Tiểu luận cuối kì bảo mật và an toàn thông tin nghiên cứu mã độc ransomware và biện pháp phòng tránh

Cùng sự xúc tiến của công nghệthông tin, mã độc đã len lỏi vào mọi lĩnh vực của đời sống, gây thiệt hại rất lớn cả về kinhtế và an ninh, quốc phòng.Một số máy tính tại Việt Nam gần đây đ

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC KHOA HỌC XÃ HỘI VÀ NHÂN VĂN

DANH SÁCH THÀNH VIÊN VÀ PHÂN CHIA CÔNG VIỆC

Xếp loại

20031380

1 Làm chương 2:

2 Tổng hợp bài và sửatất cả các phần

Nhóm trưởng, tham gia chọn

đề tài, nhắc nhở các thànhviên hoàn thành nhiệm vụ

A

-20031362

1 Làm chương 1 Tham gia chọn đề tài, Chuẩn

bị nội dung tốt, hoàn thànhđúng hạn Tích cực tham giacông việc

A

3

Vũ Thanh Phúc -

20031359

1 Làm giới thiệu đề tài

2 Thông tin đầu ra đầuvào của hệ thống

3 Xác định các chứcnăng của hệ thống

Tham gia chọn đề tài Hoànthành nhiệm vụ được giao

Tham gia chọn đề tài Hoànthành nhiệm vụ được giao

Nộp bài đúng hạn

A

MỤC LỤC

MỞ ĐẦU 4

1 Lý do chọn đề tài 4

2 Tổng quan nghiên cứu 4

3 Mục tiêu nghiên cứu 5

4 Đối tượng và phạm vi nghiên cứu 6

NỘI DUNG 7

1 Tổng quan về mã độc RANSOMWARE 7

1.1 Giới thiệu chung về mã độc 7

1.1.1 Khái niệm 7

1.1.2 Phân loại và cách thức phân tán 7

1.2 Mã độc Ransomware 8

1.2.1 Khái niệm 8

1.2.2 Lịch sử phát triển 9

1.2.3 Phân loại 11

1.3 Nguyên tắc hoạt động của RANSOMWARE 13

1.3.1 Nguyên nhân lây nhiễm mã độc 14

1.3.2 Biểu hiện bị nhiễm mã độc Ransomware 14

1.3.3 Mã hóa và giải mã 16

1.3.4 Đối tượng tấn công của Ransomware 18

1.3.5 Tình hình phát tán mã độc Ransomware 19

2 Giải pháp phòng chống mã độc RANSOMWARE 21

2.1 Con người 22

2.1.1 Nâng cao nhận thức về an toàn thông tin 22

2.1.2 Đào tạo kỹ thuật an toàn thông tin 22

2.1.3 Thay đổi mật khẩu mặc định trên tất cả các điểm truy cập 23

2.2 Công nghệ 23

2.2.1 Sao lưu dữ liệu 23

2.2.2 Thường xuyên cập nhật phần mềm 24

2.2.3 Sử dụng tường lửa 24

KẾT LUẬN 26

MỞ ĐẦU

1 Lý do chọn đề tài

Phần mềm mã độc cũng không nằm ngoài sự thay đổi và tăng trưởng nhanh chóngcủa thế giới trong mọi lĩnh vực, đặc biệt là trong lĩnh vực kinh doanh công nghệ thôngtin Phải mất hơn ba thập kỷ kể từ khi John von Neuman (1903-1957) phát triển ý tưởng

tự nhân bản của phần mềm máy tính cho đến khi virus đầu tiên ra đời, nhưng cùng với sựbùng nổ của Internet mã độc cũng bùng nổ tương ứng Cùng sự xúc tiến của công nghệthông tin, mã độc đã len lỏi vào mọi lĩnh vực của đời sống, gây thiệt hại rất lớn cả về kinh

tế và an ninh, quốc phòng

Một số máy tính tại Việt Nam gần đây đã bị tấn công bằng các dạng Ransomwaremới như CTB Locker/Critroni hay Onion Đây là loại mã độc cực kỳ nguy hiểm có thểgây thất thoát dữ liệu đáng kể trong các cơ quan, doanh nghiệp và cá nhân, đặc biệt nếu

bị nhiễm mã độc và tài liệu bị mã hóa không thể lấy lại được Liệu Hiện nay, một số hệthống mạng nội bộ (LAN) của các đơn vị đã bị tấn công bằng Ransomware dẫn đến mấtquyền kiểm soát, thu thập thông tin, thậm chí bị mã hóa máy tính đầy đủ

2 Tổng quan nghiên cứu

Ransomware, giống như các dạng virus có hại khác, xâm nhập vào máy tính củangười dùng thông qua tệp đính kèm email, phần mềm lấy từ Internet hoặc chỉ duyệt cáctrang web Sau khi xâm nhập thành công vào máy tính, phần mềm độc hại sẽ mã hóa cáctệp và yêu cầu tiền chuộc

Hơn nữa, theo các nghiên cứu của Cisco và hãng bảo mật Symantec, Ransomwarengày càng tinh vi và nguy hiểm hơn trong các chiến lược hoạt động của nó Theo CPR,tần suất các cuộc tấn công bằng mã độc tống tiền đã tăng 57% kể từ đầu năm 2021, docác lỗ hổng Microsoft Exchange bị lộ Gần đây, Colonial Pipeline, một tập đoàn xăng dầulớn của Mỹ, là nạn nhân của một cuộc tấn công như vậy vào năm 2020, theoCybersecurity Ventures dự đoán rằng Ransomware gây hại cho các doanh nghiệp trêntoàn cầu 20 tỷ USD - số tiền lớn hơn 70% so với năm 2019 Các nhà nghiên cứu CPR đãchứng kiến trung bình hơn 1000 công ty bị Ransomware tấn công mỗi tuần kể từ tháng

Tư Điều này xảy ra sau sự gia tăng lớn về số lượng doanh nghiệp bị ảnh hưởng cho đếnnăm 2021 - 21% trong quý đầu tiên của năm và 7% kể từ tháng Tư Những phát triển này

đã dẫn đến sự gia tăng đáng kinh ngạc 102% về số lượng doanh nghiệp bị Ransomwaretấn công kể từ đầu năm 2020

Lĩnh vực chăm sóc sức khỏe có số lần tấn công Ransomware mỗi công ty nhiềunhất mỗi tuần với trung bình 109 lần mỗi tuần, tiếp theo là lĩnh vực tiện ích với 59 vụ tấncông và bảo hiểm/pháp lý với 34 vụ

Như đã thấy ở trên, mức độ đáng báo động của Ransomware đã được cảnh báo từtrước nhưng các tổ chức, doanh nghiệp vẫn còn thiếu thông tin chuyên sâu để tự bảo vệtrước hiểm họa này Chủ đề làm thế nào để tránh Ransomware là một vấn đề cực kỳ quantrọng và cấp bách hiện nay, trước những rủi ro mà nó đã, đang và sẽ tạo ra Các phươngpháp ngăn chặn ransomware tập trung vào quản lý rủi ro, công nghệ và yếu tố con người

Vì Ransomware yêu cầu một số công cụ và giai đoạn tấn công để thành công nênphương pháp bảo mật hợp lý là sử dụng chiến lược bảo vệ nhiều lớp chống lại phần mềmđộc hại có hại này Điều chính cần nhớ là Ransomware không thể đoán trước và liên tụcthay đổi hành vi của nó Do đó, không có giải pháp duy nhất nào có thể bảo vệ dữ liệukhỏi mã độc hại Ransomware mà chỉ có phương tiện kết hợp nhiều phương pháp trong đóđiểm mạnh của một kỹ thuật vượt trội hơn những thiếu sót của kỹ thuật kia Sau đó, các

cá nhân, tổ chức và doanh nghiệp có thể cải thiện khả năng tự bảo vệ mình trước mã độchại Ransomware

3 Mục tiêu nghiên cứu

Bài nghiên cứu về mã độc Ransomware được thực hiện với các mục tiêu nghiêncứu chính như sau:

 Chỉ ra được các khái niệm, đặc điểm, cách thức tấn công; kỹ thuật pháttán, kỹ thuật mã hóa và giải mã của mã độc Ransomware

 Phân loại các loại mã độc Ransomware

 Đưa ra các giải pháp phòng chống mã độc Ransomware

4 Đối tượng, phạm vi nghiên cứu

 Đối tượng nghiên cứu: Các cách xâm nhập của mã độc, cách thức hoạtđộng của Ransomware , đối tượng mà mã độc này hướng đến cách pháttán, mã hóa và những giải pháp phòng trách, giải mã của mã độcRansomware

 Phạm vi nghiên cứu: Nghiên cứu được thực hiện trong phạm vi tìm hiểucác kỹ thuật, các giải pháp, các công nghệ phòng chống mã độcRansoware

hệ thống Giống như bệnh cảm cúm ở người, chúng cản trở việc hoạtđộng và “gây bệnh” cho thiết bị máy1.

Tuy mã độc không thể làm hỏng phần cứng hệ thống hoặcthiết bị mạng, nhưng chúng vẫn có thể đánh cắp, mã hóa hoặc xóa dữliệu của người dùng, thay đổi hoặc chiếm quyền điều khiển các chứcnăng máy tính và theo dõi hoạt động máy tính mà không có sự chophép của họ

1.1.2 Phân loại và cách thức phân tán

 Virus: Thực chất virus và mã độc vẫn thường bị nhầm lẫnvới nhau Về bản chất thì virus là một dạng mã độc nhưng

có khả năng tự lây lan Nó có thể làm hỏng ổ cứng, gâygián đoạn, đánh cắp thông tin cá nhân người dùng (mã sốthẻ tín dụng, số điện thoại, …)2

 Worm: Worm sở hữu khả năng tự nhân bản Chủ yếu đượcphát tán dưới dạng email với nội dung hấp dẫn hoặc tự tìmcách lan truyền qua các lỗ hổng của hệ điều hành Máy bị

1 "What Is Malware? Definition And How To Tell If You're Infected | Malwarebytes" Malwarebytes, 2023, https://www.malwarebytes.com/malware.

2 Quỳnh, Nguyễn "Mã Độc Là Gì? Phân Loại Và Phòng Tránh Mã Độc Như Thế Nào - BKNS" Nhà Cung Cấp Hosting - Tên Miền - Cloud VPS | BKNS, 2022, https://www.bkns.vn/ma-doc-la-gi.html#Ma_doc_la_gi.

nhiễm sẽ bị đánh cắp dữ liệu nhạy cảm, bị phá mạng thôngtin và cản trở việc hệ thống hoạt động.

 Trojans: Tương tự như Virus, nhưng Trojans không có khảnăng tự nhân bản mà phải dùng phần mềm khác để pháttán Trojans thường được phân tán qua các email hoặc cácphần mềm miễn phí có đính kèm mã độc Loại chươngtrình này phần lớn được tin tặc sử dụng để thu thập dữ liệu

về thói quen và hành vi khi sử dụng Internet của cá nhân

 Spyware: Cũng là loại mã độc với mục đích theo dõi thôngtin và hành vi người dùng Thường thì Spyware được chèntrong các phần mềm ứng dụng miễn phí hoặc một file Cóthể khiến kết nối Internet và máy tính nạn nhân bị chậm

 Adware: Thường được đính kèm với một tin quảng cáo,phân tán dưới hình thức là một app miễn phí hoặc phiênbản dùng thử Chúng được cài đặt vào máy tính ngườidùng một cách bí mật khi lướt web, sau đó theo dõi hành vi

sử dụng mạng rồi gửi đến những quảng cáo phù hợp vớingười dùng

 Ngoài ra còn có Ransomware, một trong năm loại mã độcphổ biến làm ảnh hưởng đến hơn 3 triệu máy tính tại ViệtNam năm 2022.3

1.2 Mã độc Ransomware

1.2.1 Khái niệm

Là một phần mềm sử dụng mã hóa để vô hiệu hóa quyền truycập của mục tiêu vào dữ liệu của họ cho đến khi trả tiền chuộc Mãđộc tống tiền có khả năng lây lan đến thiết bị lưu trữ khác trên mạngnếu máy tính của mục tiêu được kết nối chung mạng Nạn nhân sẽ

3 "5 Loại Mã Độc Hoành Hành Tại Việt Nam 2022" Vnexpress.Net, 2023, hoanh-hanh-tai-viet-nam-2022-4548724.html.

https://vnexpress.net/5-loai-ma-doc-không thể hoạt động một phần hoặc toàn bộ cho đến khi thanh toán,nhưng không có gì đảm bảo rằng khoản thanh toán sẽ giúp nhận đượckhóa giải mã cần thiết hoặc khóa giải mã được cung cấp sẽ hoạt độngbình thường Mã độc Ransomware hạn chế hoặc từ chối quyền truycập của người dùng vào thiết bị, hệ điều hành hoặc dữ liệu của thiết

bị Một số sử dụng cơ chế khóa để ngăn người dùng tiếp tục sử dụng,trong khi một số khác mã hóa dữ liệu để người dùng không thể mởtập tin trong máy Bitcoin thường được sử dụng làm phương thứcthanh toán để che giấu danh tính và xóa hồ sơ Tuy nhiên, không có

gì đảm bảo rằng tin tặc sẽ cấp lại quyền ngay cả khi nạn nhân trả tiền.Một số phần mềm tống tiền nguy hiểm hơn vì nó có thể truy cậpMaster Boot Record (MBR) của máy tính Theo cách tiếp cận này,Ransomware sẽ làm tê liệt toàn bộ hệ thống bằng cách ngăn hệ điềuhành hoạt động.4

Ví dụ: Năm nay, thành phố Baltimore đã bị tấn công bởi mộtloại ransomware có tên RobbinHood, khiến mọi hoạt động của thànhphố bị tạm dừng, bao gồm thu thuế, chuyển nhượng tài sản và emailcủa chính phủ trong nhiều tuần Cuộc tấn công này đã gây thiệt hạicho thành phố hơn 18 triệu đô la Loại phần mềm độc hại tương tự đãđược sử dụng để chống lại thành phố Atlanta vào năm 2018, dẫn đếnchi phí 17 triệu đô la

1.2.2 Lịch sử phát triển

Ban đầu, ransomware được thiết kế để hạn chế người dùngtruy cập hợp pháp vào máy tính, buộc họ phải trả tiền chuộc để khôiphục quyền kiểm soát Sau đó, nhiều biến thể khác nhau của phầnmềm độc hại độc hại này đã được tạo ra, mã hóa các tệp và dữ liệu hệthống bằng các phương pháp phức tạp hơn hoặc tấn công trên nhiều

4 "12 Types Of Malware + Examples That You Should Know" Crowdstrike.Com, 2023, https://www.crowdstrike.com/cybersecurity-101/malware/types-of-malware/.

thiết bị và nền tảng Ở Nga, ransomware ban đầu được xác định vàonăm 2005 với biệt danh TROJ_CRYZIP.A Khi phần mềm độc hạinguy hiểm xâm nhập vào máy tính, nó sẽ nhanh chóng mã hóa, bảo

vệ bằng mật khẩu các tệp hệ thống và tạo các thông báo có nội dung.Yêu cầu nạn nhân trả một khoản tiền chuộc cụ thể Sau đó,Ransomware lan rộng ra ngoài nước Nga, ảnh hưởng đến các tệp vănbản và dữ liệu ở các định dạng như.docx,.xlsx,.jpg, or.pdf bằng cácchiến thuật thông minh và thuật toán mã hóa phức tạp Trong thập kỷqua, Ransomware đã phát triển thành một số dạng mới, phức tạp vàtinh vi hơn, bao gồm:

Phần mềm tống tiền AIDS và PC Cyborg chủ yếu nhắm vàocác máy tính trong ngành y tế Mạo danh khảo sát nguy cơ nhiễmHIV trong đĩa 5,25 inch Thông báo đòi tiền chuộc được in trên máy

in của máy tính nạn nhân

Năm 2011, giới thông tin chứng kiến sự ra đời của một loạiRansomware khác có tên SMS Ransomware SMS Ransomwarengoài đặc điểm điển hình là gửi tin nhắn yêu cầu khách hàng liên hệvới hacker qua số điện thoại chỉ định cho đến khi giao tiền theo yêucầu

Virus WinLock lần đầu tiên xuất hiện ở Nga vào tháng 8 năm

2010 WinLock không mã hóa dữ liệu mà thay vào đó hạn chế quyềntruy cập hệ thống bằng cách hiển thị hình ảnh khiêu dâm và nhắcngười dùng viết tin nhắn Để lấy mã mở khóa, hãy gửi một tin nhắnSMS có tính phí (khoảng $10 USD) Người dùng ở Nga và các quốcgia lân cận gặp phải một số vấn đề và tình huống trở nên trầm trọnghơn do cuộc tấn công này; băng đảng đứng sau nó được cho là đã tạo

ra 16 triệu đô la từ Ransomware

Vào ngày 12 tháng 5 năm 2017, một biến thể mới củaransomware được gọi là WannaCry đã bắt đầu nhắm mục tiêu vào các

mạng trên toàn thế giới Cho đến nay, hơn 45.000 vụ tấn công đãđược ghi nhận ở 99 quốc gia khác nhau

Virus này lần đầu tiên xuất hiện ở Nga, nhưng nó đã nhanhchóng lan rộng khắp châu Âu Vào năm 2012, một số lượng đáng kểcác cuộc tấn công bằng mã độc tống tiền đã được ghi nhận ở Châu

Âu, cũng như Hoa Kỳ và Canada Ransomware hiện có thể tồn tại ởkhắp mọi nơi trên thế giới

1.2.3 Phân loại

PC của người dùng thường xuyên bị tấn công bằngransomware ngay sau một thao tác nhỏ mà họ không hềhay biết Tin tặc ngụy trang các tệp bị nhiễm ransomwaredưới dạng tệp xử lý văn bản, bảng tính hoặc PDF Tuynhiên, đây là các tệp thực thi mã (.exe) Khi người dùngnhấp vào chúng, các tệp này sẽ ngay lập tức thực thi ở chế

độ nền

 Ransomware được phân loại thành ba dạng dựa trên cáchthức hoạt động của nó: mã hóa, không mã hóa và phầnmềm rò rỉ Tuy nhiên, ransomware đã phát triển để bắt kịpvới những tiến bộ công nghệ và hiện có nhiều loạiransomware hơn trên thiết bị di động (Android và iOS),ransomware trong IoT và thậm chí cả máy ảnh DSLR cóthể bị nhiễm loại virus này

 Locker Ransomware, đôi khi được gọi là ransomwarekhông mã hóa Chương trình này không mã hóa các tệp vàthay vào đó ngăn mọi người truy cập vào thiết bị Ví dụ,một máy tính bị nhiễm mã độc tống tiền khóa máy tính sẽkhông thể thực hiện bất kỳ thao tác nào khác ngoài bật vàtắt Trên màn hình của máy sẽ xuất hiện thông báo hướng

dẫn bạn cách chuyển tiền để máy khôi phục hoạt động bìnhthường.

 Loại ransomware phổ biến nhất là ransomware tiền điện tử,thường được gọi là ransomware mã hóa Chúng mã hóa cáctệp dữ liệu bằng cách kết nối lén lút với máy chủ của tintặc, tạo khóa mã hóa và đổi tên các tệp Đồng thời, nhữngtin tặc này sẽ gửi thông báo đòi tiền chuộc đến hệ thống vàtrong một số trường hợp nhất định, khiến nạn nhân phảichịu áp lực về thời gian Nếu bạn không thanh toán trongkhoảng thời gian đã nêu, tệp có thể được nâng cấp lên mãhóa, điều này sẽ có tác động tiêu cực đến nội dung

 Một số mã độc tống tiền đe dọa sẽ công khai dữ liệu củanạn nhân trên mạng nếu tiền chuộc không được trả Donhiều cá nhân lưu dữ liệu quan trọng hoặc hình ảnh cánhân trên máy tính nên khó tránh khỏi tâm lý hoang mang

và tìm cách trả tiền chuộc cho tin tặc Loại ransomware nàycòn được gọi là phần mềm rò rỉ hoặc doxware

Hiện tại, nhiều chủng ransomware với mức độ đe dọa khácnhau đã được xác định WannaCry, CryptoLocker và Petya là ba loạiransomware nguy hiểm nhất Các tên khác có thể gây hại cho máytính của bạn bao gồm Locky, TeslaCrypt, v.v

Vào tháng 5 năm 2017, WannaCry đã lây nhiễm hơn 100.000

hệ thống bằng cách khai thác lỗ hổng Microsoft Windows chưa được

vá (MS17-010) WannaCry (còn được gọi là WannaCrypt,WanaCrypt0r 2.0 và Wanna Decryptor) là một phần mềm tống tiền

mã hóa dữ liệu của bạn và giữ chúng để đòi tiền chuộc Khoản tiềnchuộc được đặt ở mức 0,17 BTC ($300) trong vài ngày trước khităng Các tập tin sẽ bị xóa sau một tuần Phần mở rộng WCRY sẽđược sử dụng cho các tệp được mã hóa Chúng được gọi là "chức

năng kill switch" Vào Chủ nhật, các biến thể cập nhật của Wannacry

đã được phát hiện, cùng với các miền chuyển tiếp tiêu diệt mới

1.3 Nguyên tắc hoạt động của RANSOMWARE

Để lây nhiễm các điểm cuối và xâm nhập mạng, phần mềm tống tiềnthường lây lan qua thư rác hoặc email lừa đảo, cũng như các trang web hoặctài nguyên tải xuống theo ổ đĩa Khi đã vào bên trong, phần mềm tống tiền sửdụng một phương pháp mã hóa mạnh mẽ để khóa tất cả các tệp mà nó có thểtruy cập Cuối cùng, vi-rút yêu cầu một khoản tiền chuộc (thường bằng

Bitcoin) để giải mã các tệp và đưa hệ thống CNTT bị ảnh hưởng hoạt độngbình thường Để có thêm quyền kiểm soát thiết bị của nạn nhân, ransomwaređôi khi được triển khai cùng với virus.

1.3.1 Nguyên nhân lây nhiễm mã độc

Mã độc Ransomware ẩn nấp tinh vi trong các phần mềmđường liên kết , đường link tập tin người dùng và người dùng có thể

bị nhiễm loại mã độc này qua các thao tác sau:

 Sử dụng các phần mềm crack

 Bấm vào các quảng cáo

 Truy cập vào các trang web giả mạo hoặc web đen

 Bấm vào các file đính kèm qua email spam

 Tải về thiết bị các phần mềm lạ, không rõ nguồn gốc

 Các lỗ hổng của hệ thống mạng hoặc thiết bị bị càiRansomware tự động thông qua USB

1.3.2 Biểu hiện bị nhiễm mã độc Ransomware

Loại mã độc này có thể xuất hiện ở bất cứ đâu , nếu không có

sự cẩn trọng trong các thao tác người dùng có thể dễ dàng bị nghiễm

mã độc Các chuyên gia về an ninh mạng khuyên người dùng nênkiểm tra thiết bị thường xuyên để phát hiện điều bất thường Tuynhiên để nhận biết được máy tính đã bị nhiễm mã độc sẽ có một sốđặc điểm và biểu hiện như sau:

1.3.2.1 Nhận được thông báo, tin nhắn lạ

Phần mềm độc hại có thể được gửi qua tệp đính kèm,liên kết trong email hoặc tin nhắn trong chương trình tròchuyện Phần lớn các cảnh báo này rất ấn tượng, hấp dẫn vàđơn giản để mọi người kết nối và nhấp vào Khi đối mặt vớinhững tình huống này, người tiêu dùng nên cảnh giác và kiểm