Mục lục bài viết
Ransomware là một hướng tấn công mới đem lại hàng triệu USD cho tin tặc, dưới đây là 4 biện pháp bạn có thể sử dụng để tự bảo vệ.
Ransomware là 1 dạng phần mềm độc hại thường được cài vào máy người dùng từ các file đính kèm hay các trang web có chứa mã độc. Khi được khởi động, ransomware sẽ tự tìm kiếm các tập tin (thường là các file văn bản, excel, hình ảnh…) để mã hóa và sau đó yêu cầu người dùng chuyển tiền nếu muốn lấy lại dữ liệu.
Đây là 1 hình thức tấn công đang rất thịnh hành và đem lại nhiều lợi nhuận cho tin tặc. Các tin tặc đang dần chuyển hướng từ ăn cắp thông tin thẻ tín dụng sang sử dụng ransomware để đòi tiền chuộc.
Theo một bản báo cáo của Cyber Threat Alliance, ransomware CryptoWall đã gây thiệt hại khoảng 325 triệu USD từ khi bị phát hiện vào tháng 1/2015. Thiệt hại này bao gồm cả chi phí phục hồi dữ liệu và loại bỏ ransomware. Quá trình này có thể tốn nhiều ngày hoặc vài tuần tùy theo cá nhân/ tổ chức bị nhiễm.
Đối với người dùng thông thường cũng như doanh nghiệp, đừng nghĩ mình luôn an toàn. Hãy tự bảo vệ mình bằng 4 biện pháp sau:
1. Luôn phải thực hiện sao lưu dự phòng
Cách tự bảo vệ tốt nhất khỏi ransomware có lẽ phải đi trước 1 bước. Nghĩa là nếu bạn sao lưu dữ liệu quan trọng mỗi ngày thì bạn sẽ không bị tin tặc đe dọa bằng cách “bắt cóc” dữ liệu. Hiện nay, bạn có rất nhiều lựa chọn để sao lưu dữ liệu của mình.
Tiện lợi nhất có lẽ là các dịch vụ lưu trữ đám mây như Google Drive, Dropbox, OneDrive, … các dịch vụ này có sẵn phần mềm để tự động đồng bộ dữ liệu của bạn ngay khi chúng bị thay đổi. Trong trường hợp các tập tin của bạn bị mã hóa, các dịch vụ này luôn cung cấp sẵn bản sao lưu trước đó cho bạn khôi phục dữ liệu dễ dàng. Tuy nhiên, các dịch vụ này tất nhiên sẽ chiếm 1 phần băng thông mạng của bạn và 1 khoản phí nếu bạn muốn sao lưu nhiều.
Một cách khác là sử dụng hệ thống lưu trữ trong mạng nội bộ để chứa các dữ liệu quan trọng. Cách này có lẽ khả thi hơn ở các doanh nghiệp và các tổ chức vì chi phí đắt đỏ của hệ thống lưu trữ. Tuy nhiên, hệ thống lưu trữ này cũng cần phải được cấu hình đúng cách, vì các ransomware cũng được lập trình để tìm và mã hóa dữ liệu trên các hệ thống này. Các hệ thống cần phải được phân quyền và chia nhóm để hạn chế tối đa thiệt hại nếu 1 nhóm trong hệ thống bị tấn công.
Đối với các cá nhân thì cũng có thể sử dụng ở cứng ngoài để sao lưu dữ liệu quan trọng. Cách này phù hợp với các đối tượng đa nghi, không muốn dữ liệu của mình nằm trên mây, cần sao lưu quá nhiều dữ liệu hoặc quan ngại tính bền vững của các dịch vụ đám mây. Điểm quan trọng của phương thức này là bạn phải nhớ ngắt kết nối thiết bị lưu trữ ngay sau khi sao lưu.
Nếu thiết bị lưu trữ vẫn được kết nối khi ransomware chạy thì khả năng rất cao là nó cũng sẽ bị mã hóa. Ngoài ra, cách này chỉ giúp bảo vệ dữ liệu theo chu kì sao lưu. Các dữ liệu giữa 2 kì sao lưu coi như bị mất nếu ransomware tấn công.
2. Nói không với email và đường dẫn đáng ngờ
Một trong các phương thức lan truyền của ransomware là thông qua các email có nội dung lừa người dùng tải về các file chứa mã độc hoặc vào các trang web có mã độc. Một phương thức cao cấp hơn mà tin tặc đã khai thác thành công là tấn công vào các công ty quảng cáo online và biến các nội dung quảng cáo thành nơi lan truyền. Phương thức này vừa gây ảnh hưởng đến New York Times và BBC. Bạn có thể dùng chương trình chặn quảng cáo để chặn các quảng cáo độc hại này.
Tất nhiên, khi nói đến phương thức lan truyền dạng lừa đảo này thì nhận thức người dùng là yếu tố quan trọng nhất. Việc tập huấn cho các nhân viên các nhận biết các email lừa đảo hay thói quen quét virus trước khi mở file là rất cần thiết.
Người đứng đầu của tổ chức cũng có thể gửi các email giả lập tấn công đến nhân viên để họ quen với dạng tấn công này. Theo một báo cáo, nếu việc tập huấn được thực hiện nghiêm túc, tỉ lệ nhân viên click vào các email tấn công này giảm từ 15,9% xuống còn 1,2% ở các tổ chức. Vậy nên việc đào tạo về bảo mật cơ bản cần được quan tâm đúng mức.
3. Cài đặt bản vá lỗi sẽ tăng cơ hội ngăn chặn hiểm họa
Tuy nhiên, việc phòng chống ransomware cũng không thể giao toàn bộ vào tay người dùng. Người dùng sẽ mở tập tin mà họ muốn, vào xem trang mà họ thích mà không cần quan tâm nhiều. Thế nên, bạn nên đảm bảo các biện pháp bảo vệ của bạn để sẵn sàng ứng phó.
Các tổ chức và cá nhân có thể dùng các chương trình bảo mật đầu cuối để bảo vệ hệ thống. Các chương trình này thường được cập nhật các phương thức để phát hiện ransomware hiệu quả nhất. Thậm chí học sâu (deep learning) cũng được áp dụng để phát hiện các loại ransomware chưa từng được nhận diện.
Tuy nhiên, không có phần mềm nào là hoàn hảo, bạn cũng nên cập nhật bản vá cho trình duyệt, hệ điều hành và các chương trình mình sử dụng để giảm thiểu nguy cơ. Thường đối với các trang web, các lỗ hổng của Java và Flash sẽ được nhắm đến, do đó bạn nên cập nhật chúng sớm nhất có thể.
Lập danh sách các ứng dụng an toàn cũng là 1 cách hay để bảo vệ hệ thống của các tổ chức. Người quản trị hệ thống có thể đưa ra danh sách các ứng dụng an toàn và cài đặt để hệ thống ngăn chặn các phần mềm không có trong danh sách.
Hơn thế nữa, quản trị viên cũng có thể thiết lập phân quyền để yêu cầu người dùng sử dụng mật khẩu quản trị để truy cập các dữ liệu quan trọng. Nếu tổ chức của bạn đủ lớn, việc có hệ thống dự phòng và phân vùng các hệ thống này cũng làm khó tin tặc trong việc xác định vị trí cần mã hóa.
4. Khi đã bị tấn công, hãy lập tức ngắt kết nối mạng
Khi bị tấn công, đã quá trễ để bạn tự bảo vệ mình. Nhưng hãy bảo vệ người khác bằng cách ngắt các kết nối mạng để phòng ngừa lây lan. Tiếp đến bạn có thể tìm đến các phần mền diệt ransomware. Nếu may mắn hơn, ransomware bạn bị nhiễm có thể đã có cách giải mã dữ liệu bị tấn công mà không cần trả tiền chuộc cho tin tặc.
Tóm lại, nếu bạn đã bị tấn công, đồng thời bạn không sao lưu dữ liệu của mình và tin tặc dùng 1 biện pháp mã hóa chưa có cách giải, thì giải pháp tốt nhất của bạn có lẽ là phải trả số tiền đó cho tin tặc. Bạn không còn cách nào khác nếu muốn thấy lại dữ liệu quý giá của mình. Hãy xem đó là 1 bài học đắt giá và áp dụng ngay 4 phương thưc trên để tự bảo vệ nhé.