Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG LÊ LONG BÌNH NGHIÊN CỨU MÃ ĐỘC RANSOMWARE VÀ BIỆN PHÁP PHÒNG CHỐNG Chuyên ngành: HỆ THỐNG THÔNG TIN Mã số: 60.48.01.04 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI – 2017 Luận văn hoàn thành tại: HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: …Tiến sĩ Đỗ Xuân Chợ (Ghi rõ học hàm, học vị) Phản biện 1: …………………………………………………………………………… Phản biện 2: ………………………………………………………………………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thông Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bưu Viễn thông MỞ ĐẦU Lý chọn đề tài Ngày nay, với nhu cầu trao đổi thông tin, bắt buộc quan, tổ chức phải hoà vào mạng Internet, an toàn bảo mật thông tin vấn đề quan trọng hàng đầu Cộng đồng công nghệ thông tin, đặc biệt doanh nghiệp, tổ chức có hạ tầng thông tin tiên tiến phải đối mặt với biến đổi, phức tạp ngày nguy an toàn thông tin Theo hiệp hội An Toàn Thông Tin Việt Nam tội phạm máy tính liên tục gia tăng Bên cạnh đó, với xuất ngày nhiều hình thức công hệ thống máy tính với kỹ thuật tinh vi phức tạp Đặc biệt năm gần đây, hình thức công phát tán mã độc ngày phát triển trở thành mối quan tâm hàng đầu công ty chuyên gia bảo mật Các tổ chức cá nhân, doanh nghiệpcàng thêm lo lắng nguy an toàn thông tin có xuất mã độc tống tiền (Ransomware) Ransomware biến thể mã độc, khác với mã độc khác công vào hệ thống máy tính tìm cách đánh cắp liệu lây nhiễm cho toàn hệ thống, Ransomware tìm đến file liệu máy tính nạn nhân để mã hóa, sau mã hóa xong toàn liệu sử dụng nạnnhân không tự bỏ tiền mua khóa bí mật từ kẻ công Gần số biến thể Ransomware không yêu cầu tiền chuộc mà đưa danh sách phần mềm để bẻkhóa liệu mạng, tất nhiên phần mềm yêu cầu trả phí tải Dự báo thời gian tới, mã độc Ransomware tiếp tục diễn biến phức tạp, khó lường Với việc kết hợp công nghệ liên tục thay đổi phương thức, thủ đoạn để tránh bị phát dẫn đến việc phòng chống vô khó khăn Mặc dù, thiệt hại mã độc Ransomware gây nghiêm trọng nhiên việc phòng chống bị xem nhẹ, chưa đầu tư đắn Do đó, việc nghiên cứu chế hoạt động mã độc Ransomware điều quan trọng, giúp người sử dụng internet hiểu nguy loại hình công này,qua đưa phương án phòng chống mã độc Ransomware thích hợp để đạt hiệu tốt Từ lý trên, học viên chọn đề tài “Nghiên cứu mã độc Ransomeware biện pháp phòng chống”.Một đề tài tương đối chưa nghiên cứu sâu rộng Kết nghiên cứu đề tài đưa nhìn tổng quan mã độc Ransomware từ đề xuất giải pháp để phòng chống mã độc Qua đógiúp cho cá nhân, doanh nghiệp, tổ chức giảm thiểu hay tránh hậu công mã độc Ransomeware gây Tổng quan vấn đề cần nghiên cứu Tương tự loại mã độc khác, Ransomware xâm nhập vào máy tính người dùng thông qua liệu đính kèm từ email, phần mềm tải từ Internet hay đơn giản từ website mà người dùng duyệt qua Sau xâm nhập vào máy tính, tiến hành mã hóa liệu yêu cầu tiền chuộc 2 Không dừng lại đó, theo nghiên cứu Cisco hãng bảo mật Symantec, mã độc Ransomware ngày sở hữu phương thức hoạt động tinh vi, nguy hiểm Mã độc không công mục tiêu qua hình thức email lừa đảo (email phishing), thay vào đó, nhắm thẳng vào lỗ hổng máy chủ (server) - tiêu biểu số Samsam - mã độc gây tê liệt toàn hệ thống bệnh viện Mỹ vào tháng 3/2016 (Why malware like the Samsam ransomware are so dangerous for hospitals? - securityaffairs.co) Nghiên cứu bảo mật từ CyberArk Labs cho thấy năm 2015 mã độc Ransomware lây nhiễm gần 407.000 mục tiêu, tiêu tốn nạn nhân 325 triệu USD số tiếp tục gia tăng Nguy hiểm hơn, nghiên cứu cho thấy 70% mã độc Ransomware chiếm quyền hạn quản trị thiết bị (CyberArk Labs: Ransomware cyberark.com) Bên cạnh đó, khảo sát Malwarebytes công bố tháng 8-2016 cho thấy, gần 40% 540 công ty với tổng số nhân viên triệu người nạn nhân mã độc Ransomware ( Công bố loại mã độc ransomware tung hoành nhiều năm 2015Dantri.com.vn) Doanh nghiệp vừa nhỏ trở thành mục tiêu mã độc Ransomware Trên thấy rằng, mức độ nguy hiểm mã độc Ransomware cảnh báo trước, tổ chức, cá nhân, doanh nghiệp chưa trang bị kiến thức cụ thể để tự bảo vệ trước công Từ mối nguy hại mà mã độc Ransomware đã, gây nên vấn đề phòng chống vấn đề vô quan trọng cấp thiết Phương pháp phòng chống mã độc Ransomware dựa phương diện quản lý rủi ro, công nghệ phương diện người Tuy nhiên, khuôn khổ luận văn, học viên tập trung sâu nghiên cứu tìm hiểu giải pháp phòng mã độc Ransomware phương diện công nghệ Vì mã độc Ransomware đòi hỏi nhiều công cụ giai đoạn công để thành công vậy, giải pháp bảo mật thông minh việc thực chiến lược phòng thủ đa tầng để chống lại mã độc Điều quan trọng mã độc Ransomware biến đổi không lường thay đổi cách thức hoạt động Chính giải pháp bảo vệ liệu khỏi mã độc Ransomware, mà có cách tích hợp nhiều giải pháp với sức mạnh phương pháp bù đắp nhược điểm phương pháp Từ đó, cá nhân, tổ chức doanh nghiệp tăng khả bảo vệ trước mã độc Ransomware Mục đích nghiên cứu • Nghiên cứu mã độc Ransomware: đặc điểm, cách thức công; kỹ thuật phát tán, kỹ thuật mã hóa giải mã • Nghiên cứu giải pháp công nghệ để phòng chống mã độc Ransomware • Ứng dụng công nghệ để phòng chống mã độc Ransomware Đối tượng phạm vi nghiên cứu • Đối tượng nghiên cứu: kỹ xâm nhập, phát tán mã hóa giải mã mã độc Ransomware 3 • Phạm vi nghiên cứu: Các kỹ thuật, giải pháp, công nghệ phòng chống mã độc Ransoware Phương pháp nghiên cứu 5.1 Phương pháp nghiên cứu tài liệu: - Nghiêncứu lý thuyết định nghĩavề malware nói chung Ransomware nói riêng - Nghiên cứu báo cáo công ghi nhận từ tìm hiểu cách thức lây lan 5.2 Phương pháp thực nghiệm: - Mô giả lập công Ransomware Xây dựng mô hình giải pháp công nghệ để ngăn chặn Dự kiến cấu trúc nội dung luận văn gồm chương sau: Chương 1: TỔNG QUAN VỀ MÃ ĐỘC RANSOMWARE Chương 2: CÁC GIẢI PHÁP PHÒNG CHỐNG MÃ ĐỘC RANSOMWARE Chương 3: THỰC NGHIỆM VÀ ĐÁNH GIÁ CHƯƠNG 1: TỔNG QUAN VỀ MÃ ĐỘC RANSOMWARE 1.1 Giới thiệu chung mã độc 1.1.1 Khái niện Mã độc “một chương trình (program) chèn cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính toàn vẹn tính sẵn sàng hệ thống”.Theo định nghĩa bao hàm nhiều thể loại mà quen gọi chung virus máy tính như: worm, trojan, spy-ware, chí virus công cụ để công hệ thống mà hacker thường sử dụng như: backdoor, rootkit, key-logger Như mã độc chất phần mềm phần mềm khác máy tính mà sử dụng hàng ngày, có đầy đủ đặc điểm, tính chất phần mềm bình thường khác có thêm tính độc hại (malicious) 1.1.2 Phân loại Tùy thuộc vào chế, hình thức lây nhiễm phương pháp phá hoại mà người ta đưa nhiều tiêu chí để phân loại mã độ, tiêu chí sử dụng nhiều phân loại theo hình thức lây nhiễm theo phân loại NIST (National Institute of Standart and Technology) - Phân loại theo hình thức lây nhiễm: Dựa vào hình thức phân loại mã độc gồm loại chính: loại cần chương trình chủ để tồn lây nhiễm, chương trình chủ tập tin liệu, tập tin ứng dụng, hay tập tin chương trình thực thi… loại thứ hai tồn độc lập không cần chương trình chủ để lây nhiễm Không cần chương trình chủ nghĩa chương trình độc hại lập lộc chạy hệ điều hành Không độc lập (needs host program) đoạn chương trình đặc biệt thuộc chương trình thực thi độc lập chương trình thông thường hay tiện ích mà bắt buộc phải có bước kích hoạt chương trình chủ trước chương trình chạy Hình 1.1 Phân loại mã độc theo hình thức lây nhiễm 1.1.3 Cách thức phát tán mã độc Từ người dùng:Hiện mã độc chủ yếu lây nhiễm vào hệ thống thông tin cách đánh vào nhận thức tâm lý người dùng Mã độc lây nhiễm vào máy tính người sử dụng thông qua tập tin đính kèm thư Các tập tin thường đính kèm thư điện tử người lạ gửi đến nạn nhân thư điện tử giả mạo quan tổ chức Từ máy trạm: Các tổ chức ngiên cứu bảo mật thông tin phát máy trạm (máy đầu cuối – endpoint) nguyên nhân mà mã độc phát tán Máy trạm thiết bị máy tính có kết nối với mạng tổ chức máy tính để bàn, máy lapto, thiết bị điện tử có vùng lưu trữ, cổng vào ra, kết nối với địa IP… sở để phát tán mã độc Từ mạng xã hội: Hiện giới có hàng trăm mạng xã hội khác MySpace, Facebook,Zingme,YuMe,Zalo,Twitter… Trong mạng xã hội xem phương tiện giao tiếp tốt với người trở thành mục đích cho lây lan mã độc Mạng xã hội hoạt động nguyên tắc kết nối chia sẻ thông tin, mạng xã hội bắt buộc người sử dụng cung cấp số thông tin định thông tin cá nhân Càng nhiều thông tin mà người sử dụng cung cấp lên mạng xã hội làm tăng nguy bị kẻ xấu lợi dụng Hiện mạng xã hội có nhiều ứng dụng cho người dùng có ứng dụng cài kèm chương trình độc hại Từ thiết bị di động: Hiện bùng nổ thiết bị di động kéo theo phát triển loại mã độc tảng Các thiết bị di động thông minh phát triển nhanh chóng, với kho ứng dụng khổng lồ mà lập trình viên phát triển Mã độc tảng lây nhiểm chủ yếu thông qua ứng dụng người dùng tải cài đặt máy cá nhân Các dạng mã độc kiểu kiểm soát người sử dụng bị chặn nhà cung cấp hệ điều hành chúng yêu cầu hành vi bị nhận dạng nguy hiểm 1.2 Giới thiệu mã độc Ransomware 1.2.1 Khái niệm Thuật ngữ ransomware đưa Adam L.Young Moti Yung Đại học Columbia trình bày hội nghị IEEE Security & Privacy năm 1996 Ransomware loại mã độc ngăn chặn giới hạn người dùng sử dụng thiết bị, hệ thống liệu Một số mã hóa tập tin khiến người dùng mở tài liệu máy, số khác dùng chế khóa máy để không cho người dùng tiếp tục sử dụng Hầu hết phần mềm Ransomware chiếm quyền mã hóa toàn thông tin nạn nhân mà tìm (thường gọi Cryptolocker), số loại Ransomware khác lại ẩn gói liệu máy tính (tên khác CTB Locker) Ransomware buộc nạn nhân trả tiền để có lại quyền sử dụng liệu thông tin người dùng Hình thức toán thường toán bitcon nhằm che dấu danh tính để xóa dấu vết Nhưng cần nhấn mạnh nạn nhân trả tiền đảm bảo tin tặc cấp quyền trở lại.Nguy hiểm hơn, có số ransomware thâm nhập vào Master Boot Record (MBR) máy tính Bằng cách này, ransomware ngăn không cho hệ điều hành chạy lên, hay nói cách khác làm tê liệt hệ thống 1.2.2 Lịch sử phát triển Vụ công ransomware xuất lần vào năm 1989 với tên gọi “AIDS Trojan” viết Joseph Popp.Những trường hợp bị công mã độc ransomware Nga vào năm 2005 – 2006.Khi đó, ransomare mang số hiệu TROJ_CRYZIP.A nén tập tin quan trọng người dùng lại thành tập tin zip xóa tập tin gốc Để mở tập tin zip cần có password TROJ_CRYZIP.A tạo tập tin văn để làm "thư tống tiền", nói người dùng muốn có password để mở tập tin zip phải trả 300$.Vào tháng năm 2008, biến thể gọi Gpcode.AK phát sử dụng thuật toán mã hóa RSA 1024-bit Tại thời điểm chưa xuất công cụ đủ lớn để tính toán để giải mã thời gian ngắn Tháng năm 2010, công Nga mã độc WinLock WinLock không sử dụng mã hóa Thay vào đó, WinLock hạn chế khả truy cập vào hệ thống cách hiển thị hình ảnh khiêu dâm yêu cầu người dùng gửi tin nhắn SMS có tỷ lệ phí (khoảng 10$) để nhận mã số dùng để mở khóa máy.Vụ công gây nhiều khó khăn khiến người dùng bực diễn khắp nước Nga nước láng giềng – theo báo nhóm thu 16 triệu USD nhờ ransomware này.Trong năm 2011, ransomware công vào hệ điều hành Windows thông báo cho người dùng việc cài đặt Windows hệ thống phải kích hoạt lại "là nạn nhân gian lận" Năm 2012, ransomware TROJ_RANSOM.BOV "nhúng" vào trang web bán hàng Pháp, từ lây nhiễm xuống máy tính người dùng Pháp Nhật Tháng năm 2013, ransomware dựa công cụ khai thác stamp.ek lây lan thông qua trang web lưu trữ dịch vụ lưu trữ SourceForge GitHubVào tháng năm 2013, ransomware đặc biệt OS-X xuất hiện, hiển thị trang web cáo buộc người dùng tải nội dung khiêu dâm Cuối năm 2013, loại ransomware xuất Những biến thể mã hóa tập tin thay khóa máy tính lúc trước, mà chúng gọi tên "CryptoLocker" Bằng cách này, tin tặc đảm bảo người dùng phải trả tiền họ dùng công cụ bảo mật để xóa mã độc Bằng hình thức tin tặc phát tán ransomware CryptoLocker thu 27 triệu USD từ nạn nhân.Khoảng cuối năm 2013, biến thể CryptoLocker xuất Với tên gọi WORM_CRILOCK.A, biến thể lây lan thông qua ổ USB hay HDD rời, điều làm tốc độ phát tán tăng lên so với biến thể khác Một biến thể khác không phần nguy hiểm CryptoDefense (tên khác: Cryptorbit) Nó mã hóa nhiều thứ, từ lịch sử duyệt web, sở liệu, hình ảnh, phim, tập tin Office Nó thông minh đến mức có khả tìm tập tin backup xóa để người dùng làm khác việc trả tiền để cung cấp khóa giải mã.Vào ngày 12 tháng năm 2017, biến thể ransomware có tên WannaCry công máy tính toàn giới Đến nay, có 45.000 công ghi nhận 99 quốc gia 1.2.3 Phân loại Ngày nay, có hai loại Ransomware phổ biến là: ● Locker Ransomware – Ngăn chặn người dùng truy cập máy tính thiết bị ● Crypto Ransomware – Ngăn chặn người dùng truy cập liệu tập tin, sử dụng hệ mật mã mạnh AES, RSA mã hóa liệu người dùng 7 Trong số biến thể ta kể đến đại diện tiêu biểu như: reveton, cryptolocker, cryptolocker.f and torrentlocker, cryptowall, fusob, wannacry… Cryptolocker: Các công ransomware cryptolocker công mạng xảy từ 05 tháng năm 2013 đến cuối tháng năm 2014 mục tiêu nhằm vào máy tính chạy hệ điều hành Microsoft Windows Nó phát tán qua tập tin đính kèm email bị nhiễm, thông qua botnet Cryptolocker bị cô lập vào cuối tháng năm 2014 nhờ chiến dịch Tovar – cô lập mạng botnet Gameover ZeuS ( botnet sử dụng để phân phối phần mềm độc hại) Trong chiến dịch số công ty bảo mật tham gia vào việc thu thập sở liệu khóa cá nhân sử dụng cryptolocker xây dụng công cụ trực tuyến mở khóa liệu miễn phí cho người Các báo cáo nhóm tin tặc phát tán cryptolocker thu khoảng triệu USD từ nạn nhân WannaCry phần mềm độc hại mã độc tống tiền tự lan truyền máy tính sử dụng Microsoft Windows Vào ngày 12 tháng năm 2017, WannaCry bắt đầu gây ảnh hưởng đến máy tính toàn giới Đến nay, có 45.000 công ghi nhận 99 quốc gia Nga nước chịu ảnh hưởng nặng nề nhất, tiếp đến Ukraina, Ấn Độ Đài Loan, Việt Nam nước bị công nhiều Sau xâm nhập vào máy tính, mã độc tống tiền mã hóa ổ đĩa cứng máy tính, sau cố gắng khai thác lỗ hổng SMB để lây lan sang máy tính ngẫu nhiên Internet, máy tính mạng LAN Do mã hóa theo thuật toán RSA 2048bit phức tạp, tính đến thời điểm tại, gần cách để giải mã tập tin bị WannaCry mã hóa Khi lây nhiễm vào máy tính mới, WannaCry liên lạc với địa web từ xa bắt đầu mã hóa tập tin nhận địa web truy cập Nhưng kết nối được, WannaCry tự xóa thân – chức cài đặt người tạo "công tắc an toàn" trường hợp phần mềm trở nên không kiểm soát Một chuyên gia công nghệ khám phá địa web không đăng ký mua với giá chưa đến 10 Euro, vụ công tạm thời ngăn chặn 1.3 Nguyên tắc hoạt động ransomware 1.3.1 Lây nhiễm Spam Mail: Trong nhiều năm thư rác kỹ thuật tốt để phân phối phần mềm độc hại Ramsomware Tội phạm mạng sử dụng botnet để gửi thư tác Những tội phạm mạng cung cấp dịch vụ gửi thư rác cho kẻ công khác nhằm thu phí Các thư rác thường kèm hình thức mail chứa file đính kèm liên kết đến trang web khác dùng để khai thác Các thư rác loạt kĩ thuật đánh vào tâm lý nhằm lừa người dùng cài đặt ransomware Download & botnet: Phương pháp cách để phân phối phối phần mềm độc hại gọi phần mềm download Một downloader nhiễm phần mềm đọc hại cài đặt máy tính 8 Kỹ thuật Social Engineering: Một số ransomware chứa chức lây lan Ví dụ Android có số virus khóa mã hóa tập tin chúng lây lan sang địa liên lạc địa thiết bị gửi SMS xã hội Chuyển hướng điều khiển: Một phương pháp phổ biến sử dụng dịch vụ phân phối để web chuyển hướng từ dịch vụ sang trang web khác dùng để khai thác Quảng cáo độc hại: quảng cáo độc hại biết đến với tên malvertisments đẩy lên website nhằm mục đích chuyển hướng truy cập người dùng Ngoài máy tính bị lây nhiễm thông qua đường khác qua thiết bị lưu trữ USB, qua trình cài đặt phần mềm không rõ nguồn gốc, chép liệu từ máy bị nhiễm mã độc 1.3.2 Dấu hiệu nhận biết nhiễm ransomware xử lý Theo kết phân tích chuyên gia VNIST, trình phá huỷ liệu mã độc Ransomware thực mà cần khoảng thời gian định thường xuất số dấu hiệu sau mà không rõ lý do: - Máy tính xử lý chậm; - Đèn báo ổ cứng hoạt động liên tục; - Xuất số thông báo tiếng anh lạ hình máy tính; - Một số tệp tin mở được; - Xuất số tệp tin có đuôi lạ (ví dụ: encrypted, frtrss, , ) v.v… Khi mã độc lây nhiễm vào máy tính, mã độc tiến hành quét mã hóa tập tin khoảng thời gian Do đó, việc phản ứng nhanh phát cố giúp giảm thiểu thiệt hại cho liệu máy tính tăng khả khôi phục liệu bị mã hóa Cụ thể cần thực thao tác sau: - Nhanh chóng tắt máy tính cách ngắt nguồn điện; - Không khởi động lại máy tính theo cách thông thường mà phải khởi động từ hệ điều hành (khuyết nghị điều hành Linux) cách khởi động từ CD, USB, sau thực kiểm tra tập tin liệu lưu liệu chưa bị mã hóa; - Các tập tin bị mã hóa tương đối khó để giải mã Tuy nhiên, số trường hợp sử dụng phần mềm khôi phục liệu FTK, EaseUs, R-STUDIO, để khôi phục tập tin nguyên bị xóa; - Cài đặt lại toàn hệ thống, cài đặt phần mềm diệt virus đồng thời thiết lập chế độ cập nhật phiên tự động 1.3.3 Mã hóa giải mã - Xử dụng thuật toán mã hóa khóa bí mật: Ransomware sử dụng mã hóa đối xứng, thông thường ransomware tạo khóa máy tính bị nhiễm gửi cho kẻ công Việc hacker sử dụng mã hóa đối xứng để mã hóa file liệu sử dụng loại mã hóa thời gian mã hóa nhanh an toàn Crypto ransomware nhanh chóng tìm kiếm mã hóa số lượng lớn tập tin, hiệu suất điều cần thiết để mã hóa tập tin trước nạn nhân nhận biết mối đe dọa Thuật toán mã hóa đối xứng điển hình thường ransomware áp dụng AES 128 bit AES 256 bit Xử dụng thuật toán mã hóa khóa công khai: Tuy nhiên, số loại ransomware sử dụng khóa bất đối xứng để mã hóa liệu nạn nhân Mã hóa bất đối xứng sử dụng hai khóa: khóa công khai sử dụng để mã hóa liệu khóa riêng sử dụng để giải mã liệu mã hóa Chỉ có khóa riêngtương ứng sử dụng để giải mã liệu Crypto ransomware sử dụng mã hóa bất đối xứng cách mã hóa tập tin người dùng với khóa công khai giữ khóa riêng cho thân Tuy nhiên thực tế, hạn chế sử dụng khóa công khai để mã hóa số lượng lớn tập tin, mã khóa công khai chậm nhiều so với mã hóa khóa bí mật Phải thời gian lớn để hoàn thành việc mã hóa dễ bị nạn nhân phát tiến hành mã hóa liệu Thuật toán mã hóa bất đối xứng thường xử dụng thuật toán RSA 1024 bit RSA 2048 bit Xử dụng kết hợp giải thuật mã hóa khóa đối xứng bất đối xứng: Nhiều crypto ransomware tiên tiến thường sử dụng kết hợp kỹ thuật mã hóa đối xứng bất đối xứng Các biến thể mà sử dụng mã hóa bất đối xứng tạo cặp khóa công khai-riêng cho máy tính bị nhiễm Điều cho phép kẻ công để giải mã tập tin máy tính bị nhiễm mà không tiết lộ khóa riêng Khóa riêng khóa chung để giải mã liệu máy tính nhiều nạn nhân Thuật toán mã hóa đối xứng bất đối xứng thường sử dụng số biến thể ransomware AES 256 bit RSA 2048 bit 1.3.4 Phân phối quản lý khóa a Quản lý khóa với ransomware sử dụng mã hóa đối xứng b Quản lý khóa với ransomware sử dụng mã hóa bất đối xứng c Quản lý khóa với ransomware sử dụng kết hợp mã hóa khóa đối xứng bất đối xứng - Sinh cặp khóa công khai khóa riêng máy nạn nhân, sau gửi khóa lên server, với ransomware nhiễm cho máy tính có nhúng sẵn public key - Mỗi ransomware chạy yêu cầu khóa từ server, server tạo khóa gửi khóa công khai cho ransomware 1.4 Tình hình phát triển mã độc ransomware biến thể Đối tượng công Ransomware chia làm ba loại: • Hộ gia đình: Ransomware hiệu cá nhân không thông thạo với máy tính hay nhận thức Ransomware cách thức hoạt động 10 • Khối doanh nghiệp: Thông tin loại hình công nghệ sử dụng trở thành thứ định sống doanh nghiệp Giả định doanh nghiệp có hàng tỷ lượt giao dịch hệ thống bị Ransomware công • Người dùng công cộng: Các quan công cộng tổ chức giáo dục, chăm sóc sức khỏe, tổ chức thực thi pháp luật không ngoại trừ khả bị công Ransomware Từ lý thấy quy mô hình thức phát tán mã đọc ransomware giới hạn phạm vi Tình hình phát tán mã độc ransomware Số lượng người dùng bị công phân loại theo địa lí thống kê khách hàng sử dụng sản phẩm bảo mật Kaspersky toàn cầu.Trong số đó, Ấn Độ, Brazil Đức dẫn đầu danh sách với số lượng người dùng bị công ngày tăng, số lượng người dùng Hoa Kỳ, Việt Nam, Algeria, Ukraine Kazakhstan giảm nhẹ a Locky Ransomware: Locky phát vào tháng năm 2016 Loại ransomware thường gửi dạng file đính kèm email, có tiêu đề ‘Invoice J-00’ Email có chứa tài liệu văn mà macro “lập trình” b Cerber Ransomware: Cerber có dạng phần mềm độc hại thông minh chí “mạnh” Lí phần mềm miễn phí, có sẵn để người dùng tải về, cài đặt vô tình bị phần mềm “tấn công” hệ thống mà không hay biết Loại ransomware sử dụng hai phương pháp “vận chuyển” c WannaCry: 5/2017 giới chấn động loại Ransomware Virus WannaCry trở thành mã độc tống tiền nguy hiểm chưa có lịch sử WannaCry biến thể khai thác lỗ hổng hệ điều hành Windows mà Cơ quan An ninh Quốc gia Mỹ (NSA) nắm giữ Tội phạm mạng sử dụng công cụ NSA để lây lan ransomware Lỗ hổng nghiêm trọng hệ điều hành Windows phát vào tháng năm Microsoft vá vào tháng có nhiều máy tính giới không nhận kịp thời cập nhật Kết luận chương Những kết đạt chương sau: - - - Trình bày tổng quan mã độc bao gồm: khái niệm, phân loại, cách thức phát tán Kết nghiên cứu rằng: công mã độc kỹ thuật công nguy hiểm biện pháp đối phó ngăn chặn hữu hiệu phát tán công mã độc Trình bày tổng quan mã độc tống tiền Ransomware bao gồm: khái niệm, phân loại, hình thức công, phát tán nguyên tắc mã hóa, giải mã, trao đổi khóa Những kết ban đầu cho thấy, công mã độc ransomware lợi dụng điểm yêu người để phát tán tống tiền Trình bày số biến thể ransomware mức độ ảnh hưởng nguy hiểm biến thể ransomware đến người dùng cá nhân, tổ chức 11 quốc gia CHƯƠNG 2: GIẢI PHÁP PHÒNG CHỐNG MÃ ĐỘC RANSOMWARE 2.1 Con người 2.1.1 Nâng cao nhận thức an toàn thông tin - Không mở thư điện tử tập tin đính kèm từ địa người gửi không rõ ràng có dấu hiệu nghi ngờ - Không truy cập vào popup trình duyệt mà cảm thấy nghi ngờ có dấu hiệu bất thường - Không truy cập vào trang web có khả chứa nội dung độc hại - Không mở tập tin với phần mở rộng có khả kết hợp với phần mềm độc hại (Ví dụ: bat, exe, pif, vbs ) - Không vô hiệu hoá chế kiểm soát an ninh (ví dụ không tắt phần mềm Anti-virus, phần mềm phát gián điệp, tường lửa cá nhân) - Không sử dụng tài khoản có quyền quản trị cấp cao cho hoạt động thông thường - Không tải thực thi ứng dụng từ nguồn không tin cậy 2.1.2 Đào tạo kỹ thuật an toàn thông tin Các tổ chức cần đào tạo giúp cho cán bộ, nhân viên biết sách phương pháp áp dụng để xử lý cố phần mềm độc hại (Ví dụ: làm để xác định thiết bị, máy tính dùng bị nhiễm mã độc, làm để báo cáo máy tính nghi ngờ bị nhiễm, nhân viên cần phải làm để hỗ trợ xử lý cố (Ví dụ: cập nhật phần mềm Anti-virus, hệ thống quét phần mềm độc hại) Các nhân viên nên biết cố mã độc hại phổ biến, xảy việc tương tự họ có phương hướng báo cáo để xử lý Ngoài ra, nhân viên cần phải biết cách thích ứng với môi trường làm việc thay đổi, xảy cố liên quan đến mã độc, hệ thống bị cách ly hệ thống thư điện tử bị vô hiệu hóa, nhân viên cần có giải pháp để tiếp tục hoàn thành công việc đơn vị tổ chức 2.2 Công nghệ 2.2.1 Antivirus Hình 2.1: Các phần mềm Antivirus phổ biến Phần mềm Anti-virus phương pháp kỹ thuật thường sử dụng để giảm thiểu rủi ro malware nói chung mã độc Ransomware nói riêng Một số phần mềm diệt Ransomware ứng dụng: 12 ▪ Microsoft Security Essentials (Windows trở lên) ▪ Semantec Norton Antivirus ▪ Kaspersky Antivirus ▪ BitDefender Antivirus ▪ AVG Antivirus ▪ McAfee VirusScan ▪ Trend Micro Antivirus ▪ F-secure ▪ BKAV 2.2.2 Firewalls Tường lửa thuật ngữ chuyên ngành mạng máy tính thể kỹ thuật tích hợp vào hệ thống mạng để chống truy cập trái phép nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập số truy cập không mong muốn vào hệ thống cá nhân, tố chức, doanh nghiệp, quan phủ Tường lửa có hai loa ̣i, phầ n mề m hoă ̣c phầ n cứng, có tác du ̣ng mô ̣t biên giới bảo vê ̣ và lo ̣c những kẻ xâm nhâ ̣p không mong muố n Internet Hình 2.2 Mô hình tưởng lửa ngăn chặn hình thức phát tán ransomware Một số hệ thống tường lửa tích hợp giải pháp Gateway Antivirus Spam Blocker để chống lại mẫu ransomware: ● Gateway AntiVirus hoạt động song song với dịch vụ kiểm soát lớp nội dung cung cấp bảo vệ thời gian thực cho hệ thống mạng khỏi mối nguy Ransomware cách quét lưu lượng tất giao thức quan trọng, cách cập nhật hành vi/chữ ký mối đe doạ để phát ngăn chặn tất loại mã độc hại ● Spam Blocker hoạt động hai giao thức POP SMTP Quản trị viên định email cho phép, ngăn chặn email spam, Virus file đính kèm có chưa virus Ransomware 2.2.3 Instrution Detection (IDS/ Instrution Prevention(IPS) Hệ thống phát xâm nhập IDS hệ thống có nhiệm vụ theo dõi, phát (có thể) ngăn cản xâm nhập, hành vi khai thác trái phép tài nguyên hệ 13 thống bảo vệ mà dẫn đến việc làm tổn hại đến tính bảo mật, tính toàn vẹn tính sẵn sàng hệ thống ➢ Cơ chế hoạt động hệ thống IDS/IPS: Có cách tiếp cận việc phát phòng chống xâm nhập là: - Phát lạm dụng ( Misuse Detection Model): Hệ thống phát xâm nhập cách tìm kiếm hành động tương ứng với kỹ thuật xâm nhập biết đến( dựa dấu hiệu – signatures) điểm dễ bị công hệ thống - Phát bất thường( Anomaly Detection Model): Hệ thống phát xâm nhập cách tìm kiếm hành động khác với hành vi thông thường người dùng hay hệ thống 2.2.4 Sandboxing Sandbox môi trường dùng để chạy phần mềm môi trường nằm kiểm soát chặt chẽ Sandbox có tác dụng cô lập ứng dụng, ngăn chặn phần mềm độc hại để chúng làm hỏng hệ thống máy tính, hay cài cắm mã độc nhằm ăn cắp thông tin Sandbox giúp hạn chế chức đoạn mã, cấp quyền cho đoạn mã thực số chức định, từ thực can thiệp khác làm nguy hại cho máy tính người dùng 2.2.5 Security Information Event Management (SIEM) - Security event management (SEM): Thu thập event log data thành phần ( thiết bị, ứng dụng) hệ thống tạo Sau tập trung hóa việc lưu trữ xử lí, phân tích kiện lập báo cáo, đưa thông báo, cảnh báo liên quan đến an ninh hệ thống - Security information management(SIM): Thông tin lưu trữ từ SIM, sử dụng để báo cáo liệu đăng nhập cho thời gian định 2.2.6 Web Gateway Web Gateway lọc chặn virus, Spyware, Phishing, trước chúng thâm nhập vào hệ thống, ngăn chặn nguy liệu, tự động bảo vệ chống lại mối đe dọa người dùng truy cập Internet Bằng cách kết hợp với điều khiển ứng dụng, quét phần mềm độc hại, kiểm tra web reputation theo thời gian thực, lọc URL, phát chống botnet 2.2.7 Mail Gateway Mail Gateway tích hợp khả phòng chống thư rác nhiều lớp chống lừa đảo (anti-phishing) sử dụng lọc mã độc phần mềm gián điệp Khả lọc nội dung (content filtering) Mail Gateway giúp tổ chức dễ dàng thiết đặt sách kiểm soát việc tuân thủ CNTT người dùng ngăn chặn rò rỉ liệu 2.2.8 Big data (Dữ liệu lớn) Trong năm gần xu công ransomware ngày tinh vi.Bênh cạnh với xuất thêm nhiều biến thể chúng khiến cho công nghệ tường lửa, hệ thống SIEM, hệ thống phát ngăn chặn xâm nhập gặp khó khăn trình phát cảnh báo ransomware Chính xuất Big Data 14 (Dữ liệu lớn) xu tất yếu, việc kết hợp Big Data với giải pháp bảo mật có trước mở hướng tiếp cận việc nghiên cứu phát triển giải pháp đảm bảo an toàn thông tin nói chung phát mã độc ransomware nói riêng 2.2.9 Giải pháp hãng bảo mật Giải pháp ZOMBIE ZERO: ZombieZERO thu thập file liệu đến máy tính người dùng qua phương thức khác web, email Các bước phân tích môi trường sandbox từ file thu thập giúp ZombieZERO chủ động phát ransomware Tại phía người dùng, thành phần Agent có chế giám sát tương tự nhằm phát ngăn chặn từ mã độc chưa phát tán Mẫu ransomware phát đồng thời chia sẻ với máy tính khác giúp ngăn ngừa nguy lây nhiễm toàn hệ thống mạng ZombieZERO có khả phát ransomware bắt đầu thực hành vi, từ chủ động ngăn chặn cách ly ransomware nhiều dạng thức biến thể khác ZombieZERO có khả phân biệt tập tin thông thường tập tin nghi ngờ chứa mã độc thông qua việc giám sát API có cách thức đối phó hiệu với ransomware Sử dụng ZombieZERO giúp ngăn chặn hiệu ransomware loại mã độc khác công vào hệ thống liệu Phần mềm Trend Micro Antivirus+ Một số tính cụ thể Trend Micro Antivirus+ trước mã độc ransomware: - cung cấp bảo vệ vững trước mã độc ransomware khoá hình (screenlocker ransomware) mã hóa liệu (crypto-ransomware) với chiến lược an ninh đa tầng lớp Nếu ransomware quen thuộc dạng biến thể, chế độ quét theo thời gian thực (real-time scan) Trend Micro Antivirus+ phát ngăn chặn chúng tự động tải hay cài đặt - Ngăn chặn mã độc screen-locker ransomware: Nếu screen-locker ransomware lạ, Trend Micro Antivirus+ tìm cách ngăn chặn hành vi cài đặt đáng ngờ, sau tự động xóa ransomware thâm nhập - Ngăn chặn mã độc crypto-ransomware: Nếu mã độc crypto-ransomware lạ, Trend Micro Antivirus+ lưu đối tượng tập tin tức khắc, trình mã hoá bắt đầu, chặn trình mã hóa cảnh báo đến người dùng đồng thời phục hồi tập tin chưa bị nhiễm virus vị trí ban đầu Kaspersky anti-ransomware: Tính phần mềm Kaspersky Anti-Ransomware • Bảo vệ máy tính khỏi ransomware cryptomalware • Làm việc với phần mềm bảo mật khác – người dùng không cần cài phần mềm bảo mật Kaspersky Lab để sử dụng công cụ Kaspersky Anti-Ransomware • Cung cấp giải pháp kỹ thuật để bảo vệ thông tin CMC CRYPTOSHIELD: Một số tính đặc biệt CMC CryptoShield: - Bảo vệ hệ thống thông báo mối nguy tiềm ẩn người dùng bị Ransomware công Tự động lưu bảo vệ liệu lưu phát có dấu hiệu công Khôi phục đến 99% liệu lưu 15 Hỗ trợ tất biến thể phổ biến Ransomware CTB Locker, Crusis, CryptXXX, Locky, Cerber, Zerber, - Tự động cập nhật, kịp thời phát biến thể mã độc - Khả kiểm soát phát hoạt động liên quan tới Ransomware cách nhanh chóng xác 2.3 Chính sách 2.3.1 Chính sách an toàn thông tin Các quan, tổ chức phải có sách ngăn chặn cố liên quan đến mã độc Chính sách cần rõ ràng, cho phép khả thực cách quán hiệu Các sách phòng chống mã độc nên tổng quát tốt để cung cấp linh hoạt việc thực hiện, bên cạnh làm giảm việc phải cập nhật sách thường xuyên Hiện có nhiều quan, tổ chức có sách xử lý mã độc riêng biệt, nhiên số quan, tổ chức có sách phòng chống mã độc trùng lặp với sách khác 2.3.2 Chính sách quản lý rủi ro Trên sách mà tổ chức cá nhân cần thực nghiêm túc để hạn chế tối đa phát tán mã độc ransomware Tuy nhiên, thực tế, việc áp dụng sách an toàn thông tin sách liên quan đến đào tạo nâng cao nhận thức cá nhân tổ chức cá nhân cần thực sách lưu phục hồi liệu đặn 2.3.3 Chính sách Backup mã hóa liệu Backup liệu không để phòng chống loại mã độc phá hủy, xóa, “bắt cóc” liệu (ransomware) mà để phòng chống nguy liệu nói chung thiên tai, thảm họa Kết luận chương Những kết chương sau: - Trình bày tổng quan giải pháp công nghệ để phòng mã độc tống tiền ransomware Để giảm thiểu tối đa nguy hiểm mức độ thiệt hại mã độc tống tiền ransomware tổ chức cá nhân cần phải thực áp dụng phương diện: công nghệ, người sách - Mô tả số giải pháp công nghệ áp dụng việc phòng chống phát mã độc tống tiền ransomware Việc áp dụng số giải pháp công nghệ cho thấy: để phòng chống công ransomware sử dụng giải pháp, kỹ thuật công nghệ mà phải áp dụng triển khai đồng nhiều giải pháp với nhiều pha phải thực Giải pháp bổ xung loại bỏ nhược điểm cho giải pháp - Trình bày yếu tố người sách an toàn thông tin việc phòng chống mã độc tống tiền ransomware Con người mắt xích yếu hệ thống đảm bảo an toàn thông tin Chính vậy, để tránh công mã độc ransomware cần phải đào tạo nâng cao đạo đức an toàn thông tin cho cá nhân tổ chức - 16 CHƯƠNG THỰC NGHIỆM VÀ ĐÁNH GIÁ 3.1 Giới thiệu công cụ hỗ trợ thực nghiệm VMware Workstation 10: Máy tính nạn nhân xử dụng hệ điều hành Window Mã độc ransomware có tên Spora ransomware Mẫu ransomware tải từ trang chủ: https://www.hybrid-analysis.com/faq Đặc điểm mã độc sau: Spora xuất từ tháng 01/2017, mối đe dọa lớn thể loại ransomware Một số ransomware thực việc mã hóa offline, sử dụng khóa công khai RSA hard-code mã độc cho tất nạn nhân Nhược điểm phương pháp kẻ công công cụ giải mã cho nạn nhân có tác dụng nạn nhận khác nữa, tất có khóa riêng tư Những kẻ đứng sau Spora giải vấn đề Mã độc chứa khóa công khai RSA hard-code, nhiên khóa sử dụng để mã hóa khóa AES riêng tạo khác cho nạn nhân Khóa AES sau sử dụng để mã hóa khóa riêng tư cặp khóa RSA tạo riêng cho nạn nhân Sau cùng, khóa RSA công khai nạn nhân sử dụng để mã hóa khóa AES – mã hóa tập tin cá nhân Nói cách khác, kẻ đứng sau Spora thêm vòng mã hóa AES RSA thứ hai so với mã độc tống tiền khác tính tới thời điểm Khi muốn trả tiền chuộc, nạn nhân phải tải lên khóa AES bị mã hóa lên trang web toán hacker Những kẻ công sau sử dụng khóa riêng tư RSA để giải mã trả cho nạn nhân – gần đóng gói giải mã Bộ giải mã sử dụng khoá AES để giải mã khóa RSA nạn nhân khóa sử dụng để giải mã khóa AES cần thiết để khôi phục tập tin Ngoài ra, Spora có số đặc điểm riêng khác hacker áp dụng hệ thống cho phép đòi khoản tiền chuộc khác cho đối tượng nạn nhân khác Tính đến tại, Spora phát file đính kèm giả mạo hóa đơn toán từ phần mềm toán phổ biến Nga quốc gia nói tiếng Nga Các file đính kèm có dạng HTA (ứng dụng HTML) chứa đoạn mã JavaScript độc hại 3.2 Thực nghiệm công Bước 1: Kẻ công lấy mẫu Spora ransomware phiên Chrome Font v2.93.exe địa chỉ: https://www.hybridanalysis.com/sample/f28380142eb5dbd4e7488f2d289883799c965f4bb082000998159cf549 3f8442?environmentId=100 Bước 2: Phát tán mã độc cách phát tán mail giả mạo quan VnCert (Trung tâm ứng cứu khẩn cấp máy tình Việt Nam) với nội dung cảnh báo mã độc WanaCry kèm liên kết yêu cầu cài đặt phần mềm Antiwanacry (link cài đặt dẫn đến googdriver để tải): https://drive.google.com/file/d/0Bz0jEfX2lVRlZ0VWdMVTBLMlU/view Bước 3: Nạn nhân tải file cài đặt 17 Hình 3.5.Nạn nhân truy cập vào liên kết để tải tập tin Hình 3.6 File AntiWanaCry tải máy nạn nhân Trước bị công, máy tính nạn nhân hoạt động bình thường thực thao tác mở tài liệu: Hình 3.7 Giao diện máy tính nạn nhân trước bị công 18 Tiếp theo nạn nhân click vào file File AntiWanaCry hình Nạn nhân chạy file cài đặt máy tính xuất cửa sổ cmd thông báo mở file html Cửa sổ cmd nhanh (hình 3.8) Hình 3.8 Giao diện máy tính nạn nhân lúc cài đặt Bước 4: Sau cài đặt nạn nhân mở file word thấy nội dung bị mã hóa Hình 3.9 File liệu bị mã hóa Bước 5: Sau công xong máy tính nạn nhân hiển thị thông báo đòi tiền chuộc 19 Hình 3.10 Thông báo mã độc ransomware máy nạn nhân Khởi động lại máy, máy tính tự động mở trình duyệt điều hướng đến trang spora.bz Trang web thị thông báo liệu bị mã hóa yêu cầu tiền chuộc để mở liệu Hình 3.11 Website đòi tiền chuộc Để chuộc lại toàn liệu yêu cầu 79$ mã độc cho phép giải mã tập tin miễn phí Nạn nhân kiểm tra hệ thống thấy xuất số dấu file thực thi đáng nghi Hình 3.12 Xuất file thực thi nghi ngờ máy nạn nhân Kiểm tra file thực thi Website virustotal nhận kết hình 3.13 20 Hình 3.13 Kết kiểm tra file thực thi nghi ngờ virustotal Từ kết cho thấy: máy tính nạn nhân bị công mã độc Spora Ransomware Biện pháp phòng chống mã độc Spora Ransomware Kịch thực nghiệm sau: Nạn nhân nhận thư từ người xưng từ VNCERT gửi đến với yêu cầu tải phần mềm AntiWanaCry để phòng chống mã độc Ransomware Nạn nhân tin tưởng tải Tuy nhiên, máy tính nạn nhân lúc xử dụng công cụ CMC CryptoShield trình tải phần mềm AntiWanaCry không thực Qúa trình thực cụ thể sau: Trong trường hợp bị công, nạn nhân không xử dụng phần mềm diệt virus Chính vậy, cài đặt máy tính nạn nhân bị mã độc Spora mã hóa liệu Tuy nhiên, thực nghiệm phòng chống này, xử dụng công cụ CMC CryptoShield Mô tả công cụ trình bày chương Ngay sau click vào lựa chọn tải phần mềm AntiWanaCry xuống phần mềm phát mã độc CMC CryptoShield phát không cho phép người dùng tải file AntiWanaCry xuống Không thành công Hình 3.14 Nạn nhân không tải phần mềm AntiWanaCry 21 Như vậy, mục đích công mã độc Spora Ransomware thực Kết luận chương Những kết đạt chương sau: - Tìm hiểu mã độc tống tiền Spora Ransomware, biến thể mã độc tống tiền ransomware Qua trình mã hóa giải mã mã độc Spora Ransomware thấy rằng: mã độc Spora Ransomware biến thể nguy hiểm, tinh vi mạnh mẽ họ ransomware - Thực phát tán mã độc tống tiền Spora Ransomware thông qua kỹ thuật social engineering Kết thực nghiệm cho thấy, mã độc Spora Ransomware người dùng khả tự giải mã, tìm kiếm khóa giải mã từ máy tính Qúa trình mã hóa liệu truyền khóa tiến hành khép kín nhanh không cho người dùng hội phản ứng phát nghi ngờ - Thực hiện, cài đặt phần mềm mã nguồn mở CMC CryptoShield để phát phòng chống mã độc Spora Ransomware Kết cho thấy phần mềm CMC CryptoShield thành công việc phát loại bỏ mã độc Spora Ransomwa từ ban đầu KẾT LUẬN Những kết luận văn: - - - - Trình bày tổng quan mã độc nói chung mã độc ransoware nói riêng bao gồm: khái niệm, phân loại, cách thức phát tán Kết nghiên cứu rằng: công mã độc nói chung mã độc tống tiền ransomware kỹ thuật công nguy hiểm biện pháp đối phó ngăn chặn hữu hiệu phát tán công mã độc Tìm hiểu nguyên tắc mã hóa, giải mã, phát tán mã độc ransomware số biến thể Những kết ban đầu cho thấy, công mã độc ransomware lợi dụng điểm yêu người để phát tán tống tiền Trình bày tổng quan giải pháp công nghệ để phòng mã độc tống tiền ransomware Để giảm thiểu tối đa nguy hiểm mức độ thiệt hại mã độc tống tiền ransomware tổ chức cá nhân cần phải thực áp dụng phương diện: công nghệ, người sách Đặc biệt người mắt xích yếu hệ thống đảm bảo an toàn thông tin Chính vậy, để tránh công mã độc ransomware cần phải đào tạo nâng cao đạo đức an toàn thông tin cho cá nhân tổ chức Trình bày số giải pháp công nghệ áp dụng việc phòng chống phát mã độc tống tiền ransomware Mỗi biện pháp kỹ thuật có ưu điểm nhược điểm riêng Việc áp dụng số giải pháp công nghệ cho thấy: để phòng chống công ransomware sử dụng giải pháp, kỹ thuật công nghệ mà phải áp dụng triển khai đồng nhiều giải pháp với nhiều pha phải thực Giải pháp bổ xung loại bỏ nhược 22 - - - điểm cho giải pháp Tìm hiểu mã độc tống tiền Spora Ransomware, biến thể mã độc tống tiền ransomware Qua trình mã hóa giải mã mã độc Spora Ransomware thấy rằng: mã độc Spora Ransomware biến thể nguy hiểm, tinh vi mạnh mẽ họ ransomware Thực phát tán mã độc tống tiền Spora Ransomware thông qua kỹ thuật social engineering Kết thực nghiệm cho thấy, mã độc Spora Ransomware người dùng khả tự giải mã, tìm kiếm khóa giải mã từ máy tính Qúa trình mã hóa liệu truyền khóa tiến hành khép kín nhanh không cho người dùng hội phản ứng phát nghi ngờ Thực hiện, cài đặt phần mềm mã nguồn mở CMC CryptoShield để phát phòng chống mã độc Spora Ransomware Kết cho thấy phần mềm CMC CryptoShield thành công việc phát loại bỏ mã độc Spora Ransomwa từ ban đầu Hướng phát triển luận văn Trên kết làm luận văn nghiên cứu phát triển theo hướng sau: - Tiếp tục nghiên cứu biến thể mã độc ransomware biện pháp, kỹ thuật phòng chống mã độc ransomware Nghiên cứu ứng dụng Bigdata cho việc phát mã độc ransomware ... mã hóa giải mã mã độc Ransomware 3 • Phạm vi nghiên cứu: Các kỹ thuật, giải pháp, công nghệ phòng chống mã độc Ransoware Phương pháp nghiên cứu 5.1 Phương pháp nghiên cứu tài liệu: - Nghiêncứu... thuật mã hóa giải mã • Nghiên cứu giải pháp công nghệ để phòng chống mã độc Ransomware • Ứng dụng công nghệ để phòng chống mã độc Ransomware Đối tượng phạm vi nghiên cứu • Đối tượng nghiên cứu: ... theo hướng sau: - Tiếp tục nghiên cứu biến thể mã độc ransomware biện pháp, kỹ thuật phòng chống mã độc ransomware Nghiên cứu ứng dụng Bigdata cho việc phát mã độc ransomware