10 năm phát triển của mã độc tống tiền

Không chỉ mã hóa dữ liệu người dùng và đòi tiền chuộc, các biến thể của ransomware còn khóa chặn người dùng truy cập máy tính của mình.

Đã một thập kỉ trôi qua kể từ ngày ransomware, hay còn gọi là “mã độc tống tiền” được phát hiện lần đầu tiên. Đây là một phần mềm sử dụng hệ thống mã hóa để khóa dữ liệu cá nhân người dùng và đòi tiền chuộc thì mới khôi phục lại dữ liệu bị mã hóa. Để đánh dấu sự kiện này, Hãng bảo mật Trend Micro đã có một bản báo cáo về phát triển của ransomware và đưa ra cách khắc phục, bảo vệ người dùng.

2006: Sự khởi đầu của Ransomware

Giữa năm 2005, các cuộc tấn công của ransomware đã được các công ty bảo mật thế giới ghi nhận và thông báo rộng rãi. Nhưng đến một năm sau đó, 2006, các biến thể của ransomware với những mối đe doạ cao hơn mới xuất hiện. Một trong những biến thể đầu tiên của ransomware được phát hiện là TROJ_CRYPZIP.A, phần mềm độc hại xâm nhập vào ổ cứng của nạn nhân, lấy tất cả dữ liệu và khoá chúng lại bằng mật khẩu đặc biệt. Người dùng sẽ mất hết tất cả các dữ liệu nếu như không có bản sao lưu khác. TROJ_CRYPZIP.A còn tạo ra một tập tin notepad để thông báo cho người dùng khoản tiền chuộc phải trả cho bọn tội phạm, thông thường khoảng 300 USD để lấy lại mật khẩu mở khóa dữ liệu trên ổ cứng

Các nạn nhân thường mất khoản tiền để chi trả cho việc lấy lại mật khẩu mà bọn tống tiền đã cài đặt trước đó. Nhưng thật sự thì mật khẩu đó có thể tìm thấy bên trong các tập tin chứa phần mềm mã độc, chẳng hạn tập tin DLL.

2011: Các biến thể của ransomware

Trong năm năm sau đó, ransomware tiến hoá một cách nhanh chóng. Ngoài việc đánh cắp dữ liệu đòi tiền chuộc, ransomware còn tấn công vào các hệ thống thanh toán di động. Trong năm 2011, tại Nga, các công ty bảo mật đã phát hiện ra TROJ_RANSOM.QOWA. Thay vì khoá một số tập tin và đòi tiền chuộc như trước đây, biến thể ransomware này ngăn chặn người dùng truy cập vào máy tính bằng cách hiển thị trên màn hình một trang web và yêu cầu thanh toán 12 USD. Nạn nhân phải chấp nhận thanh toán khoản chi phí này để lấy lại quyền truy cập vào máy tính của mình.

Tuy khoản tiền này khá nhỏ nhưng cũng cho thấy sự nguy hiểm của các biến thể ransomware. Và đây cũng là tiền đề để bọn tội phạm yêu cầu các khoản tiền chuộc cao hơn. Với mỗi nạn nhận 12 USD, nhưng bọn chúng đã lấy được khoản tiền lên đến 30.000 USD từ 2.500 nạn nhân trong khoản thời gian chưa đến năm tuần. Ransomware được tìm thấy trên các trang web khiêu dâm và đã có hơn 137.000 lượt tải về máy tính cá nhân, trong đó chủ yếu là tại Nga.

Những con số này chứng tỏ sự nguy hiểm tiềm tàng của ransomware.  Các cuộc nghiên cứu về phương pháp ngăn chặn tải phần mềm độc hại, truy cập vào các tập tin trong máy tính đang được các hãng bảo mật phát triển, mà tiên phong là Trend Micro.

2012: Sự xuất hiện Scare Tactics

2012 là năm phát triển bùng nổ của ransomware. Không chỉ thay đổi về cách thức, thói quen, phạm vi hoạt động mà ransomware còn ngày càng mở rộng. Mã độc đã thay đổi cách thức tống tiền thông thường là xâm nhập vào máy tính cá nhân, khoá tập tin đòi tiền chuộc bằng các phương thức nguy hiểm hơn. Một chủng loại Reveton của ransomware còn tấn công vào các cá nhân bên ngoài nước Nga và điển hình là người dùng tại châu Âu và Mỹ.

 

Hình ảnh máy bị nhiễm Reventon (nguồn: Trend Micro)

Hình ảnh máy bị nhiễm Reventon (nguồn: Trend Micro)

Reveton thuyết phục người dùng cài đặt một chương trình bất hợp pháp (phần mềm không bản quyền). Sau đó bọn tội phạm uy hiếp nạn nhân bằng cách gửi một thông báo giả mạo của cảnh sát và buộc nạn nhân đóng một khoản tiền phạt nếu không sẽ có nguy cơ đi tù vì cài đặt phần mềm vi phạm bản quyền. Ransomware đã làm được điều này bằng cách theo dõi vị trí địa lý máy tính của người dùng. Các “thông báo” đòi tiền chuộc gửi cho các nạn nhân thường có biểu tượng của FBI (Mỹ) và biểu tượng Nationale (Pháp).

Thông thường các nạn nhận phải trả 200 USD. Ngoài ra, ransomware còn khoá toàn bộ máy tính không cho người dùng truy cập vào bất kì ứng dụng nào. Reveton lây lan thông qua các trang web khiêu dâm, và tạo ra nhiều biến thể mới khác.

2013: Hệ thống mã hoá dữ liệu

2013 là năm mà biến thể nguy hiểm nhất của ransomware được biết đến với tên Cryptolocker.  Bên cạnh việc vô hiệu hoá hết tất cả các tập tin trên máy tính, nó còn mã hoá các tập tin này, bắt buộc nạn nhân phải trả tiền chuộc để phục hồi.

Theo báo cáo từ Trend Micro thì phương pháp mã hoá này sử dụng hai phương thức mã hoá cùng một lúc là AES và RSA. Các phương thức này rất khó để giải mã và tìm cách lấy lại quyền kiểm soát máy tính.

Về cơ bản, Cryptolocker buộc nạn nhận xem xét việc trả tiền hay mất tất cả mọi thứ. Khoản tiền chuộc mà bọn tội phạm đưa ra lên tới 300 USD tại Mỹ.

2014 -2015: Crypto – Ransomware và Cryptocurrency

Từ đây, sự tiến hoá của ransomware phát triển chậm lại nhưng các chuyên gia bảo mật  đã phát hiện thêm một biến thể có tên TROJ_CRYPTRBIT.H. Loại mã độc này buộc nạn nhân trả tiền bằng Bitcoins. Từ đó, mã độc sẽ được phát tán và lấy trộm tiền của người dùng từ ví Bitcoin.

 10-nam-phat-trien-cua-ma-doc-tong-tien-2

Trong khoảng thời gian 2014 -2015, Crypto-ransomware đã phát triển và tấn công vào các doanh nghiệp. Chúng mã hoá các tập tin trong tài nguyên mạng được chia sẻ và tiến hành khoá toàn bộ hệ thống máy tính của doanh nghiệp. 

2015 – đến nay: Tương lai của ransomware-free

Là một phần mềm độc hại, ransomware cùng với các biến thể Torrentlocker và CTBlocker sẽ còn gây ác mộng đối với người dùng máy tính. Tại thời điểm này, các chuyên gia bảo mật khuyên bạn nên cài đặt phần mềm bảo mật bản quyền cho máy tính cá nhân nói chung và cũng như là các thiết bị di động nói riêng.

Ransomware cách phòng chống.

Người dùng bị nhiễm mã độc ransomware nên xử lý như sau :
• Vô hiệu hoá System Restore
• Chạy Anti-malware để quét và loại bỏ tập tin ransomware liên quan
• Sử dụng công cụ phần mềm chuyên dụng, như The Trend Micro AntiRansomware Tool 3.0

Công cụ quét mã độc ransomware của Trend Micro

Công cụ quét mã độc ransomware của Trend Micro

Lưu ý rằng một số biến thể ransomware phải thêm một bước như xoá tập tin trong Windows Recovery Console. Hãy chắc chắn làm theo các bước cần thiết để loại bỏ hoàn toàn các ransomware trên máy tính. 

Để ngăn ngừa các mã độc ransomware người dùng nên thực hiện các bước sau :
+ Sao lưu các tập tin của bạn thường xuyên
+ Thường xuyên cập nhật các bản vá mới cho phần mềm. Một số ransomware xâm nhập thông qua các lỗ hổng bảo mật đó.
+ Bookmark trang web đáng tin cậy và truy cập các trang web thông qua các dấu trang
+ Chỉ tải tập tin đính kèm email từ các nguồn đáng tin cậy và hãy suy nghĩ thật kỹ trước khi mở các tập tin đính kèm từ các email lạ.
+ Quét hệ thống máy tính của bạn thường xuyên với các chương trình anti-malware.

Theo PCWorldVN

Trả lời

Thư điện tử của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *