Change background image
LOVE quotion

Bắt đầu từ 4.53' thứ Hai ngày 17/10/2011


You are not connected. Please login or register

Xem chủ đề cũ hơn Xem chủ đề mới hơn Go down  Thông điệp [Trang 1 trong tổng số 1 trang]

DuyHung
DuyHung Xuất sắc

Cấp bậc: Xuất sắc

Giới tính : Nam

Bài viết : 1260

Danh vọng : 2272

Uy tín : 32

Cảnh báo mã độc đòi tiền chuộc

Mã độc Ransomware đòi tiền chuộc & "thuốc giải" Ransom10

Cảnh giác với link Dịch vụ Giải mã dữ liệu

TTO - Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam VNCert tiếp tục lên tiếng cảnh báo người dùng về mã độc tấn công có khả năng mã hóa dữ liệu, buộc người dùng phải trả tiền mới khôi phục lại được.

VNCert cho biết đã nhận được nhiều thông tin phản ánh về việc lây nhiễm các phiên bản mới của mã độc Ransomware như CTB Locker/Critroni hoặc Onion trong nhiều cơ quan tổ chức tại Việt Nam.

Tống tiền bằng mã độc

Đây là loại mã độc rất nguy hiểm, có thể dẫn đến mất mát dữ liệu lớn trong các cơ quan, tổ chức và cá nhân, đặc biệt khi bị nhiễm mã độc và các tài liệu đã bị mã hóa thì không thể khôi phục dữ liệu. Một số trường hợp có thể thực hiện được nhưng tốn nhiều thời gian và chi phí và không thể khôi phục lại được toàn bộ dữ liệu.

Mã độc Ransomware đòi tiền chuộc & "thuốc giải" Ransom11
Mã độc Ransomware tấn công máy tính người dùng đòi tiền chuộc - Ảnh: VNCert

Phương pháp lây lan chủ yếu của mã độc Ransomware là gửi tập tin nhiễm mã độc kèm theo thư điện tử, khi người sử dụng kích hoạt tập tin đính kèm thư điện tử sẽ làm lây nhiễm mã độc vào máy tính.

Hoặc kẻ tấn công có thể gửi thư điện tử hoặc tin nhắn điện tử có chứa đường dẫn đến phần mềm bị giả mạo bởi mã độc Ransomware và đánh lừa người sử dụng truy cập vào đường dẫn này để vô ý tự cài đặt mã độc lên máy tính.

Ngoài ra máy tính còn có thể bị nhiễm thông qua các con đường khác như lây lan qua các thiết bị lưu trữ, lây qua cài đặt phần mềm, sao chép dữ liệu, phần mềm...

Mã độc Ransomware sau khi lây nhiễm vào máy tính người bị hại sẽ dò quét các tập tin tài liệu có đuôi mở rộng như: .doc, .docx, .pdf, .xls, .xlsx, .jpg, .zip.. trên tất cả các thiết bị lưu trữ trên máy nạn nhân và tự động mã hóa và đổi tên các tập tin đó bằng cách sử dụng thuật toán mã hóa với khóa công khai, một số loại mã độc còn tiến hành khóa máy tính nạn nhân không cho sử dụng.

Sau đó mã độc sẽ yêu cầu người bị hại thanh toán qua mạng (thẻ tín dụng hoặc bitcoin) để lấy được mật khẩu giải mã các tập tin đã bị mã hóa trái phép. VNCert cho biết hiện nay vẫn chưa có phần mềm hoặc dịch vụ thương mại nào cho phép giải mã các tập tin đã bị mã độc Ransomware nếu không lấy được mật khẩu giải mã của tin tặc phát tán mã độc.

Làm gì khi bị nhiễm Ransomeware?

Khi mã độc Ransomware lây nhiễm vào máy tính bị hại, mã độc sẽ tiến hành mã hóa các tập tin dữ liệu, khóa máy tính của người dùng để người dùng không thể can thiệp nhằm tắt tiến trình đang chạy. Do quá trình mã hóa được thực hiện trong thời gian dài nên việc phản ứng nhanh chóng khi phát hiện ra sự cố sẽ giúp giảm thiểu thiệt hại cho các dữ liệu chứa trên máy bị nhiễm. Đồng thời làm giảm bớt sự khó khăn trong công tác khôi phục các dữ liệu bị mã hóa sau đó.

Theo hướng dẫn của VNCert, các máy tính cá nhân khi phát hiện ra dấu hiệu bị lây nhiễm mã độc Ransomware cần phải nhanh chóng thực hiện các thao tác sau:

- Nhanh chóng tắt máy tính (tắt nguồn điện, không sử dụng chức năng shutdown của hệ điều hành).
- Mặc dù không có khả năng giải mã các tập tin đã bị mã độc mã hóa nhưng trong một số trường hợp có thể sử dụng các phần mềm khôi phục dữ liệu (FTK, EaseUs, R-STUDIO) để khôi phục các tập tin nguyên bản đã bị xóa. Do vậy, nếu không có kinh nghiệm xử lý sự cố này cần yêu cầu sự hỗ trợ sớm của các chuyên gia an toàn thông tin để giảm thiểu các thiệt hại khi xảy ra sự cố.
- Phải sử dụng khởi động từ hệ thống sạch khi thực hiện sao lưu các dữ liệu chưa bị mã hóa.
- Cài đặt lại toàn bộ hệ thống, cài phần mềm diệt virus cập nhật phiên bản mới nhất và tiến hành quét toàn bộ dữ liệu trên máy tính trước khi sao chép lại các dữ liệu vào máy tính.

Phòng ngừa khả năng bị nhiễm Ransomeware

VNCert khuyến cáo người dùng nên thường xuyên cập nhật bản vá, phiên bản mới nhất cho hệ điều hành và phần mềm chống mã độc (Kaspersky, Synmatec, Avast, AVG, MSE, Bkav, CMC..).

Các cơ quan, tổ chức sử dụng các phiên bản phần mềm phòng chống mã độc có chức năng đảm bảo an toàn khi truy cập mạng Internet và phát hiện mã độc trực tuyến. Đồng thời nên thường xuyên sử dụng phần mềm diệt mã độc, virus kiểm tra máy tính, ổ lưu trữ để phát hiện sớm nếu xuất hiện mã độc trên thiết bị.

Người dùng cần chú ý cảnh giác với các tập tin đính kèm, các đường dẫn (link) được gửi đến qua thư điện tử hoặc tin nhắn, hạn chế tối đa việc truy cập vào các đường dẫn này vì tin tặc có thể đánh cắp hoặc giả mạo hòm thư điện tử người gửi phát tán các kết nối chứa mã độc.

Đặc biệt nên dùng phần mềm diệt virus kiểm tra các tập tin được gửi qua thư điện tử, tải từ trên mạng về trước khi kích hoạt. Nếu không cần thiết hoặc không rõ nguồn gốc thì không kích hoạt các tập tin này. Bên cạnh đó người dùng cũng nên tắt chế độ tự động mở, chạy các tập tin đính kèm theo thư điện tử.

Ngoài ra, người dùng cũng nên tiến hành sao lưu định kỳ dữ liệu thường xuyên để có thể khôi phục dữ liệu khi máy tính bị Ransomware gây hại.

ĐỨC THIỆN
      
DuyHung
DuyHung Xuất sắc

Cấp bậc: Xuất sắc

Giới tính : Nam

Bài viết : 1260

Danh vọng : 2272

Uy tín : 32

Công cụ giải mã ransomware CoinVaultBitcrytor miễn phí

Mã độc Ransomware đòi tiền chuộc & "thuốc giải" Coinva10

securitydaily.net - Giờ bạn đã có thể khôi phục lại file bị mã độc CoinVault và Bitcrytor mã hóa – hoàn toàn miễn phí nhờ nỗ lực của cảnh sát Hà Lan và công ty diệt virus Kaspersky Lab.

Các nhà nghiên cứu Kaspersky Lab và cảnh sát Hà Lan đã lấy được và công bố tập hợp khóa mã hóa mới nhất từ máy chủ điều khiển của hai mối đe dọa nổi tiếng CoinVaultBitcryptor.

CoinVault là một loại ransomware lần đầu tiên được phát hiện vào tháng 5 năm 2014 và hiện có hơn 1500 nạn nhân trên 108 quốc gia. Vào tháng 4 năm 2015, cảnh sát Hà Lan cũng đã lấy được khóa giải mã từ cơ sở dữ liệu một máy chủ CoinVault.

Ransomware Decryption Tool

Tất cả khóa giải mã đều được Kaspersky Lab sử dụng để tạo nên dịch vụ giải mã Ransomware – bao gồm 750 khóa giải mã. Sau vụ bắt giữ máy chủ, tác giả của CoinVault hầu như không cập nhật mã độc. Chúng đã nâng cấp lên một phiên bản khác có tên Bitcryptor. Tuy nhiên, cảnh sát Hà Lan lại tiếp tục bắt giữ hai người có liên quan đến các vụ tấn công và thu giữ thêm 14,031 khóa giải mã.
Mã độc Ransomware đòi tiền chuộc & "thuốc giải" Kasper10

HƯỚNG DẪN giải mã Ransomware CoinVault và Bitcryptor :


  1. Ghi lại địa chỉ ví tiền Bitcoin mà malware nhắc tới.
  2. Lấy danh sách file bị mã hóa trong giao diện của malware.
  3. Tải về phần mềm diệt virus để loại bỏ hoàn toàn malware.
  4. Truy cập https://noransom.kaspersky.com và tải công cụ giải mã của Kaspersky.
  5. Cài đặt thêm thư viện và giải mã file của bạn.


Ransomware dần trở thành một trong những mối đe dọa người dùng Internet lớn nhất hiện nay. Ransomware  truy cập vào máy tính của người dùng và sử dụng mã độc để mã hóa hoàn toàn dữ liệu với thuật toán mã hóa mạnh, rồi sau đó đòi một khoản tiền chuộc (dưới dạng Bitcoin) khoảng 200 USD đến 10,000 USD. Tin tặc sở hữu CryptoWall ransomware đã thu về hơn 325 triệu USD trong chỉ một năm.

Vậy làm thế nào để chống lại các cuộc tấn công Ransomware?  Chỉ một vài ngày trước, chính giám đốc cơ quan điều tra liên bang FBI nói rằng chẳng có cách nào khác ngoài trả tiền cho tin tặc để lấy lại dữ liệu của bạn. Tuy nhiên, biện pháp phòng thủ hiệu quả nhất là luôn luôn sao lưu dữ liệu quan trọng trong một ổ cứng ngoài có thể ngắt kết nối và ngoài tầm kiểm soát của tin tặc.

Một trong những điều bạn cần nhớ để phòng tránh máy tính bị lây nhiễm malware là:


  • Đảm bảo phần mềm hệ thống và phần mềm diệt virus luôn được cập nhật.
  • Tránh truy cập các trang web đáng ngờ.
  • Tránh mở email và các file đính kèm từ nguồn không rõ ràng.


THN

      
Prosperity
Prosperity Tích cực

Cấp bậc: Tích cực

Giới tính : Nam

Bài viết : 466

Danh vọng : 822

Uy tín : 0

Mã độc Ransomware đòi tiền chuộc & "thuốc giải" Security_big_hack_spiceworks_report
Nhận dạng Ransomware - kẻ tống tiền trên không gian mạng

(PCWorldVN) Mã độc tống tiền không mới nhưng đang trỗi dậy và có xu hướng ngày càng gia tăng hết sức nguy hiểm.

Spiceworks, công ty chuyên về giải pháp quản lý hệ thống cho doanh nghiệp, có kết nối với hàng nghìn hãng công nghệ nổi tiếng và hàng triệu chuyên gia IT trên khắp thế giới, mới phát hành bản nghiên cứu với tựa đề “Battling the Big Hack”. Báo cáo chỉ ra rằng 80% tổ chức gặp sự cố bảo mật IT trong năm 2015, với 53% số tổ chức được hỏi cho biết ransomware là mối bận tâm của họ trong năm 2016 này.

Ransomware là dạng mã độc sau khi xâm nhập máy tính nạn nhân sẽ khóa máy hoặc mã hóa dữ liệu rồi đòi tiền chuộc. Đáng ngại là xu hướng này ngày càng gia tăng, đặt người dùng máy tính đối mặt với nguy cơ mất sạch dữ liệu vì việc giải mã gần như là không thể.

Quá trình hình thành và phát triển

Ba thập kỷ trước, vào năm 1986, hai anh em Basit và Amjad Farooq Alvi người Pakistan đã nghĩ ra cách thức khẳng định quyền sở hữu trí tuệ của một phần mềm do họ viết ra bằng cách chèn vào một đoạn mã virus, gọi là “Brain”. Người dùng khi chạy phần mềm này được sao chép bất hợp pháp sẽ thấy thông báo đặc biệt “ransom”, cảnh báo họ đã vi phạm bản quyền phần mềm và hướng dẫn liên hệ với tác giả.

Mã độc Ransomware đòi tiền chuộc & "thuốc giải" Ransomware-thong-bao
Một thông báo giả mạo nhà chức trách đòi nạn nhân ransomware nộp phạt.

Tới năm 1989, những kẻ tà tâm nhận ra rằng có thể lợi dụng loại virus này cho những mục đích gây hại. Ransomware đầu tiên, được biết đến với cái tên PC Cyborg/AIDS, đã ra đời và được phân phối qua đĩa mềm gán nhãn “AIDS Information Introductory Diskette”, giới thiệu về bệnh AIDS. Người dùng khi nhận được đĩa này, sau 90 lần sử dụng sẽ kích hoạt mã độc AIDS hoạt động. AIDS ẩn các thư mục và mã hóa tên của các tập tin trên ổ đĩa C, sau đó yêu cầu nạn nhân muốn lấy lại dữ liệu phải chuyển 189 USD cho một tổ chức mang tên PC Cyborg có hộp thư bưu điện ở Panama.

Khoảng thời gian 1989 – 2006 là giai đoạn tạm lắng của ransomware. Đến năm 2006, xuất hiện một số ransomware, như GPCode, bắt đầu dùng thuật toán mã hóa RSA phức tạp hơn, dùng cặp khóa công khai (public key) và bí mật (private key) với độ dài khóa ngày càng tăng. Gpcode.AG được phát hiện vào tháng 6/2006 sử dụng khóa RSA 660-bit. Tháng 6/2008, một biến thể khác mang tên Gpcode.AK đã sử dụng khóa RSA có độ dài tới 1024-bit, tăng cao độ khó giải mã. Vì thế tin tặc bắt đầu lợi dụng để mã hóa dữ liệu những máy mà chúng xâm nhập được để tống tiền.

Ransomware còn có dạng không mã hóa mà chiếm toàn quyền kiểm soát, khóa máy như WinLock trong năm 2010. Máy tính bị nhiễm WinLock liên tục hiện những hình ảnh khiêu dâm, không cho người dùng truy cập cho đến khi họ buộc phải nhắn tin chuyển tiền (khoảng 10 USD) để nhận mã mở khóa. Reveton lan rộng trong năm 2012 cũng là một ransomware thuộc dạng khóa máy. Phần mềm này hiển thị hình ảnh nhà chức trách cùng lời buộc tội người dùng vi phạm pháp luật (như dùng phần mềm lậu) và yêu cầu nạn nhân nộp một khoản tiền phạt. May mắn là không khó để hóa giải những ransomware khóa máy. Chẳng hạn với WinLock, có thể khởi động máy tính trong chế độ safe mode rồi gỡ bỏ cài đặt và xóa sạch ransomware.

Tội phạm mạng còn sử dụng phần mềm giả dạng chương trình diệt virus, gọi là scareware, để lừa người dùng. Những người nhẹ dạ nhận được cảnh báo virus giả đã tải về scareware theo khuyến cáo của chúng. Kết quả là máy tính trở thành “con tin” và nạn nhân phải trả một khoản tiền theo yêu cầu của những kẻ tấn công để máy trở lại an toàn.

Đến năm 2013, sự xuất hiện của CryptoLocker sử dụng khóa RSA 2048-bit khởi đầu cho ransomware thế hệ mới cực kỳ nguy hiểm. Nạn nhân hầu như không có cách gì để lấy lại quyền truy cập máy hay mở các tập tin đã bị mã hóa.

Mã độc Ransomware đòi tiền chuộc & "thuốc giải" Cryptolocker
CryptoLocker cảnh báo nạn nhân nộp tiền chuộc, nếu không sẽ hủy chìa khóa giải mã.

Tống tiền chuyên nghiệp, diễn ra khắp nơi

Đáng chú ý là đã có sự thay đổi quan trọng đối với phương thức chuyển tiền chuộc. Thay vì bắt nạn nhân trả tiền qua thẻ tín dụng hay một số phương thức thanh toán truyền thống khác, giới tội phạm mạng thời mới tỏ ra ưa thích đồng tiền ảo bitcoin. Cơ chế thanh toán nhanh gọn lại ẩn danh của bitcoin giúp kẻ tống tiền náu mình kỹ hơn, và chúng trở nên hăng hái tống tiền hơn.

2013 là năm hoành hành dữ dội của mã độc tống tiền CryptoLocker. Nó lây lan qua email đính kèm tập tin độc hại, khi nạn nhân mở ra mã độc sẽ kích hoạt với cảnh báo nếu trong vòng 3 ngày nạn nhân không chịu chuyển tiền chuộc (tối thiểu 100 USD) thì chìa khóa giải mã (private key) để trên máy chủ điều khiển malware sẽ bị hủy. Khi đó xem như vô phương giải mã các tập tin trên máy đã bị nhiễm. Tuy nhiên sau thời hạn này, người dùng vẫn có thể chuộc lại dữ liệu của mình từ một dịch vụ trực tuyến do kẻ tống tiền điều hành, nhưng khoản tiền chuộc được đẩy lên rất cao, tới 10 bitcoin (tương đương 2.300 USD vào thời điểm tháng 11/2013).

Cryptowall, một biến thể của CryptoLocker, nổi lên vào cuối năm 2013 đầu 2014, nhắm mục tiêu vào các máy tính chạy Windows. Cryptowall nhanh chóng lây lan trên diện rộng thông qua các quảng cáo độc hại trên những trang web bị nhiễm, khi người dùng nhấp vào sẽ tự động tải về malware từ máy chủ của kẻ tấn công. Phiên bản hiện tại Cryptowall 4.0 có mặt từ năm 2015, đã được cải tiến đáng kể để khai thác nhiều lỗ hổng bảo mật, hoạt động tinh vi vượt qua sự theo dõi của các phần mềm phòng chống malware. Nó mã hóa mọi tập tin quan trọng của người dùng trên máy bị nhiễm, không chỉ nội dung mà cả tên tập tin.

Ransomware thậm chí đang có xu hướng mở rộng ra ngoài nền tảng Windows. Mới đây nhất, vào đầu tháng 3/2016, hãng bảo mật Palo Alto Networks đã phát hiện mã độc KeRanger là ransomware đầu tiên xuất hiện trên hệ điều hành OS X. Sau khi nhiễm vào máy Mac, KeRanger ủ bệnh trong ba ngày, sau đó mã hóa các tập tin rồi yêu cầu nạn nhân chuộc bằng 1 bitcoin (khoảng 400 USD). Hệ điều hành Android cũng không thoát nạn. Hồi cuối tháng 1 vừa qua, các chuyên gia bảo mật Symantec cho biết đã xuất hiện ransomware cực hiểm, mang tên Lockdroid.E, sử dụng kỹ thuật clickjacking để đánh cắp những cú chạm của người dùng, qua đó dành được quyền quản trị thiết bị Android. Mã độc sau đó kích hoạt cửa sổ cảnh báo nhấp nháy liên tục trên màn hình đòi chủ nhân thiết bị phải nộp phạt một khoản tiền mới chịu mở khóa thiết bị.

Các ransomware tống tiền thế hệ mới như CryptoLocker, Cryptowall, CryptoDefense hay KeRanger sử dụng thuật toán mã hóa mạnh RSA 2048-bit nên hầu như không thể phá vỡ. Chúng được thiết kế rất kỳ công, có thể chỉ là đoạn mã nhỏ nhưng khi lây nhiễm sẽ kết nối với máy chủ điều khiển từ xa để tải về mã độc qua mạng ẩn danh TOR nên rất khó phát hiện. Phương thức giao dịch thanh toán bằng bitcoin cũng giúp những kẻ tấn công dễ dàng đạt được mục đích tống tiền mà lại ẩn danh. Điều đáng ngại hơn nữa là ransomware đang được thương mại hóa trên thị trường ngầm của giới tội phạm mạng, dẫn đến nguy cơ bùng phát trên toàn thế giới. Tội phạm mạng không những dễ dàng mua được malware mà còn có thể mua/thuê danh sách địa chỉ email nạn nhân tiềm năng, máy chủ phát tán và điều khiển malware, hạ tầng tài chính để giao dịch thanh toán nhanh chóng.

Mã độc Ransomware đòi tiền chuộc & "thuốc giải" Ransomware-money
Tiền là mục tiêu của một cuộc tấn công ransomware.

Chớ “dại” trả tiền chuộc

Hiểu rõ mối nguy hại mà ransomware đem lại sẽ giúp chúng ta cảnh giác hơn với “bệnh dịch” mới trỗi dậy và đang lan nhanh này. Để chống lại ransomware cũng như các loại malware nói chung, các chuyên gia bảo mật thường khuyên các tổ chức và người dùng cá nhân tích cực chủ động phòng thủ, hạn chế tối đa mọi rủi ro khi bị mã độc thâm nhập vào thiết bị.

Nếu xảy ra rủi ro, bạn trở thành nạn nhân của ransomware thì sao? Thật khó có câu trả lời chung cho mọi trường hợp. Đôi khi vì dữ liệu bị khóa quá quan trọng, trong khi công việc đang đòi hỏi phải gấp rút xử lý, nếu bạn dự tính trả tiền chuộc như là phương án cuối cùng thì cũng nên cân nhắc kỹ càng. Mặc dù nạn nhân ransomware ngày càng khó tự giải thoát cho mình, nhưng có những lý do xác đáng cho thấy bạn chớ “dại” nộp tiền chuộc cho những kẻ tống tiền. Đây không phải là một quyết định dễ dàng, nhưng rõ ràng không thuộc về quyết định bảo mật mà mang tính thị trường. Việc trả tiền chuộc sẽ khích lệ tội phạm tiếp tục tấn công những lần sau. Nhưng nếu không trả tiền, không lấy lại được dữ liệu thì công việc sẽ bị đình trệ, trong khi chờ các chuyên viên CNTT xử lý không biết bao giờ mới giải quyết xong.

Dù sao thì bạn cũng nên lưu ý tới 4 lý do không nên trả tiền chuộc dưới đây.

Một là, trả tiền một lần sẽ có những lần tiếp theo. Khoản tiền chuộc vài trăm USD khi dính ransomware có thể nhỏ đối với một tổ chức, nhưng bạn nên nhớ rằng trả tiền chuộc cũng đồng nghĩa với khuyến khích hành động của những kẻ tấn công. Trong thế giới ngầm của tội phạm mạng, chúng thường trao đổi thông tin với nhau, và ai chịu trả tiền chuộc cho dữ liệu bị bắt cóc làm con tin không phải là bí mật. Vì thế, nạn nhân chấp nhận trả tiền sẽ tiếp tục trở thành đích nhắm của những kẻ tấn công khác. Kẻ đã tấn công cũng có thể trở lại với ý nghĩ nạn nhân đã chịu trả tiền chuộc một lần, sao lại không trả thêm lần nữa?

Hai là, khó tin vào tội phạm. Tin tưởng kể tấn công giữ lời là một điều mạo hiểm. Đây có vẻ là một cuộc mặc cả trao đổi đơn giản: trả tiền để nhận chìa khóa giải mã, nhưng không lấy gì làm đảm bảo những kẻ tống tiền sẽ giữ lời. Thực tế là nhiều nạn nhân đã trả tiền theo yêu cầu nhưng vẫn không thể giải mã các tập tin đã bị mã hóa.

Tất nhiên, danh tiếng rất quan trọng, ngay cả trong thế giới tội phạm. Đó là lý do vì sao có những nhóm tống tiền “uy tín” hơn những nhóm khác. Băng đảng đứng sau CryptoWall nổi danh với dịch vụ hoàn hảo cung cấp cho khách hàng: gia hạn thời gian nộp tiền chuộc, hướng dẫn cụ thể cách thức nộp tiền bằng bitcoin ra sao, và giải mã nhanh chóng các tập tin ngay sau khi nhận được tiền thanh toán. Với các biến thể khác như TeslaCrypt, Reveton, và CTB-Locker thì ít tin cậy hơn. Nhưng, cho dù thực sự tin cậy hay không thì tội phạm vẫn là tội phạm, và không ai có thể biết chắc điều gì sẽ xảy ra. Chỉ biết chắc một điều, trả tiền chuộc không phải là lựa chọn sáng suốt nhất.

Ba là, khoản tiền chuộc lần sau sẽ lớn hơn. Những kẻ tống tiền thường không yêu cầu một khoản tiền chuộc lớn; tiền chuộc trung bình có giá trị khoảng 300 – 1.000 USD. Nhưng gặp nạn nhân yếu bóng vía, chúng có thể tự tin tăng tiền chuộc lên mức cao hơn. Một khi dữ liệu bị “bắt cóc” quá quan trọng đối với nạn nhân thì khó mà hình dung mức tiền chuộc là bao nhiêu.

Trên thực tế đã có những tổ chức phải tốn hàng chục nghìn USD để lấy lại dữ liệu của mình. Trung tâm y tế Hollywood Presbyterian (Mỹ) mới đây đã phải trả 17.000 USD để phục hồi quyền truy cập vào hệ thống hồ sơ y tế điện tử của mình. Đó chỉ là khoản tiền “muỗi” so với khả năng có thể mất tới 533.911 USD doanh thu trong khi chờ bộ phận CNTT tìm cách khôi phục lại dữ liệu và bệnh nhân thì chuyển sang các bệnh viện khác. Nhưng lần sau kẻ tống tiền sẽ nâng lên 20.000 hay 50.000 USD cũng chưa biết chừng. Đó đơn giản là bài toán kinh tế, người bán ra giá dựa trên khả năng chấp nhận chi trả của người mua. Nếu nạn nhân từ chối trả tiền, những kẻ tấn công không có lý do để tăng tiền chuộc.

Bốn là, đừng “nối giáo cho giặc”. Hãy nghĩ về lâu dài. Việc trả tiền chuộc giúp tổ chức lấy lại dữ liệu, nhưng khoản tiền đó sẽ được dùng để tài trợ cho những hoạt động phạm pháp khác. Những kẻ tấn công có thêm kinh phí để ngiên cứu, phát triển các phiên bản ransomware cao cấp hơn và tạo ra phương thức lây nhiễm phức tạp khó đối phó hơn. Nhiều băng đảng tội phạm mạng hoạt động như những công ty hợp pháp, với nhiều luồng tiền doanh thu và các dòng sản phẩm khác nhau. Tiền thu về từ malware tống tiền có thể được sử dụng để tài trợ cho các chiến dịch tấn công khác trên mạng. Và như vậy, chấp nhận trả tiền chuộc chẳng khác gì đồng lõa với kẻ tội phạm.

Dĩ nhiên, cũng có lý do thuyết phục trong việc trả tiền chuộc. Đó là nạn nhân quá cần dữ liệu và không còn lựa chọn nào khác. Dù sao, nếu một tổ chức không ý thức được tầm quan trọng của việc sao lưu dữ liệu thì thiệt hại xem như cầm chắc, và việc cân nhắc lựa chọn trả tiền chuộc hay không trở nên vô nghĩa. Trên thực tế, nhiều nạn nhân quyết định trả tiền chuộc vì sợ kẻ tấn công sẽ gây thiệt hại nặng hơn để “dằn mặt” nếu chúng không nhận được tiền.

Không hiếm tổ chức chịu trả tiền chuộc. Trong một nghiên cứu mới đây của BitDefender, một nửa số nạn nhân của ransomware cho biết họ đã trả tiền, và hai phần ba những người được hỏi trả lời rằng họ sẽ trả tiền nếu bị rơi vào tình huống đó. Theo ước tính, mã độc tống tiền CryptoWall đã khiến các nạn nhân thiệt hại tổng số tiền lên tới 325 triệu USD kể từ tháng 7/2014.

Đối phó ra sao với ransomware

Để đề phòng thảm họa mất dữ liệu có thể xảy ra bất cứ lúc nào, cũng như chống lại nạn mã độc tống tiền, mỗi tổ chức, cá nhân cần có chiến lược tổng thể với những giải pháp phù hợp cho mọi nền tảng Windows,  Linux, hay Mac OS X và cả các thiết bị di động.

Theo các chuyên gia bảo mật, những việc cần làm là: Cài đặt phần mềm phòng chống mã độc; định kỳ sao lưu (backup) những dữ liệu quan trọng và để riêng ra trên thiết bị không nối mạng; các phần mềm sử dụng trên thiết bị phải được cập nhật thường xuyên; thực thi chính sách bảo mật; hạn chế truy cập vào các trang web lạ, không nhấp vào các đường link hay mở tập tin đính kèm email không mong chờ; không dùng phần mềm bẻ khóa; và điều không thể thiếu là huấn luyện nhân viên để họ có kiến thức và luôn ý thức trong việc phòng chống mã độc. 

Kỳ Hà - PC World VN, 04/2016
      
North
North Tích cực

Cấp bậc: Tích cực

Giới tính : Nam

Bài viết : 493

Danh vọng : 974

Uy tín : 3

Bị Kaspersky "bóc mẽ", mã độc tống tiền nguy hiểm ngay lập tức nâng cấp

Cách duy nhất nạn nhân có thể làm là trả tiền chuộc để đổi lấy dữ liệu của mình

Khác với những loại ransomware "truyền thống" khi chỉ mã hóa dữ liệu đòi tiền chuộc từ nạn nhân để giải mã dữ liệu, các loại mã độc tống tiền "phiên bản mới" đang dần chuyển sang xu hướng đánh cắp thông tin cá nhân và tài khoản thanh toán của người dùng. CryptXXX – loại ransomware vừa được phát hiện vào tháng 3/2016 là điển hình của phương thức tấn công nguy hiểm này.

Núp bóng dưới dạng những tệp tin DLL tải về từ Internet, CryptXXX khôn ngoan nằm chờ một thời gian nhất định (khoảng 1 giờ đồng hồ) trước khi thực thi để tránh bị các công cụ diệt virus tiêu diệt. Sau khi lây nhiễm thành công, CryptXXX mã hóa dữ liệu trên thiết bị, thay đổi màn hình nền của người dùng cùng thông tin đòi tiền chuộc (1.2 Bitcoin ~ 455 USD).

Mã độc Ransomware đòi tiền chuộc & "thuốc giải" Bi-kaspersky-boc-me-ma-doc-tong-tien-nguy-hiem-ngay-lap-tuc-nang-cap
CryptXXX 1.0 từng bị Kaspersky giải mã

Không lâu sau đó, Kaspersky đã tìm ra được điểm yếu của CryptXXX và tạo ra bộ công cụ giải mã RannohDecryptor có khả năng phân tích/bẻ khóa mã độc ngay trên máy tính đã bị lây nhiễm. Tuy nhiên, nhóm tin tặc đứng sau CryptXXX đã nhanh chóng "nâng cấp" mã độc này lên phiên bản CryptXXX 2.0 mà Kaspersky cũng phải bó tay.

Giờ đây, máy tính bị lây nhiễm CryptXXX 2.0 sẽ bị vô hiệu hóa toàn bộ màn hình, không thể lướt web cũng như chạy chương trình giải mã RannohDecryptor nữa. Cách duy nhất nạn nhân có thể làm là dùng một chiếc máy tính khác để trả tiền chuộc bằng Bitcoin để cứu lấy dữ liệu của mình.

Mã độc Ransomware đòi tiền chuộc & "thuốc giải" Bi-kaspersky-boc-me-ma-doc-tong-tien-nguy-hiem-ngay-lap-tuc-nang-cap
Nhưng khi đã nâng cấp lên phiên bản CryptXXX 2.0, máy tính của người dùng sẽ bị khóa vĩnh viễn

Theo điều tra của hãng bảo mật Proofpoint, CryptXXX 2.0 vẫn được phát tán bằng việc núp bóng những quảng cáo độc hại ngay trên trên các trang web hợp pháp hoặc thông qua mã độc trung gian Bedep. Hiện tại, một phương án rất đơn giản có thể bảo vệ bạn trước CryptXXX 2.0 chính là hãy cài đặt ... AdBlocker - công cụ chặn quảng cáo phổ biến nhất thế giới.

Hải Tố - Tham khảo: Softpedia
      
Phó Thường dân
Phó Thường dân Webmaster

Cấp bậc: Webmaster

Giới tính : Nam

Bài viết : 1706

Danh vọng : 2233

Uy tín : 144

Hướng dẫn giải mã TeslaCrypt Ransomware miễn phí


Nhóm tin tặc đứng sau mã độc Ransomware tuyên bố ngừng hoạt động; đồng thời công bố mã khoá để mở dữ liệu kèm theo một lời xin lỗi.


Hướng dẫn giải mã dữ liệu:

Nguồn: The Hacker News
Thích0Báo xấu0

Gửi một tin nhắn lên tường.

Gửi báo cáo lỗi về bài viết này.

      
Prosperity
Prosperity Tích cực

Cấp bậc: Tích cực

Giới tính : Nam

Bài viết : 466

Danh vọng : 822

Uy tín : 0

Hướng dẫn giải mã Petya Ransomware miễn phí

Mã độc tống tiền (ransomware) đang gia tăng chóng mặt trong một năm trở lại đây và hiện tại là một trong những mối đe dọa phổ biến nhất trên Internet. Việc lây nhiễm ransomware trở nên rất phức tạp và hầu hết người dùng đều phải trả tiền chuộc nếu muốn lấy lại dữ liệu quan trọng của mình. Nhưng nếu bạn bị lây nhiễm Petya Ransomware, bạn có thể giải mã dữ liệu một cách hoàn toàn miễn phí.

Người dùng hiện tại đã có thể mở khóa máy tính bị lây nhiễm Petya Ransomware mà không cần trả bất cứ khoản tiền chuộc nào. Các nhà nghiên cứu đã tìm ra lỗ hổng trong mã nguồn của Petya giúp giải mã các tập tin một cách dễ dàng.

Petya Ransomware là gì ?

Petya là một loại mã độc tống tiền mới được phát hiện trong hai tuần trước và có các hoạt động rất khác các loại mã độc tống tiền hiện tại. Mã độc này này tấn công người dùng bằng cách khởi động lại máy tính cài đặt hệ điều hành Windows, mã hóa tệp tin master boot của ổ đĩa cứng và tạo ra một master boot record (MRB) độc hại.

MBR là sector đầu tiên của ổ cứng ,xác định cách thức và nơi hệ điều hành được đặt trên ổ cứng. Tệp tin master boot là tệp tin trên phân vùng NTFS chứa tên, dung lượng và vị trí của tất cả các tệp tin khác.

Sau khi cài đặt thành công, máy tính sẽ khởi động lại và đoạn mã của Petya sẽ được khởi động thay vì khởi động hệ điều hành như thông thường, hiển thị thông báo đòi tiền chuộc 0.9 Bitcoin (Khoảng 381 USD) để có thể mua khóa giải mã, khôi phục lại tệp tin hệ thống.

Không có mật khẩu giải mã thì máy tính sẽ không thể vào được hệ điều hành, tất cả các tệp tin đều không thể truy cập được. Tuy nhiên, nhà nghiên cứu bảo mật Fabian Wosar đã phát triển công cụ giúp tạo ra khóa giải mã Petya có tên Petya Sector Extractor.

Để có thể sử dụng Petya Sector Extractor, nạn nhân cần chạy ngắt ổ đĩa cứng bị lây nhiễm ra và gắn vào một máy tính không chứa mã độc và thực hiện theo hướng dẫn sau:


  • Giải nén và chạy tệp tin PetyaExtractor.exe . Nó sẽ quét tất cả ổ đĩa gắn ngoài và sửa chữa ổ đĩa bị nhiễm mã độc Petya Ransomware. Chương trình sẽ tự động hiển thị như sau:

    Mã độc Ransomware đòi tiền chuộc & "thuốc giải" Petya-sector-extractor

  • Mở trình duyệt web và truy cập vào https://petya-pay-no-ransom.herokuapp.com hoặc https://petya-pay-no-ransom-mirror1.herokuapp.com/

  • Nhấn chọn Copy Sector và dán vào trong trang web vừa truy cập.

    Mã độc Ransomware đòi tiền chuộc & "thuốc giải" Required-info-700x719

  • Nhấn Submit để nhận khóa giải mã.

    Mã độc Ransomware đòi tiền chuộc & "thuốc giải" Petya-decryption-key-found-700x527

  • Ghi lại khóa giải mã, gắn lại ổ đĩa bị nhiễm mã độc về máy tính ban đầu.

  • Khởi động máy tính bị nhiễm độc và nhập mật khẩu vào thông báo của mã độc.

    Mã độc Ransomware đòi tiền chuộc & "thuốc giải" Decrypting-700x389

  • Ổ đĩa cứng của nạn nhân sẽ được giải mã và khởi động lại.  Nạn nhân có thể sử dụng máy tính một cách bình thường.


      
      

Xem chủ đề cũ hơn Xem chủ đề mới hơn Về Đầu Trang  Thông điệp [Trang 1 trong tổng số 1 trang]

Quyền hạn của bạn

Bạn không có quyền trả lời bài viết
free counters



  • Đoàn Ngọc Khánh

    mobile phone 098 376 5575


    Đỗ Quang Thảo

    mobile phone 090 301 9666


    Nguyễn Văn Của

    mobile phone 090 372 1401


    IP address signature
    Free forum | ©phpBB | Free forum support | Báo cáo lạm dụng | Thảo luận mới nhất