Cảnh báo: Phần mềm tống tiền

Lâu nay người sử dụng máy tính và smartphone đã rất mệt mỏi với virus máy tính xâm nhập thiết bị của mình, phá hỏng chương trình và dữ liệu. Rồi lại xuất hiện phần mềm gián điệp lén xâm nhập thiết bị để đánh cắp dữ liệu gửi cho bọn tội phạm. Nay lại thêm một dạng tin tặc mới: phần mềm tống tiền (ransomware)!

Ransomware là gì?

Giống như bọn bắt cóc con tin để đòi tiền chuộc, ransomware là phần mềm lén lút xâm nhập thiết bị của bạn (máy tính, máy bảng, điện thoại), mã hóa tất cả các dữ liệu quan trọng trên thiết bị (hình ảnh, tư liệu, bảng tính…) khiến cho bạn không thể truy cập được, đồng thời hiện lên thông báo yêu cầu khổ chủ phải nộp một số tiền cho bọn tội phạm trong thời hạn nhất định nào đó để chúng trả lại dữ liệu, nếu không toàn bộ dữ liệu đó sẽ bị phá hủy!

Ransomware được đặt theo từ tiếng Anh ransom nghĩa là tống tiền, đòi tiền chuộc. Ransomware đầu tiên trên thế giới xuất hiện đã khá lâu, khoảng năm 2005, nhưng sau đó chúng vắng đi trong một thời gian dài. Hiện nay ransomware đang trở lại với những hình thức tinh vi hơn rất nhiều.

Cách thức hoạt động của ransomware

Kiểu tấn công điển hình của các ransomware: các phần mềm hiểm độc được cài vào máy, mã hoá file và sau đó hiển thị một tin nhắn đòi tiền để giải mã dữ liệu.

Ransomware xâm nhập vào máy tính người dùng thông qua các dữ liệu đính kèm từ email, phần mềm tải từ Internet hay chỉ đơn giản là từ các website mà người dùng đã duyệt qua. Nó sẽ tiến hành mã hóa các dữ liệu trên thiết bị của khổ chủ khiến họ không thể sử dụng được nữa và sau đó sẽ hiện lên một thông báo đòi tiền. Điều ghê gớm là giải thuật mã hóa của nó vô cùng phức tạp, khiến cho việc giải mã để cứu dữ liệu hầu như bất khả thi, buộc khổ chủ phải chi tiền ra để đổi lấy chìa khóa giải mã.

Thí dụ, đây là câu thông báo của ransomware có tên là GpCode - trojan: "Xin chào, file của bạn đã bị mã hoá bằng thuật giải RSA-4096. Ít nhất bạn cũng phải mất tới vài năm mới có thể giải mã dữ liệu của mình nếu như không có phần mềm của chúng tôi. Tất cả các dữ liệu cá nhân của bạn trong vòng 3 tháng qua đã bị thu thập và gửi tới cho chúng tôi. Để giải mã các file này, bạn cần phải mua phần mềm của chúng tôi. Giá là 300 USD".

Một thông báo của ransomware: Dữ liệu sẽ bị hủy hoại vào 5:52PM ngày 9/8/2013, yêu cầu nộp tiền chuộc 100 USD. Nếu bấm Next sẽ được… hướng dẫn cách nộp tiền chuộc!

Cảnh báo: Ransomware đang trở lại

Cuối tháng 6/2014, các nhà nghiên cứu của Kaspersky Lab công bố đã phát hiện một loại ransomware mới mà họ đặt tên là Trojan-Ransom.Win32.Onion. Chúng ta hãy gọi tên nó là phần mềm đòi tiền chuộc Củ hành (onion = củ hành). Theo Kaspersky Củ hành là phần mềm đòi tiền chuộc thế hệ mới nhất với kỹ thuật tinh vi hơn rất nhiều so với tiền bối nổi tiếng của nó là CryptoLocker, CryptoDefence. Khi đã thâm nhập vào máy tính, nó mã hóa dữ liệu của khổ chủ và đếm lùi 72 giờ, hết thời hạn đó mà khổ chủ chưa nộp tiền chuộc thì toàn bộ dữ liệu sẽ… chia tay vĩnh viễn.

Củ hành sử dụng một phần mềm mã nguồn mở có tên Tor giúp người dùng kết nối Internet ẩn danh (giấu địa chỉ IP), tránh truy vết, thậm chí có thể vượt tường lửa (phần mềm này có biểu tượng hình củ hành, do đó Kaspersky mới đặt tên cho ransomware là Củ hành). Rất khó để truy tìm dấu vết hung thủ.

Theo Kaspersky, phần mềm đòi tiền chuộc Củ hành đã xuất hiện tại Nga, Ukraina, Kazakhstan, Belarus, Georgia, Đức, Bularia, Thổ Nhĩ Kỳ, UAE và Lybia (chưa thấy tại Việt Nam!).

Đề phòng ransomware thế nào?

Dù phần mềm đòi tiền chuộc củ hành chưa xuất hiện tại Việt Nam, nhưng đề phòng không bao giờ là thừa. Các giải pháp đề nghị như sau:

-      Cẩn thận khi mở các tập tin .exe đính kèm email, mở các tranng web đáng ngờ, download file có xuất xứ không rõ ràng.

-      Thường xuyên sao lưu các tập tin quan trọng. Để chắc chắn, bản sao nên được đặt trên một thiết bị lưu trữ riêng biệt.

-      Cài phần mềm diệt virus.

Thái Thư

LĐĐN - 04/08/2014