hinh-mamba màn hình mamba

Nạn nhân có khả năng nhập mật khẩu để khôi phục dữ liệu ở đó. mặc khác, trước tiên anh ta phải có được mật khẩu này. Thật không may, phần mềm độc hại này không thể bị đánh bại đơn giản như vậy. Địa chỉ email được cung cấp được sử dụng để liên lạc với người tạo mã độc và nhận hướng dẫn từ họ để giải mã dữ liệu và lấy lại quyền truy cập vào thiết bị.

Virus này sẽ đòi tiền chuộc 1 bitcoin cho mỗi máy tính. Tiền sẽ được gửi đến ví Bitcoin được chỉ định. tuy nhiên, công ty chúng tôi luôn khuyến nghị người sử dụng KHÔNG trả tiền chuộc vì nó không đảm bảo giải mã các tập tin.

Mọi Người Xem :   thiên phú nghĩa là gì?

Snatch là một biến thể ransomware mới, có thể thực thi buộc các thiết bị Windows phải khởi động lại Safe Mode ngay cả trước khi quá trình mã hóa bắt đầu để bỏ qua bảo vệ điểm cuối thường không chạy trong chế độ này.

Chủng mới của ransomware sử dụng một phương thức lây nhiễm duy nhất áp dụng mã hóa AES tinh vi để người dùng có máy bị nhiễm không thể truy cập tệp của họ.

Dạng virus mã hóa của nó tấn công các mục tiêu cấu hình cao, nhưng chủng mới này, được tạo bằng chương trình Google Go, bao gồm một bộ công cụ bao gồm tính năng đánh cắp dữ liệu và tính năng ransomware. Thêm vào đó, nó có lớp vỏ đảo ngược Cobalt Strike và các công cụ khác thường được dùng bởi tester và quản trị viên hệ thống.

Dharma là một biến thể mới của Crysis – một loại virus ransomware có nguy cơ cao. Sau khi xâm nhập thành công, Dharma mã hóa các tệp được lưu trữ trên máy tính của bạn bằng mã hóa bất đối xứng. mặt khác, nó còn nối thêm phần mở rộng “. [[email protected]] .dharma” đến từng tên tệp được mã hóa. Chẳng hạn, “sample.jpg” sẽ chuyển thành “sample.jpg. [[email protected]] .dharma”). Các biến thể khác sử dụng phần mở rộng “. [[email protected]] .dharma”. mặc khác, không giống như phiên bản trước, Dharma không thay đổi ngay hình nền màn hình, nhưng tạo một tệp văn bản (“README.txt”) và đặt nó vào mọi thư mục chứa các tệp bị nhiễm.

HiddenTear là một dự án ransomware mã nguồn mở ban đầu được phát triển cho mục đích giáo dục vào năm 2015 bởi nhà nghiên cứu Thổ Nhĩ Kỳ Utku Sen. mặc khác, các nhóm tội phạm mạng như Magic đã điều chỉnh lại mã nguồn và sử dụng nó cho mục đích tống tiền , bằng cách mã hóa các tệp bằng AES-256.

Sự lây nhiễmNó xâm nhập vào hệ thống bằng cách ngụy trang thành một ứng dụng hợp pháp trong phiên bản gốc, chuyển thành tệp Adobe PDF và chặn truy cập vào các tệp người sử dụng bằng cách mã hóa chúng. Khi chạy, Hidden Tear sẽ tạo ra một chuỗi gồm 15 ký tự, nó được sử dụng làm khóa bằng cách dùng lớp Random ngẫu nhiên không bảo mật bằng mật mã; chuỗi ký tự được gửi đến C & C, với tên máy tính. Hidden Tear ban đầu sẽ tìm kiếm thư mục thử nghiệm trong Desktop, nó sẽ mã hóa mọi tập tin trên nó.

Estemani ransomware là một chương trình độc hại được thiết kế để ngăn nạn nhân truy cập vào tệp của họ bằng cách mã hóa chúng bằng thuật toán mã hóa. Nạn nhân sau đó được khuyến khích mua một công cụ giải mã, vì không có phần mềm nào khác có khả năng giải mã các tệp được mã hóa bởi phần mềm ransomware này. Hơn nữa, Estemani tạo ra một thông điệp đòi tiền chuộc trong tập tin “@READ_TO_RECOVER_FILES@.txt“.

Để mở khóa (giải mã) các tập tin, nạn nhân được yêu cầu trả khoản tiền chuộc 1,5 Bitcoin. Tất cả các hướng dẫn thêm sẽ được cung cấp sau khi liên hệ với các nhà phát triển Estemani thông qua địa chỉ email [email protected] Tin nhắn phải chứa ID HOST và LOCK, được cung cấp trong tin nhắn tiền chuộc.

estemani Estemani

Phương thức lây nhiễm thường gặp: Tệp đính kèm email bị nhiễm (macro), trang web torrent, quảng cáo độc hại.

Rapid ransomware là một loại tiền điện tử độc hại lưu hành trên Internet kể từ tháng 1 năm 2018. Trong bảy tháng tồn tại, phần mềm độc hại đã thay đổi ngay bốn lần. Virus mã hóa các tệp bằng thuật toán mã hóa AES và nối thêm phần mở rộng tệp .RPD và để lại tệp How Recovery File.txt hướng dẫn nạn nhân cách liên lạc với bọn tội phạm và gửi cho họ số tiền được yêu cầu.

rapid Rapid

>> Xem thêm: Top 5 phần mềm diệt Malware hấp dẫn nhất

Ransomware sử dụng mã hóa bất đối xứng. Đây là mật mã dùng một cặp key để mã hóa và giải mã một file. Cặp key public-private được hacker tạo ra duy nhất cho người sử dụng. Với private key để giải mã các file được lưu trữ trên server của hacker. Hacker chỉ cung cấp private key cho người sử dụng sau khi nhận tiền chuộc. Nếu không có quyền truy cập vào private key, gần như không thể giải mã file đang bị giữ để đòi tiền chuộc.

cách thức vận hành của ransomware cách thức vận hành của ransomware

Ransomware có thường xuyên biến thể khác nhéu. Thường thì ransomware (và các phần mềm độc hại khác) được phát tán bằng cách sử dụng các chiến dịch spam email hoặc thông qua các cuộc tấn công có chủ đích. Phần mềm độc hại cần một attack vector để thiết lập sự hiện diện của nó trên một endpoint.

Sau khi khai thác thành công, ransomware tải xuống và thực thi một file độc hại trên hệ thống bị nhiễm. Sau đó, file này tìm kiếm và mã hóa file có giá trị. Chẳng hạn như tài liệu Microsoft Word, hình ảnh, cơ sở dữ liệu, v.v. Phần mềm Ransomware cũng có khả năng khai thác các lỗ hổng hệ thống và mạng để lây lan sang các hệ thống khác và có khả năng trên toàn bộ tổ chức.

Mọi Người Xem :   "nhan sắc" là gì? Nghĩa của từ nhan sắc trong tiếng Việt. Từ điển Việt-Việt

Sau khi các file được mã hóa, ransomware sẽ nhắc người sử dụng trả tiền chuộc không quá 24 đến 48 giờ để giải mã các file, nếu không chúng sẽ bị mất vĩnh viễn. Nếu không có bản backup dữ liệu hoặc bản sao lưu, người dùng phải đối diện với việc trả tiền chuộc để khôi phục các file cá nhân.

WannaCry ransomware

WannaCry là một ví dụ về ransomware crypto, một loại phần mềm độc hại (malware) được hacker dùng để tống tiền.

Ransomware thực hiện điều này bằng cách mã hóa các file có tổng giá trị, Vì vậy bạn không thể đọc chúng. Bằng cách khóa máy tính của bạn để bạn không thể sử dụng nó.

Ransomware dùng mã hóa được gọi là ransomware crypto. Loại ransomware khóa máy tính được gọi là ransomware locker.

WannaCry nhắm mục tiêu vào các máy tính dùng Microsoft Windows làm hệ điều hành. Nó mã hóa dữ liệu và yêu cầu thanh toán tiền chuộc bằng tiền điện tử Bitcoin để được trả lại.

>> Xem thêm: Cyber Attack là gì? Các chiều hướng phổ biến của tấn công mạng

Các hacker chịu trách nhiệm cho cuộc tấn công đã lợi dụng điểm yếu trong hệ điều hành Microsoft Windows bằng cách sử dụng một bản hack được cho là do Cơ quan An ninh Quốc gia Hoa Kỳ phát triển.

Được biết đến với cái tên EternalBlue, vụ hack này được công khai bởi một nhóm hacker có tên là Shadow Brokers trước cuộc tấn công của WannaCry.

Microsoft đã phát hành một bản vá (patch) bảo mật nhằm bảo vệ hệ thống của người sử dụng chống lại sự khai thác này gần hai tháng trước khi cuộc tấn công ransomware WannaCry bắt đầu. Thật không may, thường xuyên cá nhân và tổ chức không thường xuyên cập nhật hệ điều hành của họ và do đó đã bị nhiễm ransomware.

Những người chưa chạy bản cập nhật Microsoft Windows trước cuộc tấn công không được hưởng lợi từ bản vá (patch).

Khi nó lần đầu tiên xảy ra, mọi người cho rằng cuộc tấn công mã độc tống tiền WannaCry ban đầu đã lây lan thông qua một chiến dịch lừa đảo. mặc khác, EternalBlue là cách khai thác cho phép WannaCry phát tán và lây lan. Với DoublePulsar là ‘backdoor’ được cài đặt trên các máy tính bị xâm nhập ( được sử dụng để thực thi WannaCry).

Các cuộc tấn công ransomware và các biến thể của chúng đang phát triển nhénh chóng để chống lại các công nghệ ngăn chặn vì một vài lý do:

  • đơn giản có sẵn các bộ phần mềm độc hại có khả năng được dùng để tạo các mẫu phần mềm độc hại mới theo yêu cầu
  • sử dụng các trình thông dịch tốt để tạo ransomware đa nền tảng (ví dụ: Ransom32 dùng Node.js với tải trọng JavaScript)
  • sử dụng các kỹ thuật mới, chẳng hạn như mã hóa ổ cứng toàn bộ thay vì các file đã chọn

>> Xem thêm: Iobit Malware Fighter Là Gì ?

Cách ngăn chặn ransomware

Để tránh ransomware và Giảm thiểu thiệt hại nếu bạn bị tấn công, hãy làm theo các mẹo sau:

  • Backup dữ liệu của bạn: Cách tốt nhất để tránh nguy cơ bị khóa khỏi các file quan trọng của bạn là đảm bảo rằng bạn luôn có các bản backup của chúng. tốt nhất là trên cloud và trên ổ cứng ngoài. Bằng cách này, nếu bạn bị nhiễm ransomware, bạn có khả năng xóa sạch mọi thứ trong máy tính hoặc thiết bị của mình và cài đặt lại các file từ bản backup. Các bản backup sẽ không ngăn chặn ransomware, nhưng nó có khả năng Giảm thiểu rủi ro.
  • Đảm bảo an toàn cho các bản backup: Đảm bảo rằng dữ liệu backup của bạn không thể truy cập được để sửa đổi hoặc xóa khỏi hệ thống nơi lưu trữ dữ liệu. Ransomware sẽ tìm kiếm các bản backup và mã hóa hoặc xóa chúng để chúng không thể khôi phục. Vì vậy hãy sử dụng các hệ thống backup không cho phép truy cập trực tiếp vào các file backup.
  • sử dụng phần mềm bảo mật và cập nhật phần mềm: Đảm bảo tất cả các máy tính và thiết bị của bạn được bảo vệ bằng phần mềm bảo mật. Và hãy luôn cập nhật thường xuyên các phần mềm của bạn, vì các bản vá lỗi thường được bổ sung trong mỗi bản cập nhật.
  • Lướt web an toàn: Hãy cẩn thận nơi bạn nhấp vào. Không trả lời email và tin nhắn văn bản từ những người bạn không biết. Chỉ tải xuống ứng dụng từ các nguồn đáng tin cậy. Điều này rất quan trọng vì các tác giả phần mềm độc hại thường sử dụng social engeering để cố gắng khiến bạn cài đặt các file nguy hiểm.
  • sử dụng mạng an toàn: Tránh sử dụng các mạng Wi-Fi công cộng vì nhiều mạng không an toàn và hacker có khả năng rình mò việc sử dụng internet của bạn. Thay vào đó, hãy cân nhắc cài đặt VPN, VPN cung cấp cho bạn liên kết Internet an toàn cho dù bạn đi đâu.
  • Cập nhật thông tin: Luôn cập nhật về các mối đe dọa ransomware mới nhất để bạn biết những gì cần chú ý. Trong trường hợp bạn bị nhiễm ransomware và chưa backup các file của mình, hãy biết rằng một vài công cụ giải mã được công ty công nghệ cung cấp để giúp đỡ bạn.
  • Triển khai chương trình nâng cao nhận thức về việc bảo mật: : Cung cấp chương trình đào tạo nhận thức về bảo mật nhiều cho mọi thành viên trong tổ chức của bạn để họ có khả năng tránh lừa đảo và các cuộc tấn công social engineering khác.

Qua bài viết này, Vietnix hy vọng bạn hiểu rõ Ransomware là gì và những tác hại đáng kể của nó đến dữ liệu cá nhân của bạn, cách nó hoạt động như thế nào và làm sao để tránh Ransomware, chúc bạn thành công!



Các câu hỏi về phần mềm tống tiền ransomware là gì


Nếu có bắt kỳ câu hỏi thắc mắt nào vê phần mềm tống tiền ransomware là gì hãy cho chúng mình biết nhé, mõi thắt mắt hay góp ý của các bạn sẽ giúp mình cải thiện hơn trong các bài sau nhé

Related Posts

About The Author

Add Comment