virus tấn công mã hoá dữ liệu
Posted: August 08, 2016
ransomware như thế nào?
Khi dữ liệu bị đánh cắp và bị kẻ xấu lấy làm 'con tin' càng lúc càng phổ biến thì một thị trường mới đang hình thành, từ nhu cầu thanh toán các khoản tiền chuộc để lấy lại dữ liệu.
- Ransomware - kẻ tống tiền trên không gian mạng
- Tội phạm mạng đang thay đổi chiến thuật lừa đảo và tống tiền
- Mã độc mã hoá dữ liệu & tống tiền
- 5 kiểu lừa đảo phổ biến trên mạng
- 5 sai lầm lớn nhất trong bảo mật doanh nghiệp
Hai biến thể ransomware mới nhất cho thấy vấn đề này đang trở nên nghiêm trọng, cả về số lượng lẫn mức độ, vì ransomware đang nhiễm vào các tổ chức, doanh nghiệp lớn, kể cả những dịch vụ công cộng và xã hội, và tác động của ransomware là không hề nhỏ.
• BBC cho biết bệnh viện Chino Valley Medical Center and Desert Valley ở California, Mỹ bị nhiễm ransomware. Người phát ngôn của bệnh viện này xác nhận rằng "các hệ thống quản lý của bệnh viện bị ảnh hưởng nghiêm trọng".
• Trong một vụ việc mới đây, trung tâm y tế Hollywood Presbyterian Medical Center công bố một trường hợp khẩn, nội bộ sau khi bị ransomware tấn công. Cuối cùng, trung tâm y tế này quyết định buộc phải chi tiền ra, trả bằng đồng Bitcoin vơí mức giá hơn 17.000 USD để có thể truy cập lại được hệ thống mạng của mình. Yêu cầu tiền chuộc ban đầu là đến 3,7 tỉ USD trả bằng Bitcoin nhưng trung tâm này đã thương lượng được với kẻ tống tiền.
• Một bệnh viện ở Kentucky, Methodist Hospital mới đây bị nhiễm một ransomware mà các chuyên gia nhận diện đó là Locky, một biến thể mới của Cryptolocker, xâm nhập được vào hệ thống mạng của bệnh viện và lan nhiễm ra toàn mạng nội bộ cũng như vài hệ thống liên quan khác. Theo CNBC, ban đầu yêu cầu tiền chuộc của ransomware này là 1.600 USD nhưng bệnh viện vẫn chưa quyết định có nên trả khoản tiền chuộc này hay không. Bệnh viện này cho trang tin Ars Technica biết rằng: "Nếu buộc phải trả thì chúng tôi mới trả”.
Rõ ràng ransomware là mối nguy hiểm, gây nhức nhối cho mọi doanh nghiệp. Ransomware thường nhiễm từ file đính kèm trong email, có nội dung tựa như hoá đơn hay tài liệu theo dõi đơn hàng xuất nhập hay một nội dung gì đó có vẻ rất "công việc". Nhưng một khi mở ra, ransomware âm thầm mã hoá mọi loại file mà nó tiếp cận được mà không cần bất kỳ tương tác nào khác của người dùng, nên người dùng không hề hay biết. Một khi nó mã hoá xong xuôi, nó mới bắt đầu thông báo cho người dùng biết rằng mọi thông tin, dữ liệu của họ đã bị mã hoá và họ phải trả tiền mới mong xem được thông tin.
Những phiên bản ransomware đầu tiên của Cryptlocker không mấy thông minh, nên không thể lan khắp các ổ cứng mạng và chỉ nhiễm vào những file riêng lẻ trên một máy tính bị nhiễm ban đầu mà thôi. Lúc đó, chỉ có ai dùng trực tiếp những chiếc máy tính đó mới bị bối rối vì dữ liệu của họ bỗng dưng không truy cập được. Còn các doanh nghiệp tầm trung và lớn thường lưu dữ liệu trên các ổ cứng mạng, chia sẻ hay trên SAN, NAS nên không mấy xem trọng ransomware.
Nhưng tại thời điểm này, ransomware không còn đơn giản như trước nữa, bởi vì loại virus này càng ngày càng tỏ ra lợi hại và có khả năng kiếm tiền rất cao đối với kẻ xấu, nên hầu hết biến thể ransomware hiện nay đều có thể di chuyển khắp các ổ cứng mạng và theo các đường dẫn UNC, mã hoá mọi thứ mà chúng có thể truy cập đến được, với quyền truy cập tương đương với quyền của người dùng. Kết quả là ransomware gây ra tác động vô cùng lớn với doanh nghiệp.
Mặt nạ Jigsaw được kẻ xấu lấy làm logo của một chương trình ransomware tên là Jigsaw.
Chiến lược đối phó với ransomware
Có hai giải pháp cơ bản để giải quyết vấn đề này, một đơn giản và một giải pháp có lẽ sẽ phân nhỏ đội ngũ của doanh nghiệp.
Sao lưu dữ liệu thường xuyên và nhất quán, đồng thời cần thử và kiểm tra các bản phục hồi dữ liệu. Cách này sẽ giúp bạn không rơi vào tình huống bị làm "con tin" vì ransomware vì đã có giải pháp phục hồi lại dữ liệu. Vấn đề là bạn cũng cần thường xuyên kiểm tra để đảm bảo nội dung sao lưu là an toàn và có thể hồi phục được.
Tiếp theo, cần phải giám sát chặt chẽ hệ thống dữ liệu hơn. Nhiều chuyên gia công nghệ cho rằng họ dễ dàng nhận diện ngay được khi có nhiều file bị thay đổi hàng loạt, nhất là với những file từ lâu chưa ai mở chúng. Đồng thời, bạn cần đảm bảo thiết lập đúng quyền truy cập cho nhân viên. Từ đó, bạn có thể dễ dàng nhận được một dấu hiệu xâm nhập nào đó và phục hồi lại dữ liệu bị mã hóa từ các bản phục hồi. Như vậy, bạn không bị rơi vào cái bẫy của ransomware, và nếu có bị nhiễm, chỉ có một số dữ liệu không quan trọng, không liên quan.
Lập danh sách trắng cho ứng dụng. Đây cũng là một phương cách khác chống lại ransomware. Lập danh sách trắng cần đến kiểm tra, hay như theo dõi "dấu vân tay số" của mỗi ứng dụng mà bạn cho phép chúng chạy trong hệ thống, còn những thứ còn lại bên ngoài đều không được phép chạy.
Ban đầu, giải pháp này nghe có vẻ hợp lý, vì không có mã độc nào có thể chạy được nếu nó không lọt được vào danh sách trắng. Nhưng cách này cũng có rủi ro là rất có thể malware cũng có khả năng lọt được vào danh sách này trong tương lai, ngay cả khi bạn có thiết lập mức bảo mật tốt đến đâu chăng nữa. Dù vậy, tạo một danh sách ứng dụng tin cậy, còn lại loại trừ mọi thứ khác là bước quan trọng để tăng cường mức bảo mật cho hệ thống.
Những giải pháp này lại có một rắc rối khác: nếu bạn tạo một tập ứng dụng thường xuyên thì bạn cũng phải kèm luôn cả những phiên bản khác nhau của mỗi ứng dụng đó cài trên máy tính của nhân viên, đồng thời cũng phải quản lý nhiều bản vá, sửa lỗi khác nhau cho mỗi ứng dụng, và sử dụng các chức năng tạo danh sách trắng tích hợp trong Windows, nên bạn cần tạo chứng thực cho tất cả ứng dụng ấy, mỗi ứng dụng là một chứng thực. Cũng có vài giải pháp tự động hóa nhưng các giải pháp này đều tốn phí cũng như bỏ nhiều thời gian quản trị chúng.
Cuối cùng, với danh sách trắng, người dùng phải chịu một chút thiệt thòi. Người dùng sẽ không thể tải về bất kỳ thứ gì, trong đó có cả plugin cho trình duyệt, nếu không có sự chấp thuận của người quản trị. Thậm chí, những chương trình nhỏ như PuTTY để truy cập SSH, hay Notepad+, công cụ soạn thảo văn bản và lập trình mà dân công nghệ rất quen thuộc, là những chương trình đơn giản, chỉ có một file thực thi, không cần cài đặt và có thể chuyển qua lại giữa nhiều máy tính (như có thể lưu trên bút nhớ), cũng không thể chạy được.
Bạn và phòng CNTT trong doanh nghiệp có sẵn lòng tạo một danh sách trắng tập ứng dụng an toàn và bỏ công sức để cập nhật tập danh sách ấy hay không, và những nhân viên mới yêu cầu những chương trình mới, dịch vụ trực tuyến mới thì bạn sẽ xử lý thế nào? Thay đổi như vậy sẽ tác động rất nhiều đến hệ thống nói chung, nhưng lại là chọn lựa hợp lý nhất, trực diện nhất để đối diện với ransomware.