Phần mềm Antivirus tốt nhất hiện nay cũng không thể cứu được bạn khi lỡ nhiễm mã độc này

Nổi lên thành một trong những hình thức tấn công có hiệu quả nhất của giới hacker những năm gần đây, Ransomware hay còn gọi là phần mềm đánh cắp dữ liệu đòi tiền chuộc đã trở thành nỗi ám ảnh của cả người dùng lẫn những hãng bảo mật lớn nhất trên thế giới.

Ransomware hoạt động thế nào?

Cách thức hoạt động của loại phần mềm này sau khi lây nhiễm vào máy tính của nạn nhân chỉ đơn giản là mã hóa toàn bộ dữ liệu với 1 chuỗi mã hóa phức tạp sau đó xóa toàn bộ dữ liệu gốc khỏi máy. Nạn nhân muốn khôi phục lại toàn bộ dữ liệu này sẽ chỉ còn cách chi tiền cho hacker để mua lại chuỗi giải mã cho dữ liệu đã bị mã hóa của mình.

Sở dĩ, việc tấn công bằng Ransomware trở nên phổ biến những năm gần đây là do hình thức này mang lại lợi nhuận tốt hơn cho hacker so với các loại virus phá hoại thông thường. Với những dữ liệu đặc biệt quan trọng mà nạn nhân chưa kịp backup sang ổ cứng phụ thì dù hacker có hét mức giá lớn tới đâu, nạn nhân vẫn cứ phải cắn răng mà mua lại mà đôi khi dù đã trả tiền nhưng chưa chắc đã nhận lại được chuỗi giải mã thật.

Một đoạn "quảng cáo" về Ransomware trên máy tính đã nhiễm.

Thậm chí, ông Ed Cabrera, phó chủ tịch bộ phận an ninh mạng của Trend Micro cũng nói rằng: "Cố gắng giải mã dữ liệu bị mã hóa bởi ransomware gần như là điều bất khả thi nên đừng ai nghĩ tới cách này khi đã bị nhiễm".

Phóng viên của Business Insider cũng đã tiến hành phỏng vấn 1 số chuyên gia đầu ngành về bảo mật và phòng chống Virus để hỏi về 1 công cụ có thể bảo vệ người dùng khỏi ransomware nhưng tất cả đểu cho rằng, cách tốt nhất để giảm thiểu hậu quả của loại phần mềm này đó là... cố gắng đừng để nó nhiễm vào máy.

Tại sao các phần mềm Antivirus "bó tay" với Ransomware?

Phần mềm diệt virus hiện nay vẫn hoạt động dựa trên 1 cơ sở dữ liệu cực lớn về các loại mã độc đã được phát hiện bởi các chuyên gia bảo mật của từng hãng, mỗi loại virus sẽ để lại những "dấu hiệu nhận dạng" đặc trưng giống như vân tay của người. Phần mềm antivirus sẽ tìm kiếm những dấu hiệu này trên ổ cứng để xử lý virus.

Các phần mềm bảo vệ có thể phòng chống tốt với những loại virus đã được phân tích mổ sẻ và đưa lên cơ sở dữ liệu, nhưng với những loại virus quá mới hoặc có cơ chế để ân đi những "dấu hiệu nhận dạng" của chúng trên database thì phần mềm bảo vệ lại gặp rất nhiều khó khăn.

Các hãng làm phần mềm antivirus đã đưa ra một giải pháp để hỗ trợ phát hiện những loại mã độc chưa được biết đến gọi là "sandboxing". Ý tưởng này là xây dựng một môi trường ảo bị cô lập hoàn toàn với máy tính thực và cho những phần mềm cần quét chạy thử trong đó. Những tác động của phần mềm trên máy ảo sẽ không gây nguy hại tới máy tính thật nên đây có thể là biện pháp an toàn. Nhưng điểm yếu của nó là tiêu tốn khá nhiều tài nguyên hệ thống vì phải duy trình một môi trường ảo và chạy thử phần mềm không rõ nguồn gốc trong đó.

Ngoài việc chạy thử, các chuyên gia bảo mật cũng đưa ra 1 cách ít tốn tài nguyên hơn gọi là Heuristic Analysis để phát hiện những loại mã độc mới đó là đánh dấu theo dõi quá trình hoạt động của các phần mềm chưa được xác thực và dựa trên những hành vi mà ứng dụng đó làm trên máy để quyết định có ngăn chặn phần mềm đó hay không. Ví dụ như một phần mềm có hành động ghi lại mật khẩu hoặc cố tình mã hóa dữ liệu của người dùng nó sẽ bị chặn lại và xóa bỏ.

Như vậy, tất cả biện pháp mà phần mềm Antivirus có thể làm đó là phòng ngừa và phát hiện trước khi bị lây nhiễm, còn Ransomware sau khi đã mã hóa thành công dữ liệu người dùng thì những đoạn mã độc dù đã bị xóa hoàn toàn khỏi máy thì dữ liệu bị mã hóa cũng không thể quay lại được.

Cách lây nhiễm chủ yếu hiện nay

Giống như các loại malware khác có trên thế giới, ngày nay các hacker thường sử dụng phương thức phát tán khá đơn giản gọi là spear-phishing, đây thực chất là một kiểu nâng cấp của phương pháp tấn công rất cổ điển đó là dùng email giả mạo. Tội phạm mạng sẽ tiến hành spam những thư điện tử giả mạo nhưng làm giả nội dung gần giống như thư được gửi từ những cá nhân tổ chức hợp pháp ví dụ như email từ ngân hàng, từ các cơ quan công quyền v.v... Đây là những email mà người dùng luôn đọc rất kỹ và sẵn sàng tải về bất cứ tệp tin nào được yêu cầu. Thậm chí hacker còn sử dụng các biểu mẫu giả dạng trang đăng nhập của một loại tài khoản nào đó như Gmail, Facebook, instagram để yêu cầu nạn nhân điền mật khẩu của mình vào đó.

Một thư điện tử mạo danh ngân hàng yêu cầu nạn nhân tải về tập tin chứa mã độc.

Cách tấn công này dù không đảm bảo 100% nạn nhân dính virus nhưng tỉ lệ người dùng mở và tải về tập tin chứa mã độc là rất cao.

Mặt khác, các hacker ngày nay cũng sử dụng một phương thức cao tay hơn đó là tìm lỗ hổng lây nhiễm mã độc vào các website nổi tiếng có lượng truy cập đông đảo, nếu lây nhiễm thành công và ép mỗi người truy cập website này tải về 1 tập tin chứa mã độc thì lượng người nhiễm malware còn tăng với tốc độ cao hơn nữa.

Cách phòng tránh lại rất đơn giản

Vấn đề phòng tránh ransomware thực chất lại rất dễ, bởi mục tiêu của hacker là khóa toàn bộ dữ liệu trên máy tính và đòi tiền chuộc để mở lại nó. Vậy cách đơn giản nhất đó là luôn backup những dữ liệu quan trọng của máy tính trên những thiết bị offline không có kết nối gì với thế giới Internet.

Tất nhiên, phòng bệnh vẫn luôn là biện pháp hiệu quả hơn chữa bệnh nên hãy đảm bảo luôn cập nhật các phần mềm diệt virus, các bản vá hệ điều hành ngay khi được tung ra.

Đừng truy cập những trang web đáng nghi nhất là những trang web bắt tải về các loại tập tin lạ.

Một chuyên gia bảo mật của Cisco từng nói: " Nếu bạn không backup dữ liệu và giữ chúng tránh xa Internet thì sự an toàn của dữ liệu cũng giống như một tay đua lái xe F1 mà không cài dây an toàn".