Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)

Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Luận văn được hoàn thành tại:

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Người hướng dẫn khoa học: …Tiến sĩ Đỗ Xuân Chợ

(Ghi rõ học hàm, học vị)

Phản biện 1: ……… Phản biện 2: ………

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông

Vào lúc: giờ ngày tháng năm

Có thể tìm hiểu luận văn tại:

- Thư viện của Học viện Công nghệ Bưu chính Viễn thông

MỞ ĐẦU

1 Lý do chọn đề tài

Ngày nay, cùng với nhu cầu trao đổi thông tin, bắt buộc các cơ quan, tổ chức phải hoà mình vào mạng Internet, an toàn và bảo mật thông tin là một trong những vấn đề quan trọng hàng đầu Cộng đồng công nghệ thông tin, đặc biệt đối với các doanh nghiệp, tổ chức

có hạ tầng thông tin tiên tiến hiện nay đang phải đối mặt với sự biến đổi, phức tạp từng ngày của các nguy cơ mất an toàn thông tin

Theo hiệp hội An Toàn Thông Tin Việt Nam hiện nay tội phạm máy tính vẫn đang liên tục gia tăng Bên cạnh đó, với sự xuất hiện ngày càng nhiều các hình thức tấn công hệ thống máy tính với các kỹ thuật tinh vi và phức tạp Đặc biệt trong những năm gần đây, các hình thức tấn công và phát tán mã độc ngày càng phát triển và trở thành mối quan tâm hàng đầu đối với các công ty và chuyên gia bảo mật Các tổ chức và cá nhân, doanh nghiệpcàng thêm lo lắng về các nguy cơ mất an toàn thông tin hơn khi có sự xuất hiện của mã độc tống tiền (Ransomware) Ransomware là một biến thể mới của mã độc, khác với các mã độc khác khi đã tấn công vào hệ thống máy tính thì tìm cách đánh cắp các dữ liệu hoặc lây nhiễm cho toàn bộ hệ thống, Ransomware ngay lập tức tìm đến các file dữ liệu trong máy tính nạn nhân để mã hóa, sau khi mã hóa xong thì toàn bộ dữ liệu này không thể sử dụng được nếu nạnnhân không tự bỏ tiền ra mua khóa bí mật từ kẻ tấn công Gần đây 1 số biến thể mới của Ransomware đã không yêu cầu tiền chuộc mà nó sẽ đưa ra danh sách các phần mềm để bẻkhóa dữ liệu ở trên mạng, tất nhiên các phần mềm này đều yêu cầu trả phí khi tải về

Dự báo thời gian tới, mã độc Ransomware tiếp tục diễn biến phức tạp, khó lường Với việc kết hợp các công nghệ mới và liên tục thay đổi phương thức, thủ đoạn để tránh bị phát hiện dẫn đến việc phòng chống là vô cùng khó khăn

Mặc dù, thiệt hại của mã độc Ransomware đã gây ra là rất nghiêm trọng tuy nhiên việc phòng chống hiện nay vẫn bị xem nhẹ, chưa được đầu tư đúng đắn Do đó, việc nghiên cứu về cơ chế hoạt động của mã độc Ransomware là điều rất quan trọng, giúp người sử dụng internet hiểu được nguy cơ của loại hình tấn công này,qua đó mới đưa ra được những phương án phòng chống mã độc Ransomware thích hợp để đạt được hiệu quả tốt nhất

Từ những lý do trên, học viên chọn đề tài “Nghiên cứu mã độc Ransomeware và biện pháp phòng chống”.Một đề tài còn tương đối mới và chưa được nghiên cứu sâu và rộng Kết quả nghiên cứu của đề tài sẽ đưa ra cái nhìn tổng quan nhất về mã độc Ransomware từ đó sẽ

đề xuất các giải pháp để phòng chống mã độc này Qua đógiúp cho các cá nhân, doanh nghiệp, tổ chức giảm thiểu hay tránh được hậu quả do cuộc tấn công mã độc Ransomeware gây ra

2 Tổng quan vấn đề cần nghiên cứu

Tương tự như các loại mã độc khác, Ransomware xâm nhập vào máy tính người dùng thông qua các dữ liệu đính kèm từ email, phần mềm tải từ Internet hay chỉ đơn giản là

từ các website mà người dùng đã duyệt qua Sau khi xâm nhập vào máy tính, nó sẽ tiến hành mã hóa dữ liệu và yêu cầu tiền chuộc

Không dừng lại ở đó, theo nghiên cứu của Cisco và hãng bảo mật Symantec, mã độc Ransomware ngày càng sở hữu phương thức hoạt động tinh vi, nguy hiểm Mã độc này không tấn công mục tiêu qua hình thức email lừa đảo (email phishing), thay vào đó, nhắm thẳng vào các lỗ hổng trên máy chủ (server) - tiêu biểu trong số đó là Samsam - mã độc từng gây tê liệt toàn bộ hệ thống một bệnh viện Mỹ vào tháng 3/2016 (Why malware like the Samsam ransomware are so dangerous for hospitals? - securityaffairs.co)

Nghiên cứu bảo mật từ CyberArk Labs cho thấy trong năm 2015 mã độc Ransomware lây nhiễm gần 407.000 mục tiêu, tiêu tốn của các nạn nhân hơn 325 triệu USD

và con số này tiếp tục gia tăng Nguy hiểm hơn, nghiên cứu cho thấy 70% mã độc Ransomware chiếm quyền hạn quản trị trên thiết bị (CyberArk Labs: Ransomware - cyberark.com)

Bên cạnh đó, trong khảo sát mới được Malwarebytes công bố tháng 8-2016 cho thấy, gần 40% của 540 công ty với tổng số nhân viên hơn 3 triệu người là nạn nhân của mã độc Ransomware ( Công bố những loại mã độc ransomware tung hoành nhiều nhất năm 2015- Dantri.com.vn) Doanh nghiệp vừa và nhỏ trở thành mục tiêu chính của mã độc Ransomware

Trên đây có thể thấy rằng, mức độ nguy hiểm của mã độc Ransomware đã được cảnh báo trước, nhưng các tổ chức, cá nhân, doanh nghiệp vẫn chưa được trang bị các kiến thức

cụ thể để có thể tự bảo vệ mình trước cuộc tấn công này Từ những mối nguy hại mà mã độc Ransomware đã, đang và sẽ gây nên thì vấn đề phòng chống như thế nào là vấn đề vô cùng quan trọng và cấp thiết hiện nay Phương pháp phòng chống mã độc Ransomware dựa trên phương diện là quản lý rủi ro, công nghệ và phương diện con người Tuy nhiên, trong khuôn khổ luận văn, học viên sẽ tập trung đi sâu nghiên cứu và tìm hiểu giải pháp phòng mã độc Ransomware trên phương diện công nghệ

Vì mã độc Ransomware đòi hỏi nhiều công cụ cũng như các giai đoạn tấn công để thành công do vậy, giải pháp bảo mật thông minh đó là việc thực hiện chiến lược phòng thủ

đa tầng để chống lại mã độc này Điều quan trọng là mã độc Ransomware biến đổi không lường và luôn thay đổi cách thức hoạt động Chính vì vậy không có giải pháp duy nhất nào

có thể bảo vệ dữ liệu khỏi mã độc Ransomware, mà chỉ có cách tích hợp nhiều giải pháp với nhau trong đó sức mạnh của phương pháp này sẽ bù đắp nhược điểm của phương pháp kia

Từ đó, các cá nhân, tổ chức và doanh nghiệp tăng khả năng bảo vệ mình trước mã độc Ransomware

3 Mục đích nghiên cứu

• Nghiên cứu về mã độc Ransomware: đặc điểm, cách thức tấn công; kỹ thuật phát tán,

kỹ thuật mã hóa và giải mã

• Nghiên cứu các giải pháp công nghệ để phòng chống mã độc Ransomware

• Ứng dụng công nghệ để phòng chống mã độc Ransomware

4 Đối tượng và phạm vi nghiên cứu

• Đối tượng nghiên cứu: các kỹ xâm nhập, phát tán mã hóa và giải mã của mã độc Ransomware

• Phạm vi nghiên cứu: Các kỹ thuật, các giải pháp, các công nghệ phòng chống mã độc

Ransoware

5 Phương pháp nghiên cứu

5.1 Phương pháp nghiên cứu tài liệu:

- Nghiêncứu lý thuyết và định nghĩavề malware nói chung và Ransomware nói riêng

- Nghiên cứu báo cáo về các cuộc tấn công đã được ghi nhận từ đó tìm hiểu cách thức lây lan

5.2 Phương pháp thực nghiệm:

- Mô phỏng giả lập một cuộc tấn công bằng Ransomware

- Xây dựng mô hình giải pháp công nghệ để ngăn chặn

Dự kiến cấu trúc nội dung luận văn gồm 3 chương như sau:

Chương 1: TỔNG QUAN VỀ MÃ ĐỘC RANSOMWARE

Chương 2: CÁC GIẢI PHÁP PHÒNG CHỐNG MÃ ĐỘC RANSOMWARE

Chương 3: THỰC NGHIỆM VÀ ĐÁNH GIÁ

CHƯƠNG 1: TỔNG QUAN VỀ MÃ ĐỘC RANSOMWARE

1.1.1 Khái niện

Mã độc là “một chương trình (program) được chèn một cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của hệ thống”.Theo định nghĩa này thì sẽ bao hàm rất nhiều thể loại mà vẫn quen gọi chung là virus máy tính như: worm, trojan, spy-ware, thậm chí là virus hoặc các bộ công cụ để tấn công hệ thống

mà các hacker thường sử dụng như: backdoor, rootkit, key-logger Như vậy mã độc bản chất

là một phần mềm như những phần mềm khác trên máy tính mà vẫn sử dụng hàng ngày, nó

có đầy đủ những đặc điểm, tính chất của một phần mềm bình thường chỉ khác là nó có thêm tính độc hại (malicious)

1.1.2 Phân loại

Tùy thuộc vào cơ chế, hình thức lây nhiễm và phương pháp phá hoại mà người ta đưa ra nhiều tiêu chí để phân loại mã độ, nhưng 2 tiêu chí được sử dụng nhiều nhất là phân loại theo hình thức lây nhiễm và theo phân loại của NIST (National Institute of Standart and Technology)

- Phân loại theo hình thức lây nhiễm: Dựa vào hình thức phân loại này thì mã độc gồm

2 loại chính: một loại cần chương trình chủ để tồn tại và lây nhiễm, chương trình chủ ở đây

có thể là các tập tin dữ liệu, các tập tin ứng dụng, hay các tập tin chương trình thực thi… và loại thứ hai đó chính là tồn tại độc lập không cần chương trình chủ để lây nhiễm Không cần chương trình chủ nghĩa là chương trình độc hại có thể được lập lộc và chạy trên hệ điều hành Không độc lập (needs host program) là một đoạn chương trình đặc biệt thuộc một chương trình nào đó không thể thực thi độc lập như một chương trình thông thường hay tiện ích nào đó mà bắt buộc phải có bước kích hoạt chương trình chủ trước đó thì chương trình mới chạy được

Hình 1.1 Phân loại mã độc theo hình thức lây nhiễm

1.1.3 Cách thức phát tán mã độc

Từ người dùng:Hiện nay mã độc chủ yếu lây nhiễm vào hệ thống thông tin bằng cách

đánh vào nhận thức cũng như tâm lý của người dùng Mã độc có thể lây nhiễm vào máy tính người sử dụng thông qua các tập tin đính kèm thư Các tập tin này thường đính kèm các thư điện tử của người lạ gửi đến nạn nhân hoặc thư điện tử giả mạo một cơ quan tổ chức

Từ máy trạm: Các tổ chức ngiên cứu về bảo mật thông tin đã phát hiện ra rằng các

máy trạm (máy đầu cuối – endpoint) là một trong các nguyên nhân chính mà mã độc phát tán Máy trạm là bất kì thiết bị máy tính nào có kết nối với mạng của tổ chức như các máy tính để bàn, máy lapto, hoặc các thiết bị điện tử có vùng lưu trữ, cổng vào ra, kết nối với địa chỉ IP… đều là cơ sở để phát tán mã độc

Từ mạng xã hội: Hiện nay trên thế giới có hàng trăm mạng xã hội khác nhau như

MySpace, Facebook,Zingme,YuMe,Zalo,Twitter… Trong khi mạng xã hội được xem là phương tiện giao tiếp tốt với mọi người thì nó cũng trở thành mục đích cho lây lan mã độc Mạng xã hội hoạt động trên nguyên tắc kết nối và chia sẻ thông tin, do đó các mạng xã hội bắt buộc người sử dụng cung cấp một số thông tin nhất định các thông tin cá nhân Càng nhiều thông tin mà người sử dụng cung cấp lên mạng xã hội càng làm tăng nguy cơ bị kẻ xấu lợi dụng Hiện nay trên các mạng xã hội có rất nhiều ứng dụng cho người dùng nhưng trong đó có những ứng dụng đã cài kèm chương trình độc hại

Từ thiết bị di động: Hiện nay sự bùng nổ của các thiết bị di động kéo theo nó là sự

phát triển của các loại mã độc trên nền tảng này Các thiết bị di động thông minh đang phát triển nhanh chóng, đi cùng với nó là kho ứng dụng khổng lồ mà các lập trình viên phát triển

Mã độc trên nền tảng này lây nhiểm chủ yếu thông qua ứng dụng được người dùng tải về và cài đặt ngay trên máy cá nhân Các dạng mã độc kiểu này có thể kiểm soát bởi chính người

sử dụng hoặc bị chặn bởi nhà cung cấp hệ điều hành do chúng yêu cầu các hành vi có thể bị

sẽ ngăn không cho hệ điều hành chạy lên, hay nói cách khác là làm tê liệt luôn cả hệ thống

1.2.2 Lịch sử phát triển

Vụ tấn công ransomware xuất hiện lần đầu tiên vào năm 1989 với tên gọi “AIDS Trojan” được viết bởi Joseph Popp.Những trường hợp đầu tiên bị tấn công bởi mã độc ransomware là tại Nga vào năm 2005 – 2006.Khi đó, một ransomare mang số hiệu TROJ_CRYZIP.A đã nén các tập tin quan trọng của người dùng lại thành một tập tin zip rồi xóa đi các tập tin gốc Để mở tập tin zip này thì cần có password TROJ_CRYZIP.A còn tạo một tập tin văn bản để làm "thư tống tiền", trong đó nói rằng người dùng muốn có password

để mở tập tin zip thì phải trả 300$.Vào tháng 6 năm 2008, một biến thể được gọi là Gpcode.AK đã được phát hiện sử dụng thuật toán mã hóa RSA 1024-bit Tại thời điểm đó chưa xuất hiện công cụ nào đủ lớn để tính toán để giải mã trong thời gian ngắn

Tháng 8 năm 2010, tấn công tại Nga bằng mã độc WinLock WinLock đã không sử dụng mã hóa Thay vào đó, WinLock đã hạn chế khả năng truy cập vào hệ thống bằng cách hiển thị các hình ảnh khiêu dâm và yêu cầu người dùng gửi tin nhắn SMS có tỷ lệ phí (khoảng 10$) để nhận mã số có thể dùng để mở khóa máy.Vụ tấn công này gây ra nhiều khó khăn khiến người dùng bực mình diễn ra trên khắp nước Nga và các nước láng giềng – theo báo nhóm này đã thu được 16 triệu USD nhờ ransomware này.Trong năm 2011, ransomware tấn công vào hệ điều hành Windows và thông báo cho người dùng rằng việc cài đặt Windows của hệ thống phải được kích hoạt lại do "là nạn nhân của gian lận" Năm 2012, ransomware TROJ_RANSOM.BOV "nhúng" vào một trang web bán hàng của Pháp, từ đó lây nhiễm xuống máy tính người dùng tại Pháp và Nhật Tháng 2 năm 2013, một ransomware dựa trên bộ công cụ khai thácstamp.ek lây lan thông qua các trang web lưu trữ trên dịch vụ lưu trữ SourceForge và GitHubVào tháng 7 năm 2013, ransomware đặc biệt OS-X đã xuất hiện, hiển thị trang web cáo buộc người dùng tải nội dung khiêu dâm Cuối năm 2013, một loại ransomware mới xuất hiện Những biến thể này giờ đây mã hóa tập tin thay vì khóa máy tính như lúc trước, vì vậy mà chúng được gọi bằng cái tên

"CryptoLocker" Bằng cách này, tin tặc có thể đảm bảo rằng người dùng vẫn phải trả tiền ngay cả khi họ đã dùng các công cụ bảo mật để xóa mã độc Bằng hình thức này tin tặc phát tán ransomware CryptoLocker đã thu được 27 triệu USD từ các nạn nhân.Khoảng cuối năm

2013, một biến thể mới của CryptoLocker xuất hiện Với tên gọi WORM_CRILOCK.A, biến thể này có thể lây lan thông qua các ổ USB hay HDD rời, điều này làm tốc độ phát tán tăng lên so với các biến thể khác Một biến thể khác cũng không kém phần nguy hiểm là CryptoDefense (tên khác: Cryptorbit) Nó mã hóa rất nhiều thứ, từ các lịch sử duyệt web, cơ

sở dữ liệu, hình ảnh, phim, các tập tin Office và hơn thế nữa Nó còn thông minh đến mức

có khả năng đi tìm các tập tin backup và xóa đi để người dùng không thể làm gì khác ngoài việc trả tiền để được cung cấp khóa giải mã.Vào ngày 12 tháng 5 năm 2017, biến thể mới của ransomware có tên là WannaCry tấn công các máy tính trên toàn thế giới Đến nay, đã

có hơn 45.000 cuộc tấn công được ghi nhận tại 99 quốc gia

1.2.3 Phân loại

Ngày nay, có hai loại Ransomware phổ biến là:

● Locker Ransomware – Ngăn chặn người dùng truy cập máy tính hoặc thiết bị

● Crypto Ransomware – Ngăn chặn người dùng truy cập dữ liệu hoặc tập tin, sử dụng hệ mật mã mạnh như AES, RSA mã hóa dữ liệu người dùng

Trong số các biến thể này ta có thể kể đến các đại diện tiêu biểu nhất như: reveton, cryptolocker, cryptolocker.f and torrentlocker, cryptowall, fusob, wannacry…

Cryptolocker: Các cuộc tấn công của ransomware cryptolocker là một tấn công

mạng xảy ra từ 05 tháng 9 năm 2013 đến cuối tháng năm 2014 mục tiêu nhằm vào các máy tính chạy hệ điều hành Microsoft Windows Nó được phát tán qua các tập tin đính kèm email bị nhiễm, và thông qua một botnet Cryptolocker đã bị cô lập vào cuối tháng 5 năm

2014 nhờ chiến dịch Tovar – cô lập mạng botnet Gameover ZeuS ( botnet đã được sử dụng

để phân phối phần mềm độc hại) Trong chiến dịch này một số công ty bảo mật tham gia vào việc thu thập cơ sở dữ liệu của khóa cá nhân được sử dụng bởi cryptolocker đã xây dụng một công cụ trực tuyến mở khóa dữ liệu miễn phí cho người Các báo cáo chỉ ra rằng nhóm tin tặc phát tán cryptolocker đã thu được khoảng 3 triệu USD từ các nạn nhân

WannaCry là một phần mềm độc hại mã độc tống tiền tự lan truyền trên các máy

tính sử dụng Microsoft Windows Vào ngày 12 tháng 5 năm 2017, WannaCry bắt đầu gây ảnh hưởng đến các máy tính trên toàn thế giới Đến nay, đã có hơn 45.000 cuộc tấn công được ghi nhận tại 99 quốc gia Nga là nước chịu ảnh hưởng nặng nề nhất, tiếp đến

là Ukraina, Ấn Độ và Đài Loan, Việt Nam cũng là một trong những nước bị tấn công nhiều nhất Sau khi xâm nhập vào các máy tính, mã độc tống tiền mã hóa ổ đĩa cứng của máy tính, sau đó cố gắng khai thác lỗ hổng SMB để lây lan sang các máy tính ngẫu nhiên trên Internet, và các máy tính trên cùng mạng LAN Do được mã hóa theo thuật toán RSA 2048-bit rất phức tạp, tính đến thời điểm hiện tại, gần như không có một cách nào để giải mã các tập tin đã bị WannaCry mã hóa Khi lây nhiễm vào một máy tính mới, WannaCry sẽ liên lạc với một địa chỉ web từ xa và chỉ bắt đầu mã hóa các tập tin nếu nó nhận ra địa chỉ web đó không thể truy cập được Nhưng nếu nó có thể kết nối được, WannaCry sẽ tự xóa bản thân – một chức năng có thể đã được cài đặt bởi người tạo ra nó như một "công tắc an toàn" trong trường hợp phần mềm trở nên không kiểm soát được Một chuyên gia công nghệ khám phá

ra địa chỉ web không được đăng ký này và mua nó với giá chưa đến 10 Euro, vụ tấn công tạm thời được ngăn chặn

1.3.1 Lây nhiễm

Spam Mail: Trong nhiều năm thư rác là một kỹ thuật tốt để phân phối các phần mềm

độc hại và Ramsomware cũng vậy Tội phạm mạng sử dụng botnet để gửi thư tác Những tội phạm mạng cũng có thể cung cấp một dịch vụ gửi thư rác cho những kẻ tấn công khác nhằm thu phí Các thư rác thường đi kèm trong các hình thức của một mail chứa file đính kèm hoặc liên kết đến một trang web khác dùng để khai thác Các thư rác cũng có thể hiện một loạt các kĩ thuật đánh vào tâm lý nhằm lừa người dùng cài đặt ransomware

Download & botnet: Phương pháp này là một trong những cách để phân phối phối

phần mềm độc hại được gọi là phần mềm download Một khi các downloader nhiễm phần mềm đọc hại cài đặt trên máy tính

Kỹ thuật Social Engineering: Một số ransomware cũng chứa các chức năng lây lan

Ví dụ trên Android có một số virus không những chỉ khóa mã hóa tập tin chúng còn lây lan sang các địa chỉ liên lạc trong địa chỉ của thiết bị bằng các gửi các SMS xã hội

Chuyển hướng điều khiển: Một phương pháp phổ biến là sử dụng bởi các dịch vụ

phân phối để web chuyển hướng từ một dịch vụ này sang một trang web khác dùng để khai thác

Quảng cáo độc hại: quảng cáo độc hại được biết đến với cái tên malvertisments có

thể được đẩy lên các website nhằm mục đích chuyển hướng truy cập của người dùng

Ngoài ra máy tính còn có thể bị lây nhiễm thông qua đường khác như qua các thiết bị lưu trữ ngoài như USB, qua quá trình cài đặt phần mềm không rõ nguồn gốc, sao chép dữ liệu từ máy bị nhiễm mã độc

1.3.2 Dấu hiệu nhận biết nhiễm ransomware và xử lý

Theo các kết quả phân tích của các chuyên gia VNIST, quá trình phá huỷ dữ liệu của

mã độc Ransomware sẽ không thể thực hiện ngay lập tức mà cần một khoảng thời gian nhất định và thường xuất hiện một số dấu hiệu sau mà không rõ lý do:

- Máy tính xử lý chậm;

- Đèn báo ổ cứng hoạt động liên tục;

- Xuất hiện một số thông báo tiếng anh lạ trên màn hình máy tính;

- Một số tệp tin không thể mở được;

- Xuất hiện một số tệp tin có đuôi lạ (ví dụ: encrypted, frtrss, , ) v.v…

Khi mã độc lây nhiễm vào máy tính, mã độc sẽ tiến hành quét và mã hóa các tập tin trong một khoảng thời gian Do đó, việc phản ứng nhanh khi phát hiện ra sự cố có thể giúp giảm thiểu thiệt hại cho dữ liệu trên máy tính và tăng khả năng khôi phục dữ liệu bị mã hóa

Cụ thể cần thực hiện các thao tác sau:

- Nhanh chóng tắt máy tính bằng cách ngắt nguồn điện;

- Không được khởi động lại máy tính theo cách thông thường mà phải khởi động từ hệ điều hành sạch (khuyết nghị điều hành Linux) bằng cách khởi động từ CD, USB, sau đó thực hiện kiểm tra các tập tin dữ liệu và sao lưu các dữ liệu chưa bị mã hóa;

- Các tập tin đã bị mã hóa tương đối khó để giải mã Tuy nhiên, trong một số trường hợp

có thể sử dụng các phần mềm khôi phục dữ liệu như FTK, EaseUs, R-STUDIO, để khôi phục các tập tin nguyên bản đã bị xóa;

- Cài đặt lại toàn bộ hệ thống, cài đặt phần mềm diệt virus đồng thời thiết lập chế độ cập nhật phiên bản tự động

1.3.3 Mã hóa và giải mã

- Xử dụng thuật toán mã hóa khóa bí mật: Ransomware sử dụng mã hóa đối

xứng, thông thường sẽ ransomware tạo ra một khóa trên máy tính bị nhiễm và gửi về cho kẻ

tấn công Việc hacker sử dụng mã hóa đối xứng để mã hóa các file dữ liệu vì khi sử dụng loại mã hóa này thì thời gian mã hóa rất nhanh và rất an toàn Crypto ransomware nhanh chóng tìm kiếm và mã hóa một số lượng lớn các tập tin, do đó hiệu suất là điều cần thiết để

mã hóa tập tin trước khi nạn nhân nhận biết được mối đe dọa Thuật toán mã hóa đối xứng điển hình thường được ransomware áp dụng là AES 128 bit hoặc AES 256 bit

Xử dụng thuật toán mã hóa khóa công khai: Tuy nhiên, một số loại ransomware sử

dụng khóa bất đối xứng để mã hóa dữ liệu của nạn nhân Mã hóa bất đối xứng sử dụng hai khóa: khóa công khai được sử dụng để mã hóa dữ liệu và khóa riêng được sử dụng để giải

mã dữ liệu được mã hóa Chỉ có khóa riêngtương ứng mới có thể được sử dụng để giải mã

dữ liệu Crypto ransomware có thể sử dụng mã hóa bất đối xứng bằng cách mã hóa các tập tin của người dùng với các khóa công khai và giữ khóa riêng cho bản thân Tuy nhiên trong thực tế, rất hạn chế sử dụng một khóa công khai để mã hóa số lượng lớn các tập tin, bởi mã khóa công khai rất chậm hơn nhiều so với mã hóa khóa bí mật Phải mất một thời gian lớn

để hoàn thành việc mã hóa do đó rất dễ bị nạn nhân phát hiện khi đang tiến hành mã hóa dữ liệu Thuật toán mã hóa bất đối xứng thường được xử dụng là thuật toán RSA 1024 bit hoặc RSA 2048 bit

Xử dụng kết hợp giải thuật mã hóa khóa đối xứng và bất đối xứng: Nhiều crypto

ransomware tiên tiến thường sử dụng kết hợp kỹ thuật mã hóa đối xứng và bất đối xứng Các biến thể mà sử dụng mã hóa bất đối xứng cũng có thể tạo ra cặp khóa công khai-riêng cho mỗi máy tính bị nhiễm Điều này cho phép kẻ tấn công để giải mã các tập tin trên một máy tính bị nhiễm mà không tiết lộ khóa riêng Khóa riêng này có thể là khóa chung để giải

mã dữ liệu trên máy tính của nhiều nạn nhân Thuật toán mã hóa đối xứng và bất đối xứng thường được sử dụng trong một số biến thể mới của ransomware là AES 256 bit và RSA

2048 bit

1.3.4 Phân phối và quản lý khóa

a Quản lý khóa với ransomware sử dụng mã hóa đối xứng

b Quản lý khóa với ransomware sử dụng mã hóa bất đối xứng

c Quản lý khóa với ransomware sử dụng kết hợp mã hóa khóa đối xứng và bất đối

xứng

- Sinh cặp khóa công khai và khóa riêng ở máy nạn nhân, sau đó gửi khóa lên server, hoặc với mỗi ransomware nhiễm cho từng máy tính có nhúng sẵn một public key

- Mỗi khi ransomware chạy sẽ yêu cầu khóa từ server, server tạo khóa và chỉ gửi khóa công khai về cho ransomware

Đối tượng tấn công của Ransomware được chia ra làm ba loại:

• Hộ gia đình: Ransomware rất hiệu quả đối với cá nhân không thông thạo với máy tính hay không có nhận thức về Ransomware và cách thức nó hoạt động

• Khối doanh nghiệp: Thông tin và loại hình công nghệ sử dụng đã trở thành thứ quyết định sống còn của doanh nghiệp Giả định rằng một doanh nghiệp có hàng tỷ lượt giao dịch trên hệ thống và bị Ransomware tấn công

• Người dùng công cộng: Các cơ quan công cộng như tổ chức giáo dục, chăm sóc sức khỏe, tổ chức thực thi pháp luật cũng không ngoại trừ khả năng bị tấn công của Ransomware

Từ những lý do trên có thể thấy rằng quy mô và hình thức phát tán của mã đọc ransomware không có giới hạn và phạm vi

Tình hình phát tán mã độc ransomware

Số lượng người dùng bị tấn công phân loại theo địa lí được thống kê bởi khách hàng

sử dụng sản phẩm bảo mật của Kaspersky trên toàn cầu.Trong số đó, Ấn Độ, Brazil và Đức dẫn đầu danh sách với số lượng người dùng bị tấn công ngày một tăng, số lượng người dùng tại Hoa Kỳ, Việt Nam, Algeria, Ukraine và Kazakhstan giảm nhẹ

a Locky Ransomware: Locky được phát hiện đầu tiên vào tháng 2 năm 2016 Loại

ransomware này thường được gửi dưới dạng file đính kèm email, có tiêu đề ‘Invoice J-00’ Email có chứa tài liệu văn bản mà macro “lập trình” trong đó

b Cerber Ransomware: Cerber là có một dạng phần mềm độc hại thông minh và thậm

chí là còn khá “mạnh” Lí do là bởi vì nó là phần mềm miễn phí, có sẵn để người dùng tải

về, cài đặt và vô tình bị phần mềm này “tấn công” hệ thống mà không hề hay biết Loại ransomware này sử dụng hai phương pháp “vận chuyển”

c WannaCry: 5/2017 cả thế giới chấn động về loại Ransomware mới Virus

WannaCry đang trở thành mã độc tống tiền nguy hiểm chưa từng có trong lịch sử WannaCry và các biến thể của nó khai thác một lỗ hổng trên hệ điều hành Windows mà Cơ quan An ninh Quốc gia Mỹ (NSA) nắm giữ Tội phạm mạng đã sử dụng chính những công

cụ của NSA để lây lan ransomware Lỗ hổng nghiêm trọng này trên hệ điều hành Windows cũng mới chỉ được phát hiện vào tháng 2 năm nay Microsoft đã ra bản vá vào ngay tháng 3 nhưng có rất nhiều máy tính trên thế giới không được nhận kịp thời bản cập nhật này

Kết luận chương 1

Những kết quả đạt được trong chương 1 như sau:

- Trình bày tổng quan về mã độc bao gồm: khái niệm, phân loại, cách thức phát tán Kết quả nghiên cứu chỉ ra rằng: tấn công bằng mã độc là kỹ thuật tấn công nguy hiểm và không có một biện pháp đối phó nào có thể ngăn chặn hữu hiệu sự phát tán và tấn công bằng mã độc

- Trình bày tổng quan về mã độc tống tiền Ransomware bao gồm: khái niệm, phân loại, hình thức tấn công, phát tán và nguyên tắc mã hóa, giải mã, trao đổi khóa Những kết quả ban đầu cho thấy, tấn công mã độc ransomware lợi dụng điểm yêu của con người để phát tán và tống tiền

- Trình bày một số biến thể mới của ransomware cũng như mức độ ảnh hưởng và

sự nguy hiểm của các biến thể ransomware đến người dùng cá nhân, tổ chức và