Sự bùng nổ của WannaCry và NotPetya cho thấy rằng phần mềm độc hại đang là mối đe dọa cực kì nguy hiểm trên toàn thế giới. Mối đe dọa này khiến các doanh nghiệp, thậm chí là các Cơ quan y tế quốc gia (Nation Health Service) có nguy cơ phải đóng cửa trên khắp thế giới.
Cách đây 5 năm, phần mềm độc hại nhằm mục đích tống tiền và đào tiền ảo lần đầu tiên tấn công vào máy tính Windows. Và khi người dùng đã nhìn thấy hộp thoại thông báo xuất hiện trên màn hình, có vẻ như đã quá trễ để rút nguồn máy tính để giảm thiểu thiệt hại.
Một hộp thoại xuất hiện trên màn hình máy tính với thông báo rằng các tệp tin trên thiết bị của bạn đã được mã hóa và chỉ có 48 giờ chuyển khoản 500 USD bằng Bitcoin để lấy lại quyền truy cập. Nếu vượt quá thời gian đó, số tiền chuộc sẽ tiếp tục tăng.
Hiện nay, tình hình được cải thiện đáng kể. Người dùng đã có thêm biện pháp xử lý khác ngoài việc sử dụng dữ liệu sao lưu khi bị phần mềm độc hại tấn công. Các phần mềm diệt virus hiện tại đã có thể chặn đứng phần mềm độc hại. Các phần mềm diệt virus sẽ theo dõi phiên bản cập nhật biến thể mới nhất và chặn đứng chúng trước khi xâm nhập hoặc xóa những tệp tin đã bị lây nhiễm trong máy tính người dùng. Chưa kể muốn sử dụng lại dữ liệu sao lưu, người dùng còn phải chắc chắn rằng dữ liệu không bị lây nhiễm mã độc.
Thông thường, tin tặc sẽ cài đặt phần mềm độc hại để mã hóa dữ liệu của người dùng dưới 2 hình thức:
- Tin tặc tống tiền người dùng bằng việc chiếm quyền truy cập vào thiết bị qua hình thức mã hóa màn hình máy tính.
- Tin tặc tống tiền người dùng bằng việc chiếm giữ dữ liệu cá nhân quan trọng qua hình thức mã hóa tệp tin.
Tổng quan về các công cụ chống phần mềm độc hại mã hóa dữ liệu
Công cụ chống phần mềm độc hại mã hóa dữ liệu bao gồm ba loại, mỗi loại sẽ mang tính năng hỗ trợ khác nhau cho người dùng.
Đầu tiên, công cụ chống phần mềm độc hại ở dạng hỗ trợ người dùng quét và làm sạch hệ thống máy tính. Công cụ này sẽ giúp bạn đảm bảo hệ thống được an toàn sau khi phục hồi dữ liệu từ cuộc tấn công của tin tặc. Tính năng này hiện tại đã được tích hợp vào phần mềm diệt virus phiên bản mới như Trend Micro Security 15.
Loại thứ hai sẽ giúp giải mã một số phần mềm độc hại mã hóa cụ thể xuất phát từ các chiến dịch lớn của tin tặc. Hình thức này rất hạn chế vì còn tùy thuộc vào kết quả nghiên cứu từ các chuyên gia bảo mật và dữ liệu thu thập được qua các cuộc tấn công. Ngày càng có nhiều tập đoàn bảo mật lên kế hoạch hợp tác để tạo ra công cụ giải mã phần mềm độc hại miễn phí, trong đó McAfee đã phát hành chương trình No More Ransom. Đây là bước đột phá trong việc tìm ra phương pháp giải mã các biến thể của virus tống tiền. Từ chương trình này, các chuyên gia có thể nhanh chóng tìm ra phương án giải mã phần mềm độc hại đang mã hóa thiết bị.
Loại thứ ba là những chương trình có khả năng đánh chặn các phần mềm độc hại trước khi nó xâm nhập vào thiết bị. Chương trình này sẽ phân tích hoạt động đang diễn ra trên thiết bị để phát hiện các mối đe dọa và ngăn chặn chúng.
Ngoài ra, các doanh nghiệp và người dùng cá nhân thường hay sử dụng một biện pháp để loại bỏ phần mềm độc hại đó là Cài lại Windows. Tuy nhiên, đây là biện pháp cực kì tốn thời gian và không thuận tiện vì dữ liệu lưu trữ dễ bị xóa sạch.
Các chuyên gia cũng không thể kiểm tra được mức độ hiệu quả chính xác của những công cụ trên. Việc kiểm tra mức độ hiệu quả của các công cụ trên cũng cực kì khó khăn vì mỗi loại phần mềm độc hại mã hóa thiết bị của người dùng đều có đặc trưng riêng.
Lưu ý: Trước khi người dùng muốn trả tiền cho tin tặc, hãy suy nghĩ kỹ và để ý đến các thông tin liên quan trong bảng chọn, bao gồm địa chỉ email, URL hoặc địa chỉ kết nối mạng TOR, điều này sẽ giúp người dùng (hoặc các nhà nghiên cứu) giải mã phần mềm độc hại này.
Công cụ khôi phục dữ liệu bị virus mã hóa màn hình truy cập của Trend Micro
Công cụ này của Trend Micro được thiết kế để phát hiện và loại bỏ các phần mềm độc hại tấn công, mã hóa thiết bị của người dùng bằng phương pháp “khóa màn hình truy cập”. Nạn nhân sẽ phải trả tiền để có thể lấy lại quyền truy cập vào thiết bị của mình.
Trend Micro đưa ra hai tình huống mà công cụ này sẽ hoạt động hiệu quả: trường hợp “chế độ thông thường” bị khóa nhưng “chế độ an toàn” vẫn hoạt động và trường hợp cả hai chế độ đều bị tin tặc khống chế.
Trong kịch bản đầu tiên, người dùng được yêu cầu phải cài đặt phần mềm bằng cách sử dụng tổ hợp phím tắt sau khi khởi động máy tính bằng chế độ an toàn. Màn hình sẽ hiển thị hộp thoại để người dùng có thể quét và làm sạch thiết bị.
Trong kịch bản thứ hai, Trend Micro sử dụng công cụ để gỡ bỏ phần mềm độc hại từ USBsau khi cài đặt bằng một máy tính khác không bị nhiễm mã hóa.
Hiện tại Trend Micro đã phát hành 3 công cụ giải mã giúp người dùng lấy lại quyền truy cập dữ liệu.
Trend Micro đã xây dựng một danh sách các phần mềm độc hại mã hóa màn hình truy cập phổ biến hiện nay với tên gọi Ransomware File Decryptor.
Chúng bao gồm: CryptXXX V1, V2, V3, TeslaCrypt V1, V2, V3, V4 TeslaCrypt V2, SNSLocker, AutoLocky, BadBlock, 777, XORIST, XORBAT và CERBER.
Bạn có thể tham khảo Công cụ giải mã phần mềm độc hại của Trend Micro: https://success.trendmicro.com/solution/1114221-downloading-and-using-the-trend-micro-ransomware-file-decryptor