Xử lý tình huống khi máy tính nhiễm phải mã độc tống tiền

TH| 23/10/2019 16:40
Theo dõi ICTVietnam trên

Trong những năm gần đây, mã độc tống tiền (ransomware) ngày càng phát triển mạnh, lây nhiễm cho người dùng, từ đó buộc họ phải trả một khoản tiền "chuộc" để đổi lấy khoá giải mã dữ liệu.

Ransomware là một loại phần mềm độc hại có mục đích tống tiền người dùng bằng cách xâm nhập vào máy tính và thao túng dữ liệu của nạn nhân.

Thông thường các loại mã độc ransomware thường được tin tặc phán tán chính thông qua các hình thức lừa đảo, giả mạo hoặc các thư rác để lừa người dùng tải và thực thi một tệp tin đã bị đính kèm mã độc. Mục tiêu cuối cùng là thuyết phục các nạn nhân trả tiền chuộc giải mã - thường được yêu cầu bằng các loại tiền kỹ thuật số khó theo dõi (như Bitcoin hoặc các loại tiền điện tử khác).

Sự phổ biến của ransomware đã tăng đáng kể trong thập kỷ qua. WannaCry chắc hẳn không còn là một cái tên xa lạ với những ai quan tâm đến công nghệ và bảo mật. Năm 2017, mã độc này đã hoành hành với quy mô cực lớn – 250.000 máy tính tại 116 quốc gia, trong đó có Việt Nam.

Hay vụ việc ransomware Bad Rabbit được phát tán dưới dạng bản cập nhật Adobe Flash giả mạo đã lan rộng khắp Châu Âu, đặc biệt tại Nga và Tây Âu và đây được cho là cuộc tấn công an ninh mạng lớn thứ 3 tính từ thời điểm đầu năm 2017 sau Wannarcry và ExPetr.

Mục tiêu của tội phạm bây giờ không phải là người dùng thông thường mà đã chuyển hướng sang các doanh nghiệp (DN), đặc biệt là những DN trong các lĩnh vực như giáo dục và chăm sóc sức khỏe thường có cơ sở hạ tầng yếu và bảo mật kém, cho phép tin tặc mã hóa dữ liệu quan trọng trong kinh doanh và đòi một khoản tiền chuộc cao hơn.

Báo cáo mới đây của hãng bảo mật Malwarebytes cho biết, mã độc ransomware đã tăng 365% từ quý 2/2018 đến quý 2/2019, tấn công vào người dùng cá nhân đã giảm 12%.

Ryuk và Phobos là những mã độc thuộc nhóm ransomware hàng đầu chuyên tấn công các DN và tăng lần lượt là 88% và 940% so với quý 1/2019. Mã độc Gandcrab và Rapid cũng gia tăng theo từng năm, với Rapid tăng 319% so với quý 2/2018. Dự báo nửa cuối năm 2019, các chiến dịch ransomware tiếp tục nhắm vào các DN hơn là người tiêu dùng cá nhân thông qua các cuộc tấn công thủ công và pha trộn chức năng giống như sâu máy tính, cũng như các cuộc tấn công kết hợp nhiều phần mềm độc hại khác nhau.

Ransomware đã ngày càng được cải tiến và tận dụng sự phát triển của công nghệ kể từ cuộc tấn công đầu tiên xảy ra vào năm 1989. Các tệp tin được mã hóa trở nên khó giải mã hơn do mã hóa RSA tinh vi kết hợp với tăng kích thước khóa, đồng thời tin tặc cũng dễ dàng có thể mua các bộ công cụ khai thác ransomware được bán trên web với giá chỉ 10 USD.

Khi điều đó xảy ra, tất cả dữ liệu của công ty bạn sẽ bị mã hóa và một yêu cầu đòi tiền chuộc sẽ xuất hiện. Sau khi đã trả tiền, bạn sẽ lấy lại được dữ liệu của mình hoặc có thể là không, như một số công ty đã phát hiện ra trong một cuộc tấn công bằng mã độc tống tiền gần đây. Trên thế giới, nhiều DN bị tấn công và sau đó đã không nhận lại được dữ liệu của mình ngay cả sau khi họ đã trả tiền chuộc.

Làm thế nào để đánh bại ransomware

Bạn sẽ phải làm gì nếu công ty của bạn trở thành nạn nhân của một trong những cuộc tấn công này? Điều đầu tiên cần làm là cách ly mọi máy tính bị nhiễm và đưa chúng ra khỏi mạng để đảm bảo phần mềm độc hại không tiếp tục lây lan. Tiếp theo, bạn nên bắt đầu đánh giá thiệt hại bằng cách xác định nguồn gốc của tệp bị nhiễm cũng như các tệp tin bị ảnh hưởng khác.

Về cơ bản, những bước đơn giản trên đã giúp bạn ngăn chặn phần mềm độc hại phát tán rộng hơn trên toàn mạng. Một khi đảm bảo được yêu cầu này, bạn cần chuyển sang chiến lược sao lưu mà bạn có.

Nếu tổ chức, DN của bạn đã triển khai một giải pháp sao lưu hoặc đồng bộ hóa để khôi phục dữ liệu hệ thống, bạn chỉ cần tiến hành các bước để lấy lại dữ liệu cần thiết. Tuy nhiên, khi khôi phục dữ liệu sau một cuộc tấn công của ransomware, có ba điểm yếu cần được xem xét và giải quyết ngay lập tức:

1. Sự cố bảo mật đã ảnh hưởng đến các bản sao lưu

Nhiều người nhầm lẫn dịch vụ đồng bộ đám mây với sao lưu. Nếu bạn đang sử dụng giải pháp đồng bộ hóa và quá trình đồng bộ hóa đang diễn ra trong thời điểm xảy ra tấn công, các tệp mới bị nhiễm cũng sẽ được tự động đồng bộ hóa với đám mây, do đó có thể lây nhiễm cho các bộ sao lưu của bạn.

May mắn thay, điều này có thể tránh được bằng cách sử dụng phần mềm sao lưu mà cung cấp nhiều phiên bản tệp tin của bạn. Loại phần mềm sao lưu này lưu tệp gốc vì đây là lần đầu tiên nó được sao lưu và sau đó tạo tệp sao lưu mới mỗi khi thực hiện thay đổi - có nghĩa là nếu một tệp được mã hóa bởi ransomware, giải pháp đơn giản sẽ là khôi phục phiên bản trước của tệp đã tồn tại trước cuộc tấn công.

2. Khôi phục dữ liệu sẽ rất tốn kém và mất thời gian

Nếu công ty bạn có một khối lượng lớn dữ liệu thì quá trình khôi phục dữ liệu được lưu trữ trên đám mây có thể là một quá trình dài, tốn nhiều thời gian và nhân lực.

Cách xung quanh này là sử dụng Snapshot, ảnh chụp nhanh cho phép bạn khôi phục tất cả dữ liệu của mình từ một thời điểm cụ thể. Một số nhà cung cấp giải pháp sao lưu hỗ trợ tính năng Snapshop và lưu trữ nó trên đám mây.

3. Không phải tất cả các dữ liệu quan trọng đều được sao lưu

Nguyên nhân hàng đầu thứ hai gây mất mất dữ liệu là lỗi của con người. Mắc sai lầm là một phần tự nhiên trong trải nghiệm của con người, tuy nhiên, một số sai lầm này có thể gây ảnh hưởng nghiêm trọng đến công ty của bạn, đó có thể là từ việc quên lưu một dữ liệu gì đó, đến việc vô tình để quên máy tính xách tay tại các địa điểm công cộng hay sao lưu sót dữ liệu.

Các giải pháp sao lưu hiệu quả nhất là những giải pháp dễ nhất cho người dùng cuối và đòi hỏi sự can thiệp của con người nhất. Cách tốt nhất là đầu tư vào một quy trình sao lưu để tự động sao lưu tất cả dữ liệu do người dùng tạo ra theo mặc định. Đây cũng là trách nhiệm của nhà cung cấp giải pháp sao lưu để bảo vệ dữ liệu DN, bất kể người dùng cuối lưu nó ở đâu.

Khi ransomware trở nên phổ biến hơn và tội phạm mạng liên tục phát triển các kỹ thuật mới để vượt qua các biện pháp bảo mật, cần phải đảm bảo rằng công ty của bạn có giải pháp sao lưu hiệu quả là bắt buộc để có thể nhanh chóng khôi phục dữ liệu và hoạt động bình thường trở lại sau một cuộc tấn công.

Đảm bảo rằng quy trình sao lưu của bạn giải quyết ba điểm yếu ở trên là rất cần thiết để đảm bảo rằng dữ liệu của bạn được sao lưu và khôi phục dễ dàng nếu bị nhiễm ransomware, từ đó giúp giảm thiểu tối đa thời gian chết và khả năng mất dữ liệu.

Bài liên quan
Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
Xử lý tình huống khi máy tính nhiễm phải mã độc tống tiền
POWERED BY ONECMS - A PRODUCT OF NEKO