Ransomware là loại malware sử dụng một hệ thống mật mã để mã hóa dữ liệu thuộc về một cá nhân và đòi tiền chuộc thì mới khôi phục lại.

Ransomware là một loại malware (phần mềm mã độc) ngăn chặn hoặc giới hạn người dùng sử dụng thiết bị, hệ thống hoặc dữ liệu của mình. Một số thì đi mã hóa file khiến bạn không thể mở được tài liệu quan trọng, một số khác thì dùng cơ chế khóa máy để không cho nạn nhân tiếp tục sử dụng. Hãng bảo mật Trend Micro giải thích thêm rằng loại malware này buộc nạn nhân phải trả tiền để lại có quyền sử dụng tiếp hệ thống của họ, thế nên mới có chữ ransom – nghĩa là tiền chuộc. Khoảng tiền này có khi chỉ vài đô la, có khi lên đến vài chục, thậm chí là cả trăm USD (từng có trường hợp phải trả 600$). Một số tin tặc khác thì dùng bitcoin cho an toàn và tránh bị bắt. Nhưng cũng cần nhấn mạnh rằng ngay cả khi bạn đã trả tiền rồi thì không có gì đảm bảo tin tặc sẽ cấp quyền trở lại cho bạn hay còn làm thêm điều gì tệ hại hơn.

Lịch sử Ransomware

Những trường hợp đầu tiên bị dính ransomware mà được ghi nhận là tại Nga vào năm 2005 – 2006. Khi đó, một ransomare mang số hiệu TROJ_CRYZIP.A đã nén các tập tin quan trọng của người dùng lại thành một file zip rồi xóa đi các tập tin gốc. Để mở file zip này thì cần có password. TROJ_CRYZIP.A còn tạo một file văn bản để làm “thư tống tiền”, trong đó nói rằng người dùng muốn có password để mở file zip thì phải trả 300$.

Ở thời gian đầu, ransomware thường tìm và khóa các file tài liệu, ví dụ như .doc, .xls, hoặc các tập tin thư viện, tập tin thực thi của phần mềm như .dll hoặc .exe. Đến năm 2011, chúng ta bắt đầu nghe về SMS ransomware. Con ransomware với số hiệu TROJ_RANSOM.QOWA liên tục hiển thị một thông báo đòi tiền khiến cho người dùng bực mình, để rồi cuối cùng họ phải trả “tiền chuộc” bằng cách nhắn tin đến một số SMS đặc biệt có tính phí.

Nguy hiểm hơn, có một số ransomware còn thâm nhập vào Master Boot Record (MBR) của một máy tính. Bằng cách này, ransomware sẽ ngăn không cho hệ điều hành chạy lên, hay nói cách khác là làm tê liệt luôn cả hệ thống. Để làm được điều đó, ransomware đã copy phần MBR gốc, sau đó ghi đè lên MBR này bằng mã độc của chính nó trong nhiều lần. Khi hệ thống bị buộc phải khởi động lại, malware sẽ bắt đầu phát huy tác dụng của mình. Hệ điều hành sẽ không chạy lên, thay vào đó là một dòng đòi tiền bằng tiếng Nga.

Tương lai của ransomware

Năm 2014 có một loại malware gọi là Critroni, còn gọi là Curve-Tor-Bitcoin (CTB) Locker. Nó sử dụng mạng lưới Tor để che giấu việc liên lạc với nạn nhân, một số khác cũng đòi bitcoin để làm tiền chuộc. Đến năm 2015, CTB Locker còn có them dịch vụ giải mã từng file một miễn phí, còn để giải mã một lượng lớn file thì vẫn phải trả tiền.

Các hãng bảo mật đều dự báo rằn trong thời gian tới ransomware sẽ được các tin tặc cải tiến để hoạt động hiệu quả hơn, mã hóa nhiều file hơn và có cách phát tán nguy hiểm hơn, ngấm ngầm hơn. Các ransomware mới cũng sẽ được cải tiến về khả năng ẩn mình để không bị phát hiện bởi các trình diệt virus hay các tính năng bảo mật của hệ điều hành.

Chỉ trong vài năm, ransomware đã vượt ra khỏi biên giới Nga để đi đến nhiều phần còn lại của thế giới. Với mô hình “kinh doanh” béo bở kèm theo các hình thức trả tiền nặc danh, ransomware sẽ ngày càng được tận dụng nhiều hơn để chiếm đoạt tiền của chúng ta. Chính vì thế, mỗi người nên tự biết cách bảo vệ mình trước những mối hiểm họa như thế này để tránh bị mất tiền oan ức.

Cách thức làm việc của nó như thế nào?

Tương tự như các loại malware khác, Ransomware xâm nhập vào máy tính người dùng thông qua các dữ liệu đính kèm từ email, phần mềm tải từ Internet hay chỉ đơn giản là từ các website mà người dùng đã duyệt qua.

Sau khi xâm nhập vào máy tính, nó sẽ tiến hành mã hóa dữ liệu của bạn nhưng không yêu cầu bạn đưa ra tiền chuộc ngay. Mà nó sẽ đưa ra cho bạn danh sách các phần mềm để bẻ khóa dữ liệu khi bạn tiến hành tìm kiếm trên mạng. Tất nhiên các phần mềm này đều có phí.

Nhiều Ransomware được ngụy trang khá tốt. Đôi khi nó còn được gọi là “scareware” bởi chúng sẽ đưa ra những cảnh báo giả cho người dùng như “Máy tính của bạn đã bị nhiễm malware, hãy mua phần mềm [xxx] để tiến hành loại bỏ malware này” hoặc “Máy tính của bạn đã được sử dụng để tải về các dữ liệu vi phạm pháp luật, hãy nộp phạt để có thể tiếp tục sử dụng máy tính”.

Một số trường hợp khác, Ransomware sẽ trực tiếp nêu lên vấn đề cho bạn. Chúng sẽ thâm nhập sâu vào bên trong hệ thống của máy rồi hiển thị một thông báo rằng chúng sẽ chỉ biến mất khi bạn trả tiền cho tác giả của Ransomware đó. Kiểu phần mềm độc này có thể bị trị bằng các công cụ gỡ bỏ mã độc hoặc cài lại Windows.

Một trong những ví dụ điển hình nhất là CryptoLocker. Phần mềm này sẽ khóa và mã hóa dữ liệu của bạn ngay khi chúng xâm nhập được vào hệ thống. Sau đó chúng sẽ không cho phép bạn tiếp cận các dữ liệu này nếu không có khóa mã hóa. Tiếp đó CryptoLocker sẽ hiển thị thông báo tình hình cho bạn và đưa ra cho bạn vài ngày để suy nghĩ. Nếu bạn chấp nhận trả 300 USD, những tên tội phạm sẽ đưa cho bạn khóa mã hóa để bạn có thể phục hồi lại dữ liệu của mình. CryptoLocker hướng dẫn phương thức thanh toán cho nạn nhân rất tỉ mỉ, và giữ đúng lời hứa của mình sau khi nạn nhân chịu “chi”

Làm sao để tự bảo vệ và phòng tránh Ransomware?

Sao lưu dữ liệu thường xuyên là phương pháp tốt nhất để tránh bị cướp dữ liệu từ Ransomware. Bên cạnh đó bạn cũng cần phải trang bị thêm cho máy tính một phần mềm bảo vệ và chống mã độc tốt như Avast!, AVG.. hay cao cấp hơn như Norton, Kaspersky. Bên cạnh đó, bạn cũng nên tránh tải hay cài đặt các tập tin đáng ngờ có định dạng .EXE. Và tốt nhất là hãy tập cho mình có thói quen cảnh giác với các tập tin được chia sẻ ở các nguồn cung cấp hay người dùng không an toàn và “chính chủ”.

Khi bị nhiễm CryptoLocker, bạn nên bình tĩnh và dùng ShadowExplorer để khôi phục lại dữ liệu bị khóa. Nếu có sao lưu trước đó, bạn hãy tiến hành cài đặt lại máy tính để loại bỏ hoàn toàn malware này.

Tổng hợp từ Symantec, ESET