1. Trang chủ
  2. » Công Nghệ Thông Tin

Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)

24 877 15

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 24
Dung lượng 2,07 MB

Nội dung

Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG LÊ LONG BÌNH NGHIÊN CỨU ĐỘC RANSOMWARE BIỆN PHÁP PHÒNG CHỐNG Chuyên ngành: HỆ THỐNG THÔNG TIN số: 60.48.01.04 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI – 2017 Luận văn hoàn thành tại: HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: …Tiến sĩ Đỗ Xuân Chợ (Ghi rõ học hàm, học vị) Phản biện 1: …………………………………………………………………………… Phản biện 2: ………………………………………………………………………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thông Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bưu Viễn thông MỞ ĐẦU Lý chọn đề tài Ngày nay, với nhu cầu trao đổi thông tin, bắt buộc quan, tổ chức phải hoà vào mạng Internet, an toàn bảo mật thông tin vấn đề quan trọng hàng đầu Cộng đồng công nghệ thông tin, đặc biệt doanh nghiệp, tổ chức có hạ tầng thông tin tiên tiến phải đối mặt với biến đổi, phức tạp ngày nguy an toàn thông tin Theo hiệp hội An Toàn Thông Tin Việt Nam tội phạm máy tính liên tục gia tăng Bên cạnh đó, với xuất ngày nhiều hình thức công hệ thống máy tính với kỹ thuật tinh vi phức tạp Đặc biệt năm gần đây, hình thức công phát tán độc ngày phát triển trở thành mối quan tâm hàng đầu công ty chuyên gia bảo mật Các tổ chức cá nhân, doanh nghiệpcàng thêm lo lắng nguy an toàn thông tin có xuất độc tống tiền (Ransomware) Ransomware biến thể độc, khác với độc khác công vào hệ thống máy tính tìm cách đánh cắp liệu lây nhiễm cho toàn hệ thống, Ransomware tìm đến file liệu máy tính nạn nhân để hóa, sau hóa xong toàn liệu sử dụng nạnnhân không tự bỏ tiền mua khóa bí mật từ kẻ công Gần số biến thể Ransomware không yêu cầu tiền chuộc đưa danh sách phần mềm để bẻkhóa liệu mạng, tất nhiên phần mềm yêu cầu trả phí tải Dự báo thời gian tới, độc Ransomware tiếp tục diễn biến phức tạp, khó lường Với việc kết hợp công nghệ liên tục thay đổi phương thức, thủ đoạn để tránh bị phát dẫn đến việc phòng chống vô khó khăn Mặc dù, thiệt hại độc Ransomware gây nghiêm trọng nhiên việc phòng chống bị xem nhẹ, chưa đầu tư đắn Do đó, việc nghiên cứu chế hoạt động độc Ransomware điều quan trọng, giúp người sử dụng internet hiểu nguy loại hình công này,qua đưa phương án phòng chống độc Ransomware thích hợp để đạt hiệu tốt Từ lý trên, học viên chọn đề tài “Nghiên cứu độc Ransomeware biện pháp phòng chống”.Một đề tài tương đối chưa nghiên cứu sâu rộng Kết nghiên cứu đề tài đưa nhìn tổng quan độc Ransomware từ đề xuất giải pháp để phòng chống độc Qua đógiúp cho cá nhân, doanh nghiệp, tổ chức giảm thiểu hay tránh hậu công độc Ransomeware gây Tổng quan vấn đề cần nghiên cứu Tương tự loại độc khác, Ransomware xâm nhập vào máy tính người dùng thông qua liệu đính kèm từ email, phần mềm tải từ Internet hay đơn giản từ website người dùng duyệt qua Sau xâm nhập vào máy tính, tiến hành hóa liệu yêu cầu tiền chuộc 2 Không dừng lại đó, theo nghiên cứu Cisco hãng bảo mật Symantec, độc Ransomware ngày sở hữu phương thức hoạt động tinh vi, nguy hiểm độc không công mục tiêu qua hình thức email lừa đảo (email phishing), thay vào đó, nhắm thẳng vào lỗ hổng máy chủ (server) - tiêu biểu số Samsam - độc gây tê liệt toàn hệ thống bệnh viện Mỹ vào tháng 3/2016 (Why malware like the Samsam ransomware are so dangerous for hospitals? - securityaffairs.co) Nghiên cứu bảo mật từ CyberArk Labs cho thấy năm 2015 độc Ransomware lây nhiễm gần 407.000 mục tiêu, tiêu tốn nạn nhân 325 triệu USD số tiếp tục gia tăng Nguy hiểm hơn, nghiên cứu cho thấy 70% độc Ransomware chiếm quyền hạn quản trị thiết bị (CyberArk Labs: Ransomware cyberark.com) Bên cạnh đó, khảo sát Malwarebytes công bố tháng 8-2016 cho thấy, gần 40% 540 công ty với tổng số nhân viên triệu người nạn nhân độc Ransomware ( Công bố loại độc ransomware tung hoành nhiều năm 2015Dantri.com.vn) Doanh nghiệp vừa nhỏ trở thành mục tiêu độc Ransomware Trên thấy rằng, mức độ nguy hiểm độc Ransomware cảnh báo trước, tổ chức, cá nhân, doanh nghiệp chưa trang bị kiến thức cụ thể để tự bảo vệ trước công Từ mối nguy hại độc Ransomware đã, gây nên vấn đề phòng chống vấn đề vô quan trọng cấp thiết Phương pháp phòng chống độc Ransomware dựa phương diện quản lý rủi ro, công nghệ phương diện người Tuy nhiên, khuôn khổ luận văn, học viên tập trung sâu nghiên cứu tìm hiểu giải pháp phòng độc Ransomware phương diện công nghệ Vì độc Ransomware đòi hỏi nhiều công cụ giai đoạn công để thành công vậy, giải pháp bảo mật thông minh việc thực chiến lược phòng thủ đa tầng để chống lại độc Điều quan trọng độc Ransomware biến đổi không lường thay đổi cách thức hoạt động Chính giải pháp bảo vệ liệu khỏi độc Ransomware, có cách tích hợp nhiều giải pháp với sức mạnh phương pháp bù đắp nhược điểm phương pháp Từ đó, cá nhân, tổ chức doanh nghiệp tăng khả bảo vệ trước độc Ransomware Mục đích nghiên cứuNghiên cứu độc Ransomware: đặc điểm, cách thức công; kỹ thuật phát tán, kỹ thuật hóa giải Nghiên cứu giải pháp công nghệ để phòng chống độc Ransomware • Ứng dụng công nghệ để phòng chống độc Ransomware Đối tượng phạm vi nghiên cứu • Đối tượng nghiên cứu: kỹ xâm nhập, phát tán hóa giải độc Ransomware 3 • Phạm vi nghiên cứu: Các kỹ thuật, giải pháp, công nghệ phòng chống độc Ransoware Phương pháp nghiên cứu 5.1 Phương pháp nghiên cứu tài liệu: - Nghiêncứu lý thuyết định nghĩavề malware nói chung Ransomware nói riêng - Nghiên cứu báo cáo công ghi nhận từ tìm hiểu cách thức lây lan 5.2 Phương pháp thực nghiệm: - Mô giả lập công Ransomware Xây dựng mô hình giải pháp công nghệ để ngăn chặn Dự kiến cấu trúc nội dung luận văn gồm chương sau: Chương 1: TỔNG QUAN VỀ ĐỘC RANSOMWARE Chương 2: CÁC GIẢI PHÁP PHÒNG CHỐNG ĐỘC RANSOMWARE Chương 3: THỰC NGHIỆM ĐÁNH GIÁ CHƯƠNG 1: TỔNG QUAN VỀ ĐỘC RANSOMWARE 1.1 Giới thiệu chung độc 1.1.1 Khái niện độc “một chương trình (program) chèn cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính toàn vẹn tính sẵn sàng hệ thống”.Theo định nghĩa bao hàm nhiều thể loại quen gọi chung virus máy tính như: worm, trojan, spy-ware, chí virus công cụ để công hệ thống hacker thường sử dụng như: backdoor, rootkit, key-logger Như độc chất phần mềm phần mềm khác máy tính sử dụng hàng ngày, có đầy đủ đặc điểm, tính chất phần mềm bình thường khác có thêm tính độc hại (malicious) 1.1.2 Phân loại Tùy thuộc vào chế, hình thức lây nhiễm phương pháp phá hoại người ta đưa nhiều tiêu chí để phân loại độ, tiêu chí sử dụng nhiều phân loại theo hình thức lây nhiễm theo phân loại NIST (National Institute of Standart and Technology) - Phân loại theo hình thức lây nhiễm: Dựa vào hình thức phân loại độc gồm loại chính: loại cần chương trình chủ để tồn lây nhiễm, chương trình chủ tập tin liệu, tập tin ứng dụng, hay tập tin chương trình thực thi… loại thứ hai tồn độc lập không cần chương trình chủ để lây nhiễm Không cần chương trình chủ nghĩa chương trình độc hại lập lộc chạy hệ điều hành Không độc lập (needs host program) đoạn chương trình đặc biệt thuộc chương trình thực thi độc lập chương trình thông thường hay tiện ích bắt buộc phải có bước kích hoạt chương trình chủ trước chương trình chạy Hình 1.1 Phân loại độc theo hình thức lây nhiễm 1.1.3 Cách thức phát tán độc Từ người dùng:Hiện độc chủ yếu lây nhiễm vào hệ thống thông tin cách đánh vào nhận thức tâm lý người dùng độc lây nhiễm vào máy tính người sử dụng thông qua tập tin đính kèm thư Các tập tin thường đính kèm thư điện tử người lạ gửi đến nạn nhân thư điện tử giả mạo quan tổ chức Từ máy trạm: Các tổ chức ngiên cứu bảo mật thông tin phát máy trạm (máy đầu cuối – endpoint) nguyên nhân độc phát tán Máy trạm thiết bị máy tính có kết nối với mạng tổ chức máy tính để bàn, máy lapto, thiết bị điện tử có vùng lưu trữ, cổng vào ra, kết nối với địa IP… sở để phát tán độc Từ mạng xã hội: Hiện giới có hàng trăm mạng xã hội khác MySpace, Facebook,Zingme,YuMe,Zalo,Twitter… Trong mạng xã hội xem phương tiện giao tiếp tốt với người trở thành mục đích cho lây lan độc Mạng xã hội hoạt động nguyên tắc kết nối chia sẻ thông tin, mạng xã hội bắt buộc người sử dụng cung cấp số thông tin định thông tin cá nhân Càng nhiều thông tin người sử dụng cung cấp lên mạng xã hội làm tăng nguy bị kẻ xấu lợi dụng Hiện mạng xã hội có nhiều ứng dụng cho người dùng có ứng dụng cài kèm chương trình độc hại Từ thiết bị di động: Hiện bùng nổ thiết bị di động kéo theo phát triển loại độc tảng Các thiết bị di động thông minh phát triển nhanh chóng, với kho ứng dụng khổng lồ lập trình viên phát triển độc tảng lây nhiểm chủ yếu thông qua ứng dụng người dùng tải cài đặt máy cá nhân Các dạng độc kiểu kiểm soát người sử dụng bị chặn nhà cung cấp hệ điều hành chúng yêu cầu hành vi bị nhận dạng nguy hiểm 1.2 Giới thiệu độc Ransomware 1.2.1 Khái niệm Thuật ngữ ransomware đưa Adam L.Young Moti Yung Đại học Columbia trình bày hội nghị IEEE Security & Privacy năm 1996 Ransomware loại độc ngăn chặn giới hạn người dùng sử dụng thiết bị, hệ thống liệu Một số hóa tập tin khiến người dùng mở tài liệu máy, số khác dùng chế khóa máy để không cho người dùng tiếp tục sử dụng Hầu hết phần mềm Ransomware chiếm quyền hóa toàn thông tin nạn nhân tìm (thường gọi Cryptolocker), số loại Ransomware khác lại ẩn gói liệu máy tính (tên khác CTB Locker) Ransomware buộc nạn nhân trả tiền để có lại quyền sử dụng liệu thông tin người dùng Hình thức toán thường toán bitcon nhằm che dấu danh tính để xóa dấu vết Nhưng cần nhấn mạnh nạn nhân trả tiền đảm bảo tin tặc cấp quyền trở lại.Nguy hiểm hơn, có số ransomware thâm nhập vào Master Boot Record (MBR) máy tính Bằng cách này, ransomware ngăn không cho hệ điều hành chạy lên, hay nói cách khác làm tê liệt hệ thống 1.2.2 Lịch sử phát triển Vụ công ransomware xuất lần vào năm 1989 với tên gọi “AIDS Trojan” viết Joseph Popp.Những trường hợp bị công độc ransomware Nga vào năm 2005 – 2006.Khi đó, ransomare mang số hiệu TROJ_CRYZIP.A nén tập tin quan trọng người dùng lại thành tập tin zip xóa tập tin gốc Để mở tập tin zip cần có password TROJ_CRYZIP.A tạo tập tin văn để làm "thư tống tiền", nói người dùng muốn có password để mở tập tin zip phải trả 300$.Vào tháng năm 2008, biến thể gọi Gpcode.AK phát sử dụng thuật toán hóa RSA 1024-bit Tại thời điểm chưa xuất công cụ đủ lớn để tính toán để giải thời gian ngắn Tháng năm 2010, công Nga độc WinLock WinLock không sử dụng hóa Thay vào đó, WinLock hạn chế khả truy cập vào hệ thống cách hiển thị hình ảnh khiêu dâm yêu cầu người dùng gửi tin nhắn SMS có tỷ lệ phí (khoảng 10$) để nhận số dùng để mở khóa máy.Vụ công gây nhiều khó khăn khiến người dùng bực diễn khắp nước Nga nước láng giềng – theo báo nhóm thu 16 triệu USD nhờ ransomware này.Trong năm 2011, ransomware công vào hệ điều hành Windows thông báo cho người dùng việc cài đặt Windows hệ thống phải kích hoạt lại "là nạn nhân gian lận" Năm 2012, ransomware TROJ_RANSOM.BOV "nhúng" vào trang web bán hàng Pháp, từ lây nhiễm xuống máy tính người dùng Pháp Nhật Tháng năm 2013, ransomware dựa công cụ khai thác stamp.ek lây lan thông qua trang web lưu trữ dịch vụ lưu trữ SourceForge GitHubVào tháng năm 2013, ransomware đặc biệt OS-X xuất hiện, hiển thị trang web cáo buộc người dùng tải nội dung khiêu dâm Cuối năm 2013, loại ransomware xuất Những biến thể hóa tập tin thay khóa máy tính lúc trước, chúng gọi tên "CryptoLocker" Bằng cách này, tin tặc đảm bảo người dùng phải trả tiền họ dùng công cụ bảo mật để xóa độc Bằng hình thức tin tặc phát tán ransomware CryptoLocker thu 27 triệu USD từ nạn nhân.Khoảng cuối năm 2013, biến thể CryptoLocker xuất Với tên gọi WORM_CRILOCK.A, biến thể lây lan thông qua ổ USB hay HDD rời, điều làm tốc độ phát tán tăng lên so với biến thể khác Một biến thể khác không phần nguy hiểm CryptoDefense (tên khác: Cryptorbit) Nó hóa nhiều thứ, từ lịch sử duyệt web, sở liệu, hình ảnh, phim, tập tin Office Nó thông minh đến mức có khả tìm tập tin backup xóa để người dùng làm khác việc trả tiền để cung cấp khóa giải mã.Vào ngày 12 tháng năm 2017, biến thể ransomware có tên WannaCry công máy tính toàn giới Đến nay, có 45.000 công ghi nhận 99 quốc gia 1.2.3 Phân loại Ngày nay, có hai loại Ransomware phổ biến là: ● Locker Ransomware – Ngăn chặn người dùng truy cập máy tính thiết bị ● Crypto Ransomware – Ngăn chặn người dùng truy cập liệu tập tin, sử dụng hệ mật mạnh AES, RSA hóa liệu người dùng 7 Trong số biến thể ta kể đến đại diện tiêu biểu như: reveton, cryptolocker, cryptolocker.f and torrentlocker, cryptowall, fusob, wannacry… Cryptolocker: Các công ransomware cryptolocker công mạng xảy từ 05 tháng năm 2013 đến cuối tháng năm 2014 mục tiêu nhằm vào máy tính chạy hệ điều hành Microsoft Windows Nó phát tán qua tập tin đính kèm email bị nhiễm, thông qua botnet Cryptolocker bị cô lập vào cuối tháng năm 2014 nhờ chiến dịch Tovar – cô lập mạng botnet Gameover ZeuS ( botnet sử dụng để phân phối phần mềm độc hại) Trong chiến dịch số công ty bảo mật tham gia vào việc thu thập sở liệu khóa cá nhân sử dụng cryptolocker xây dụng công cụ trực tuyến mở khóa liệu miễn phí cho người Các báo cáo nhóm tin tặc phát tán cryptolocker thu khoảng triệu USD từ nạn nhân WannaCry phần mềm độc hại độc tống tiền tự lan truyền máy tính sử dụng Microsoft Windows Vào ngày 12 tháng năm 2017, WannaCry bắt đầu gây ảnh hưởng đến máy tính toàn giới Đến nay, có 45.000 công ghi nhận 99 quốc gia Nga nước chịu ảnh hưởng nặng nề nhất, tiếp đến Ukraina, Ấn Độ Đài Loan, Việt Nam nước bị công nhiều Sau xâm nhập vào máy tính, độc tống tiền hóa ổ đĩa cứng máy tính, sau cố gắng khai thác lỗ hổng SMB để lây lan sang máy tính ngẫu nhiên Internet, máy tính mạng LAN Do hóa theo thuật toán RSA 2048bit phức tạp, tính đến thời điểm tại, gần cách để giải tập tin bị WannaCry hóa Khi lây nhiễm vào máy tính mới, WannaCry liên lạc với địa web từ xa bắt đầu hóa tập tin nhận địa web truy cập Nhưng kết nối được, WannaCry tự xóa thân – chức cài đặt người tạo "công tắc an toàn" trường hợp phần mềm trở nên không kiểm soát Một chuyên gia công nghệ khám phá địa web không đăng ký mua với giá chưa đến 10 Euro, vụ công tạm thời ngăn chặn 1.3 Nguyên tắc hoạt động ransomware 1.3.1 Lây nhiễm Spam Mail: Trong nhiều năm thư rác kỹ thuật tốt để phân phối phần mềm độc hại Ramsomware Tội phạm mạng sử dụng botnet để gửi thư tác Những tội phạm mạng cung cấp dịch vụ gửi thư rác cho kẻ công khác nhằm thu phí Các thư rác thường kèm hình thức mail chứa file đính kèm liên kết đến trang web khác dùng để khai thác Các thư rác loạt kĩ thuật đánh vào tâm lý nhằm lừa người dùng cài đặt ransomware Download & botnet: Phương pháp cách để phân phối phối phần mềm độc hại gọi phần mềm download Một downloader nhiễm phần mềm đọc hại cài đặt máy tính 8 Kỹ thuật Social Engineering: Một số ransomware chứa chức lây lan Ví dụ Android có số virus khóa hóa tập tin chúng lây lan sang địa liên lạc địa thiết bị gửi SMS xã hội Chuyển hướng điều khiển: Một phương pháp phổ biến sử dụng dịch vụ phân phối để web chuyển hướng từ dịch vụ sang trang web khác dùng để khai thác Quảng cáo độc hại: quảng cáo độc hại biết đến với tên malvertisments đẩy lên website nhằm mục đích chuyển hướng truy cập người dùng Ngoài máy tính bị lây nhiễm thông qua đường khác qua thiết bị lưu trữ USB, qua trình cài đặt phần mềm không rõ nguồn gốc, chép liệu từ máy bị nhiễm độc 1.3.2 Dấu hiệu nhận biết nhiễm ransomware xử lý Theo kết phân tích chuyên gia VNIST, trình phá huỷ liệu độc Ransomware thực cần khoảng thời gian định thường xuất số dấu hiệu sau không rõ lý do: - Máy tính xử lý chậm; - Đèn báo ổ cứng hoạt động liên tục; - Xuất số thông báo tiếng anh lạ hình máy tính; - Một số tệp tin mở được; - Xuất số tệp tin có đuôi lạ (ví dụ: encrypted, frtrss, , ) v.v… Khi độc lây nhiễm vào máy tính, độc tiến hành quét hóa tập tin khoảng thời gian Do đó, việc phản ứng nhanh phát cố giúp giảm thiểu thiệt hại cho liệu máy tính tăng khả khôi phục liệu bị hóa Cụ thể cần thực thao tác sau: - Nhanh chóng tắt máy tính cách ngắt nguồn điện; - Không khởi động lại máy tính theo cách thông thường phải khởi động từ hệ điều hành (khuyết nghị điều hành Linux) cách khởi động từ CD, USB, sau thực kiểm tra tập tin liệu lưu liệu chưa bị hóa; - Các tập tin bị hóa tương đối khó để giải Tuy nhiên, số trường hợp sử dụng phần mềm khôi phục liệu FTK, EaseUs, R-STUDIO, để khôi phục tập tin nguyên bị xóa; - Cài đặt lại toàn hệ thống, cài đặt phần mềm diệt virus đồng thời thiết lập chế độ cập nhật phiên tự động 1.3.3 hóa giải - Xử dụng thuật toán hóa khóa bí mật: Ransomware sử dụng hóa đối xứng, thông thường ransomware tạo khóa máy tính bị nhiễm gửi cho kẻ công Việc hacker sử dụng hóa đối xứng để hóa file liệu sử dụng loại hóa thời gian hóa nhanh an toàn Crypto ransomware nhanh chóng tìm kiếm hóa số lượng lớn tập tin, hiệu suất điều cần thiết để hóa tập tin trước nạn nhân nhận biết mối đe dọa Thuật toán hóa đối xứng điển hình thường ransomware áp dụng AES 128 bit AES 256 bit Xử dụng thuật toán hóa khóa công khai: Tuy nhiên, số loại ransomware sử dụng khóa bất đối xứng để hóa liệu nạn nhân hóa bất đối xứng sử dụng hai khóa: khóa công khai sử dụng để hóa liệu khóa riêng sử dụng để giải liệu hóa Chỉ có khóa riêngtương ứng sử dụng để giải liệu Crypto ransomware sử dụng hóa bất đối xứng cách hóa tập tin người dùng với khóa công khai giữ khóa riêng cho thân Tuy nhiên thực tế, hạn chế sử dụng khóa công khai để hóa số lượng lớn tập tin, khóa công khai chậm nhiều so với hóa khóa bí mật Phải thời gian lớn để hoàn thành việc hóa dễ bị nạn nhân phát tiến hành hóa liệu Thuật toán hóa bất đối xứng thường xử dụng thuật toán RSA 1024 bit RSA 2048 bit Xử dụng kết hợp giải thuật hóa khóa đối xứng bất đối xứng: Nhiều crypto ransomware tiên tiến thường sử dụng kết hợp kỹ thuật hóa đối xứng bất đối xứng Các biến thể sử dụng hóa bất đối xứng tạo cặp khóa công khai-riêng cho máy tính bị nhiễm Điều cho phép kẻ công để giải tập tin máy tính bị nhiễm không tiết lộ khóa riêng Khóa riêng khóa chung để giải liệu máy tính nhiều nạn nhân Thuật toán hóa đối xứng bất đối xứng thường sử dụng số biến thể ransomware AES 256 bit RSA 2048 bit 1.3.4 Phân phối quản lý khóa a Quản lý khóa với ransomware sử dụng hóa đối xứng b Quản lý khóa với ransomware sử dụng hóa bất đối xứng c Quản lý khóa với ransomware sử dụng kết hợp hóa khóa đối xứng bất đối xứng - Sinh cặp khóa công khai khóa riêng máy nạn nhân, sau gửi khóa lên server, với ransomware nhiễm cho máy tính có nhúng sẵn public key - Mỗi ransomware chạy yêu cầu khóa từ server, server tạo khóa gửi khóa công khai cho ransomware 1.4 Tình hình phát triển độc ransomware biến thể Đối tượng công Ransomware chia làm ba loại: • Hộ gia đình: Ransomware hiệu cá nhân không thông thạo với máy tính hay nhận thức Ransomware cách thức hoạt động 10 • Khối doanh nghiệp: Thông tin loại hình công nghệ sử dụng trở thành thứ định sống doanh nghiệp Giả định doanh nghiệp có hàng tỷ lượt giao dịch hệ thống bị Ransomware công • Người dùng công cộng: Các quan công cộng tổ chức giáo dục, chăm sóc sức khỏe, tổ chức thực thi pháp luật không ngoại trừ khả bị công Ransomware Từ lý thấy quy mô hình thức phát tán đọc ransomware giới hạn phạm vi Tình hình phát tán độc ransomware Số lượng người dùng bị công phân loại theo địa lí thống kê khách hàng sử dụng sản phẩm bảo mật Kaspersky toàn cầu.Trong số đó, Ấn Độ, Brazil Đức dẫn đầu danh sách với số lượng người dùng bị công ngày tăng, số lượng người dùng Hoa Kỳ, Việt Nam, Algeria, Ukraine Kazakhstan giảm nhẹ a Locky Ransomware: Locky phát vào tháng năm 2016 Loại ransomware thường gửi dạng file đính kèm email, có tiêu đề ‘Invoice J-00’ Email có chứa tài liệu văn macro “lập trình” b Cerber Ransomware: Cerber có dạng phần mềm độc hại thông minh chí “mạnh” Lí phần mềm miễn phí, có sẵn để người dùng tải về, cài đặt vô tình bị phần mềm “tấn công” hệ thống không hay biết Loại ransomware sử dụng hai phương pháp “vận chuyển” c WannaCry: 5/2017 giới chấn động loại Ransomware Virus WannaCry trở thành độc tống tiền nguy hiểm chưa có lịch sử WannaCry biến thể khai thác lỗ hổng hệ điều hành Windows Cơ quan An ninh Quốc gia Mỹ (NSA) nắm giữ Tội phạm mạng sử dụng công cụ NSA để lây lan ransomware Lỗ hổng nghiêm trọng hệ điều hành Windows phát vào tháng năm Microsoft vào tháng có nhiều máy tính giới không nhận kịp thời cập nhật Kết luận chương Những kết đạt chương sau: - - - Trình bày tổng quan độc bao gồm: khái niệm, phân loại, cách thức phát tán Kết nghiên cứu rằng: công độc kỹ thuật công nguy hiểm biện pháp đối phó ngăn chặn hữu hiệu phát tán công độc Trình bày tổng quan độc tống tiền Ransomware bao gồm: khái niệm, phân loại, hình thức công, phát tán nguyên tắc hóa, giải mã, trao đổi khóa Những kết ban đầu cho thấy, công độc ransomware lợi dụng điểm yêu người để phát tán tống tiền Trình bày số biến thể ransomware mức độ ảnh hưởng nguy hiểm biến thể ransomware đến người dùng cá nhân, tổ chức 11 quốc gia CHƯƠNG 2: GIẢI PHÁP PHÒNG CHỐNG ĐỘC RANSOMWARE 2.1 Con người 2.1.1 Nâng cao nhận thức an toàn thông tin - Không mở thư điện tử tập tin đính kèm từ địa người gửi không rõ ràng có dấu hiệu nghi ngờ - Không truy cập vào popup trình duyệt cảm thấy nghi ngờ có dấu hiệu bất thường - Không truy cập vào trang web có khả chứa nội dung độc hại - Không mở tập tin với phần mở rộng có khả kết hợp với phần mềm độc hại (Ví dụ: bat, exe, pif, vbs ) - Không vô hiệu hoá chế kiểm soát an ninh (ví dụ không tắt phần mềm Anti-virus, phần mềm phát gián điệp, tường lửa cá nhân) - Không sử dụng tài khoản có quyền quản trị cấp cao cho hoạt động thông thường - Không tải thực thi ứng dụng từ nguồn không tin cậy 2.1.2 Đào tạo kỹ thuật an toàn thông tin Các tổ chức cần đào tạo giúp cho cán bộ, nhân viên biết sách phương pháp áp dụng để xử lý cố phần mềm độc hại (Ví dụ: làm để xác định thiết bị, máy tính dùng bị nhiễm độc, làm để báo cáo máy tính nghi ngờ bị nhiễm, nhân viên cần phải làm để hỗ trợ xử lý cố (Ví dụ: cập nhật phần mềm Anti-virus, hệ thống quét phần mềm độc hại) Các nhân viên nên biết cố độc hại phổ biến, xảy việc tương tự họ có phương hướng báo cáo để xử lý Ngoài ra, nhân viên cần phải biết cách thích ứng với môi trường làm việc thay đổi, xảy cố liên quan đến độc, hệ thống bị cách ly hệ thống thư điện tử bị vô hiệu hóa, nhân viên cần có giải pháp để tiếp tục hoàn thành công việc đơn vị tổ chức 2.2 Công nghệ 2.2.1 Antivirus Hình 2.1: Các phần mềm Antivirus phổ biến Phần mềm Anti-virus phương pháp kỹ thuật thường sử dụng để giảm thiểu rủi ro malware nói chung độc Ransomware nói riêng Một số phần mềm diệt Ransomware ứng dụng: 12 ▪ Microsoft Security Essentials (Windows trở lên) ▪ Semantec Norton Antivirus ▪ Kaspersky Antivirus ▪ BitDefender Antivirus ▪ AVG Antivirus ▪ McAfee VirusScan ▪ Trend Micro Antivirus ▪ F-secure ▪ BKAV 2.2.2 Firewalls Tường lửa thuật ngữ chuyên ngành mạng máy tính thể kỹ thuật tích hợp vào hệ thống mạng để chống truy cập trái phép nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập số truy cập không mong muốn vào hệ thống cá nhân, tố chức, doanh nghiệp, quan phủ Tường lửa có hai loa ̣i, phầ n mề m hoă ̣c phầ n cứng, có tác du ̣ng mô ̣t biên giới bảo vê ̣ và lo ̣c những kẻ xâm nhâ ̣p không mong muố n Internet Hình 2.2 Mô hình tưởng lửa ngăn chặn hình thức phát tán ransomware Một số hệ thống tường lửa tích hợp giải pháp Gateway Antivirus Spam Blocker để chống lại mẫu ransomware: ● Gateway AntiVirus hoạt động song song với dịch vụ kiểm soát lớp nội dung cung cấp bảo vệ thời gian thực cho hệ thống mạng khỏi mối nguy Ransomware cách quét lưu lượng tất giao thức quan trọng, cách cập nhật hành vi/chữ ký mối đe doạ để phát ngăn chặn tất loại độc hại ● Spam Blocker hoạt động hai giao thức POP SMTP Quản trị viên định email cho phép, ngăn chặn email spam, Virus file đính kèm có chưa virus Ransomware 2.2.3 Instrution Detection (IDS/ Instrution Prevention(IPS) Hệ thống phát xâm nhập IDS hệ thống có nhiệm vụ theo dõi, phát (có thể) ngăn cản xâm nhập, hành vi khai thác trái phép tài nguyên hệ 13 thống bảo vệ dẫn đến việc làm tổn hại đến tính bảo mật, tính toàn vẹn tính sẵn sàng hệ thống ➢ Cơ chế hoạt động hệ thống IDS/IPS: Có cách tiếp cận việc phát phòng chống xâm nhập là: - Phát lạm dụng ( Misuse Detection Model): Hệ thống phát xâm nhập cách tìm kiếm hành động tương ứng với kỹ thuật xâm nhập biết đến( dựa dấu hiệu – signatures) điểm dễ bị công hệ thống - Phát bất thường( Anomaly Detection Model): Hệ thống phát xâm nhập cách tìm kiếm hành động khác với hành vi thông thường người dùng hay hệ thống 2.2.4 Sandboxing Sandbox môi trường dùng để chạy phần mềm môi trường nằm kiểm soát chặt chẽ Sandbox có tác dụng cô lập ứng dụng, ngăn chặn phần mềm độc hại để chúng làm hỏng hệ thống máy tính, hay cài cắm độc nhằm ăn cắp thông tin Sandbox giúp hạn chế chức đoạn mã, cấp quyền cho đoạn thực số chức định, từ thực can thiệp khác làm nguy hại cho máy tính người dùng 2.2.5 Security Information Event Management (SIEM) - Security event management (SEM): Thu thập event log data thành phần ( thiết bị, ứng dụng) hệ thống tạo Sau tập trung hóa việc lưu trữ xử lí, phân tích kiện lập báo cáo, đưa thông báo, cảnh báo liên quan đến an ninh hệ thống - Security information management(SIM): Thông tin lưu trữ từ SIM, sử dụng để báo cáo liệu đăng nhập cho thời gian định 2.2.6 Web Gateway Web Gateway lọc chặn virus, Spyware, Phishing, trước chúng thâm nhập vào hệ thống, ngăn chặn nguy liệu, tự động bảo vệ chống lại mối đe dọa người dùng truy cập Internet Bằng cách kết hợp với điều khiển ứng dụng, quét phần mềm độc hại, kiểm tra web reputation theo thời gian thực, lọc URL, phát chống botnet 2.2.7 Mail Gateway Mail Gateway tích hợp khả phòng chống thư rác nhiều lớp chống lừa đảo (anti-phishing) sử dụng lọc độc phần mềm gián điệp Khả lọc nội dung (content filtering) Mail Gateway giúp tổ chức dễ dàng thiết đặt sách kiểm soát việc tuân thủ CNTT người dùng ngăn chặn rò rỉ liệu 2.2.8 Big data (Dữ liệu lớn) Trong năm gần xu công ransomware ngày tinh vi.Bênh cạnh với xuất thêm nhiều biến thể chúng khiến cho công nghệ tường lửa, hệ thống SIEM, hệ thống phát ngăn chặn xâm nhập gặp khó khăn trình phát cảnh báo ransomware Chính xuất Big Data 14 (Dữ liệu lớn) xu tất yếu, việc kết hợp Big Data với giải pháp bảo mật có trước mở hướng tiếp cận việc nghiên cứu phát triển giải pháp đảm bảo an toàn thông tin nói chung phát độc ransomware nói riêng 2.2.9 Giải pháp hãng bảo mật Giải pháp ZOMBIE ZERO: ZombieZERO thu thập file liệu đến máy tính người dùng qua phương thức khác web, email Các bước phân tích môi trường sandbox từ file thu thập giúp ZombieZERO chủ động phát ransomware Tại phía người dùng, thành phần Agent có chế giám sát tương tự nhằm phát ngăn chặn từ độc chưa phát tán Mẫu ransomware phát đồng thời chia sẻ với máy tính khác giúp ngăn ngừa nguy lây nhiễm toàn hệ thống mạng ZombieZERO có khả phát ransomware bắt đầu thực hành vi, từ chủ động ngăn chặn cách ly ransomware nhiều dạng thức biến thể khác ZombieZERO có khả phân biệt tập tin thông thường tập tin nghi ngờ chứa độc thông qua việc giám sát API có cách thức đối phó hiệu với ransomware Sử dụng ZombieZERO giúp ngăn chặn hiệu ransomware loại độc khác công vào hệ thống liệu Phần mềm Trend Micro Antivirus+ Một số tính cụ thể Trend Micro Antivirus+ trước độc ransomware: - cung cấp bảo vệ vững trước độc ransomware khoá hình (screenlocker ransomware) hóa liệu (crypto-ransomware) với chiến lược an ninh đa tầng lớp Nếu ransomware quen thuộc dạng biến thể, chế độ quét theo thời gian thực (real-time scan) Trend Micro Antivirus+ phát ngăn chặn chúng tự động tải hay cài đặt - Ngăn chặn độc screen-locker ransomware: Nếu screen-locker ransomware lạ, Trend Micro Antivirus+ tìm cách ngăn chặn hành vi cài đặt đáng ngờ, sau tự động xóa ransomware thâm nhập - Ngăn chặn độc crypto-ransomware: Nếu độc crypto-ransomware lạ, Trend Micro Antivirus+ lưu đối tượng tập tin tức khắc, trình hoá bắt đầu, chặn trình hóa cảnh báo đến người dùng đồng thời phục hồi tập tin chưa bị nhiễm virus vị trí ban đầu Kaspersky anti-ransomware: Tính phần mềm Kaspersky Anti-Ransomware • Bảo vệ máy tính khỏi ransomware cryptomalware • Làm việc với phần mềm bảo mật khác – người dùng không cần cài phần mềm bảo mật Kaspersky Lab để sử dụng công cụ Kaspersky Anti-Ransomware • Cung cấp giải pháp kỹ thuật để bảo vệ thông tin CMC CRYPTOSHIELD: Một số tính đặc biệt CMC CryptoShield: - Bảo vệ hệ thống thông báo mối nguy tiềm ẩn người dùng bị Ransomware công Tự động lưu bảo vệ liệu lưu phát có dấu hiệu công Khôi phục đến 99% liệu lưu 15 Hỗ trợ tất biến thể phổ biến Ransomware CTB Locker, Crusis, CryptXXX, Locky, Cerber, Zerber, - Tự động cập nhật, kịp thời phát biến thể độc - Khả kiểm soát phát hoạt động liên quan tới Ransomware cách nhanh chóng xác 2.3 Chính sách 2.3.1 Chính sách an toàn thông tin Các quan, tổ chức phải có sách ngăn chặn cố liên quan đến độc Chính sách cần rõ ràng, cho phép khả thực cách quán hiệu Các sách phòng chống độc nên tổng quát tốt để cung cấp linh hoạt việc thực hiện, bên cạnh làm giảm việc phải cập nhật sách thường xuyên Hiện có nhiều quan, tổ chức có sách xử lý độc riêng biệt, nhiên số quan, tổ chức có sách phòng chống độc trùng lặp với sách khác 2.3.2 Chính sách quản lý rủi ro Trên sách tổ chức cá nhân cần thực nghiêm túc để hạn chế tối đa phát tán độc ransomware Tuy nhiên, thực tế, việc áp dụng sách an toàn thông tin sách liên quan đến đào tạo nâng cao nhận thức cá nhân tổ chức cá nhân cần thực sách lưu phục hồi liệu đặn 2.3.3 Chính sách Backup hóa liệu Backup liệu không để phòng chống loại độc phá hủy, xóa, “bắt cóc” liệu (ransomware) để phòng chống nguy liệu nói chung thiên tai, thảm họa Kết luận chương Những kết chương sau: - Trình bày tổng quan giải pháp công nghệ để phòng độc tống tiền ransomware Để giảm thiểu tối đa nguy hiểm mức độ thiệt hại độc tống tiền ransomware tổ chức cá nhân cần phải thực áp dụng phương diện: công nghệ, người sách - Mô tả số giải pháp công nghệ áp dụng việc phòng chống phát độc tống tiền ransomware Việc áp dụng số giải pháp công nghệ cho thấy: để phòng chống công ransomware sử dụng giải pháp, kỹ thuật công nghệ phải áp dụng triển khai đồng nhiều giải pháp với nhiều pha phải thực Giải pháp bổ xung loại bỏ nhược điểm cho giải pháp - Trình bày yếu tố người sách an toàn thông tin việc phòng chống độc tống tiền ransomware Con người mắt xích yếu hệ thống đảm bảo an toàn thông tin Chính vậy, để tránh công độc ransomware cần phải đào tạo nâng cao đạo đức an toàn thông tin cho cá nhân tổ chức - 16 CHƯƠNG THỰC NGHIỆM ĐÁNH GIÁ 3.1 Giới thiệu công cụ hỗ trợ thực nghiệm VMware Workstation 10: Máy tính nạn nhân xử dụng hệ điều hành Window độc ransomware có tên Spora ransomware Mẫu ransomware tải từ trang chủ: https://www.hybrid-analysis.com/faq Đặc điểm độc sau: Spora xuất từ tháng 01/2017, mối đe dọa lớn thể loại ransomware Một số ransomware thực việc hóa offline, sử dụng khóa công khai RSA hard-code độc cho tất nạn nhân Nhược điểm phương pháp kẻ công công cụ giải cho nạn nhân có tác dụng nạn nhận khác nữa, tất có khóa riêng tư Những kẻ đứng sau Spora giải vấn đề độc chứa khóa công khai RSA hard-code, nhiên khóa sử dụng để hóa khóa AES riêng tạo khác cho nạn nhân Khóa AES sau sử dụng để hóa khóa riêng tư cặp khóa RSA tạo riêng cho nạn nhân Sau cùng, khóa RSA công khai nạn nhân sử dụng để hóa khóa AES – hóa tập tin cá nhân Nói cách khác, kẻ đứng sau Spora thêm vòng hóa AES RSA thứ hai so với độc tống tiền khác tính tới thời điểm Khi muốn trả tiền chuộc, nạn nhân phải tải lên khóa AES bị hóa lên trang web toán hacker Những kẻ công sau sử dụng khóa riêng tư RSA để giải trả cho nạn nhân – gần đóng gói giải Bộ giải sử dụng khoá AES để giải khóa RSA nạn nhân khóa sử dụng để giải khóa AES cần thiết để khôi phục tập tin Ngoài ra, Spora có số đặc điểm riêng khác hacker áp dụng hệ thống cho phép đòi khoản tiền chuộc khác cho đối tượng nạn nhân khác Tính đến tại, Spora phát file đính kèm giả mạo hóa đơn toán từ phần mềm toán phổ biến Nga quốc gia nói tiếng Nga Các file đính kèm có dạng HTA (ứng dụng HTML) chứa đoạn JavaScript độc hại 3.2 Thực nghiệm công Bước 1: Kẻ công lấy mẫu Spora ransomware phiên Chrome Font v2.93.exe địa chỉ: https://www.hybridanalysis.com/sample/f28380142eb5dbd4e7488f2d289883799c965f4bb082000998159cf549 3f8442?environmentId=100 Bước 2: Phát tán độc cách phát tán mail giả mạo quan VnCert (Trung tâm ứng cứu khẩn cấp máy tình Việt Nam) với nội dung cảnh báo độc WanaCry kèm liên kết yêu cầu cài đặt phần mềm Antiwanacry (link cài đặt dẫn đến googdriver để tải): https://drive.google.com/file/d/0Bz0jEfX2lVRlZ0VWdMVTBLMlU/view Bước 3: Nạn nhân tải file cài đặt 17 Hình 3.5.Nạn nhân truy cập vào liên kết để tải tập tin Hình 3.6 File AntiWanaCry tải máy nạn nhân Trước bị công, máy tính nạn nhân hoạt động bình thường thực thao tác mở tài liệu: Hình 3.7 Giao diện máy tính nạn nhân trước bị công 18 Tiếp theo nạn nhân click vào file File AntiWanaCry hình Nạn nhân chạy file cài đặt máy tính xuất cửa sổ cmd thông báo mở file html Cửa sổ cmd nhanh (hình 3.8) Hình 3.8 Giao diện máy tính nạn nhân lúc cài đặt Bước 4: Sau cài đặt nạn nhân mở file word thấy nội dung bị hóa Hình 3.9 File liệu bị hóa Bước 5: Sau công xong máy tính nạn nhân hiển thị thông báo đòi tiền chuộc 19 Hình 3.10 Thông báo độc ransomware máy nạn nhân Khởi động lại máy, máy tính tự động mở trình duyệt điều hướng đến trang spora.bz Trang web thị thông báo liệu bị hóa yêu cầu tiền chuộc để mở liệu Hình 3.11 Website đòi tiền chuộc Để chuộc lại toàn liệu yêu cầu 79$ độc cho phép giải tập tin miễn phí Nạn nhân kiểm tra hệ thống thấy xuất số dấu file thực thi đáng nghi Hình 3.12 Xuất file thực thi nghi ngờ máy nạn nhân Kiểm tra file thực thi Website virustotal nhận kết hình 3.13 20 Hình 3.13 Kết kiểm tra file thực thi nghi ngờ virustotal Từ kết cho thấy: máy tính nạn nhân bị công độc Spora Ransomware Biện pháp phòng chống độc Spora Ransomware Kịch thực nghiệm sau: Nạn nhân nhận thư từ người xưng từ VNCERT gửi đến với yêu cầu tải phần mềm AntiWanaCry để phòng chống độc Ransomware Nạn nhân tin tưởng tải Tuy nhiên, máy tính nạn nhân lúc xử dụng công cụ CMC CryptoShield trình tải phần mềm AntiWanaCry không thực Qúa trình thực cụ thể sau: Trong trường hợp bị công, nạn nhân không xử dụng phần mềm diệt virus Chính vậy, cài đặt máy tính nạn nhân bị độc Spora hóa liệu Tuy nhiên, thực nghiệm phòng chống này, xử dụng công cụ CMC CryptoShield Mô tả công cụ trình bày chương Ngay sau click vào lựa chọn tải phần mềm AntiWanaCry xuống phần mềm phát độc CMC CryptoShield phát không cho phép người dùng tải file AntiWanaCry xuống Không thành công Hình 3.14 Nạn nhân không tải phần mềm AntiWanaCry 21 Như vậy, mục đích công độc Spora Ransomware thực Kết luận chương Những kết đạt chương sau: - Tìm hiểu độc tống tiền Spora Ransomware, biến thể độc tống tiền ransomware Qua trình hóa giải độc Spora Ransomware thấy rằng: độc Spora Ransomware biến thể nguy hiểm, tinh vi mạnh mẽ họ ransomware - Thực phát tán độc tống tiền Spora Ransomware thông qua kỹ thuật social engineering Kết thực nghiệm cho thấy, độc Spora Ransomware người dùng khả tự giải mã, tìm kiếm khóa giải từ máy tính Qúa trình hóa liệu truyền khóa tiến hành khép kín nhanh không cho người dùng hội phản ứng phát nghi ngờ - Thực hiện, cài đặt phần mềm nguồn mở CMC CryptoShield để phát phòng chống độc Spora Ransomware Kết cho thấy phần mềm CMC CryptoShield thành công việc phát loại bỏ độc Spora Ransomwa từ ban đầu KẾT LUẬN Những kết luận văn: - - - - Trình bày tổng quan độc nói chung độc ransoware nói riêng bao gồm: khái niệm, phân loại, cách thức phát tán Kết nghiên cứu rằng: công độc nói chung độc tống tiền ransomware kỹ thuật công nguy hiểm biện pháp đối phó ngăn chặn hữu hiệu phát tán công độc Tìm hiểu nguyên tắc hóa, giải mã, phát tán độc ransomware số biến thể Những kết ban đầu cho thấy, công độc ransomware lợi dụng điểm yêu người để phát tán tống tiền Trình bày tổng quan giải pháp công nghệ để phòng độc tống tiền ransomware Để giảm thiểu tối đa nguy hiểm mức độ thiệt hại độc tống tiền ransomware tổ chức cá nhân cần phải thực áp dụng phương diện: công nghệ, người sách Đặc biệt người mắt xích yếu hệ thống đảm bảo an toàn thông tin Chính vậy, để tránh công độc ransomware cần phải đào tạo nâng cao đạo đức an toàn thông tin cho cá nhân tổ chức Trình bày số giải pháp công nghệ áp dụng việc phòng chống phát độc tống tiền ransomware Mỗi biện pháp kỹ thuật có ưu điểm nhược điểm riêng Việc áp dụng số giải pháp công nghệ cho thấy: để phòng chống công ransomware sử dụng giải pháp, kỹ thuật công nghệ phải áp dụng triển khai đồng nhiều giải pháp với nhiều pha phải thực Giải pháp bổ xung loại bỏ nhược 22 - - - điểm cho giải pháp Tìm hiểu độc tống tiền Spora Ransomware, biến thể độc tống tiền ransomware Qua trình hóa giải độc Spora Ransomware thấy rằng: độc Spora Ransomware biến thể nguy hiểm, tinh vi mạnh mẽ họ ransomware Thực phát tán độc tống tiền Spora Ransomware thông qua kỹ thuật social engineering Kết thực nghiệm cho thấy, độc Spora Ransomware người dùng khả tự giải mã, tìm kiếm khóa giải từ máy tính Qúa trình hóa liệu truyền khóa tiến hành khép kín nhanh không cho người dùng hội phản ứng phát nghi ngờ Thực hiện, cài đặt phần mềm nguồn mở CMC CryptoShield để phát phòng chống độc Spora Ransomware Kết cho thấy phần mềm CMC CryptoShield thành công việc phát loại bỏ độc Spora Ransomwa từ ban đầu Hướng phát triển luận văn Trên kết làm luận văn nghiên cứu phát triển theo hướng sau: - Tiếp tục nghiên cứu biến thể độc ransomware biện pháp, kỹ thuật phòng chống độc ransomware Nghiên cứu ứng dụng Bigdata cho việc phát độc ransomware ... mã hóa giải mã mã độc Ransomware 3 • Phạm vi nghiên cứu: Các kỹ thuật, giải pháp, công nghệ phòng chống mã độc Ransoware Phương pháp nghiên cứu 5.1 Phương pháp nghiên cứu tài liệu: - Nghiêncứu... thuật mã hóa giải mã • Nghiên cứu giải pháp công nghệ để phòng chống mã độc Ransomware • Ứng dụng công nghệ để phòng chống mã độc Ransomware Đối tượng phạm vi nghiên cứu • Đối tượng nghiên cứu: ... theo hướng sau: - Tiếp tục nghiên cứu biến thể mã độc ransomware biện pháp, kỹ thuật phòng chống mã độc ransomware Nghiên cứu ứng dụng Bigdata cho việc phát mã độc ransomware

Ngày đăng: 30/10/2017, 15:23

HÌNH ẢNH LIÊN QUAN

Tùy thuộc vào cơ chế, hình thức lây nhiễm và phương pháp phá hoại mà người ta đưa ra nhiều tiêu chí để phân loại mã độ, nhưng 2 tiêu chí được sử dụng nhiều nhất là phân  loại theo hình thức lây nhiễm và theo phân loại của NIST (National Institute of Stand - Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)
y thuộc vào cơ chế, hình thức lây nhiễm và phương pháp phá hoại mà người ta đưa ra nhiều tiêu chí để phân loại mã độ, nhưng 2 tiêu chí được sử dụng nhiều nhất là phân loại theo hình thức lây nhiễm và theo phân loại của NIST (National Institute of Stand (Trang 6)
Hình 2.1: Các phần mềm Antivirus phổ biến hiện nay - Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)
Hình 2.1 Các phần mềm Antivirus phổ biến hiện nay (Trang 13)
Hình 2.2. Mô hình tưởng lửa ngăn chặn hình thức phát tán ransomware - Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)
Hình 2.2. Mô hình tưởng lửa ngăn chặn hình thức phát tán ransomware (Trang 14)
Hình 3.6. File AntiWanaCry được tải về trên máy nạnnhân - Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)
Hình 3.6. File AntiWanaCry được tải về trên máy nạnnhân (Trang 19)
Hình 3.5.Nạn nhân truy cập vào liên kết để tải về tập tin - Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)
Hình 3.5. Nạn nhân truy cập vào liên kết để tải về tập tin (Trang 19)
Hình 3.8. Giao diện máy tính nạnnhân lúc cài đặt - Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)
Hình 3.8. Giao diện máy tính nạnnhân lúc cài đặt (Trang 20)
Tiếp theo nạnnhân click vào file File AntiWanaCry trên màn hình. Nạnnhân chạy file cài đặt trên máy tính xuất hiện cửa sổ cmd và 1 thông báo mở file html - Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)
i ếp theo nạnnhân click vào file File AntiWanaCry trên màn hình. Nạnnhân chạy file cài đặt trên máy tính xuất hiện cửa sổ cmd và 1 thông báo mở file html (Trang 20)
Hình 3.10. Thông báo của mã độc ransomware trên máy nạnnhân - Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)
Hình 3.10. Thông báo của mã độc ransomware trên máy nạnnhân (Trang 21)
Hình 3.11. Website đòi tiền chuộc - Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)
Hình 3.11. Website đòi tiền chuộc (Trang 21)
Hình 3.14. Nạnnhân không tải được phần mềm AntiWanaCry.Không  - Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)
Hình 3.14. Nạnnhân không tải được phần mềm AntiWanaCry.Không (Trang 22)
Hình 3.13. Kết quả kiểm tra file thực thi nghi ngờ trên virustotal - Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)
Hình 3.13. Kết quả kiểm tra file thực thi nghi ngờ trên virustotal (Trang 22)

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w