Lý thuyết – Ransomware là gì? – Tin hay

Ransomware là gì?

Ransomware là ứng dụng gián điệp hay ứng dụng tống tiền, nó là tên gọi chung của 1 dạng ứng dụng độc hại – Malware, sở hữu “tác dụng” chính là ngăn chặn người sử dụng truy cập và sử dụng hệ thống máy tính hoặc những file tài liệu của họ (đa số phát hiện trên nền tảng sử dụng Windows). Các biến thể Malware dạng này thường đưa ra những thông điệp cho nạn nhân rằng họ phải nộp 1 khoản tiền kha khá vào tài khoản của hacker nếu muốn lđó lại dữ liệu, thông tin cá nhân hoặc đơn thuần nhất là truy cập được vào máy tính của họ. Hầu hết những ứng dụng Ransomware đều chiếm quyền và mã hóa toàn bộ thông tin của nạn nhân mà nó tìm được (thường gọi là Cryptolocker), còn một số loại Ransomware khác lại sử dụng TOR để giấu, ẩn đi những gói dữ liệu C&C trên máy tính (tên khác là CTB Locker).

Cái giá mà Ransomware đưa ra cho nạn nhân cũng rất nhiều loại, “nhẹ nhàng” thì cỡ 20$, “nặng đô” hơn sở hữu thể tới hàng ngàn $ (nhưng trung bình thì hay ở mức 500 – 600$), cũng sở hữu trường hợp chấp nhận thanh toán bằng Bitcoin.

Thông báo đòi tiền chuộc khá quen thuộc của 1 dạng Ransomware

Tuy nhiên, những bạn cần phải lưu ý rằng cho dù sở hữu trả tiền cho hacker thì tỉ lệ người sử dụng lđó lại được dữ liệu, thông tin cá nhân ko phải là 100%.

1. Ransomware từ đâu tới?

Giống như những ứng dụng độc hại khác, Ransomware sở hữu thể xâm nhập vào máy tính của người sử dụng lúc:

• Tìm và sử dụng những ứng dụng crack.
• Bấm vào quảng cáo.
• Truy cập web đen, đồi trụy.
• Truy cập vào website giả mạo.
• Tải và cài đặt ứng dụng ko rõ nguồn gốc.
• File đính kèm qua email spam.
• …

2. Ransomware hoạt động như thế nào?

Khi đã xâm nhập và kích hoạt trong máy tính của người sử dụng, Ransomware sẽ đồng thời thực hiện những tác vụ như sau:

1. Khóa màn hình máy tính, hiển thị thông báo như hình ví dụ trên.
2. Mã hóa bất kỳ file tài liệu nào mà nó tìm được, tất nhiên là sẽ sở hữu mật khẩu bảo vệ.

Nếu trường hợp 1 xảy ra, người sử dụng sẽ ko thể thực hiện được bất kỳ thao tác nào trên máy tính (ngoại trừ việc bật – tắt màn hình). Đồng thời trên màn hình đó cũng sẽ sở hữu hướng dẫn khía cạnh và cụ thể việc chuyển khoản, tiền cho hacker để lđó lại thông tin cá nhân. Còn trường hợp thứ 2 (thông thường là xấu hơn) vì Ransomware sẽ mã hóa toàn bộ những file văn bản (thường là file Office như *.doc, *.xls… file email và file *.pdf), những file này sẽ bị đổi đuôi thành những định dạng nhất định nào đó, sở hữu mật khẩu bảo vệ, bạn ko thể thực hiện bất kỳ thao tác nào như copy, paste, đổi tên, đổi đuôi hoặc xóa.

Ransomware, hoặc gọi là Scareware sở hữu nhữngh thức hoạt động tương tự như những ứng dụng bảo mật giả mạo – FakeAV (1 loại Malware)

3. Lịch sử hình thành và phát triển của Ransomware

Thuở khai sinh

Lần lần đầu, Ransomware được phát hiện vào khoảng giữa năm 2005 – 2006 tại Nga. Những bản báo cáo lần đầu của TrendMicro là vào năm 2006, với biến thể TROJ_CRYZIP.A – 1 dạng Trojan sau lúc xâm nhập vào máy tính của người sử dụng, sẽ lập tức mã hóa, nén những file hệ thống bằng mật khẩu, đồng thời tạo ra những file *.txt với nội dung yêu cầu nạn nhân trả phí 300$ để lđó lại dữ liệu cá nhân.

Dần dần phát triển theo thời gian, những Ransomware tấn công tiếp tới những file văn bản và hệ thống như *.DOC, *.XL, *.DLL, *.EXE…

Và cho tới năm 2011, một dạng khác của Ransomware là SMS Ransomware đã được phát hiện. Cách thức của SMS Ransomware ko giống nhau hơn 1 chút, đó là người sử dụng phải gửi tin nhắn hoặc gọi điện thoại tới số điện thoại của hacker, cho tới lúc thực hiện xong thủ tục chuyển tiền cho hacker. Biến thể lần này của Ransomware được phát hiện dưới tên gọi TROJ_RANSOM.QOWA – sẽ liên tục hiển thị thông báo giả mạo trên màn hình máy tính.

Bên cạnh đó, còn 1 biến thể khác của Ransomware – nguy hiểm hơn nhiều với mục tiêu của hacker là tấn công vào Master Boot Record (MBR) của nền tảng sử dụng. Và lúc đã tấn công, nền tảng sử dụng – Windows sẽ ko thể khởi động được. Cụ thể hơn, những Malware này sẽ copy phần MBR nguyên gốc của hệ thống và ghi đè bằng MBR giả mạo. Khi hoàn tất, quá trình này sẽ tự khởi động lại máy tính, và trong lần tiếp theo, những thông báo của hacker (bằng tiếng Nga) sẽ hiển thị trên màn hình của những bạn.

Vươn ra ngoài lãnh thổ nước Nga

Ban đầu chúng hoạt động trong nước Nga, nhưng dựa vào sự phổ biến, số lượng nạn nhân, những mục tiêu… những loại Ransomware này dần dần lan rộng ra, trước tiên là khu vực Châu Âu. Đến đầu năm 2012, TrendMicro đã ghi nhận được rất nhiều vụ tấn công xảy ra khắp Châu Âu (thậm chí sở hữu cả ở Mỹ, Canada). Cũng khá giống với TROJ_RANSOM.BOV, 1 biến thể Ransomware khác đã từng lây lan rất mạnh ở 2 khu vực chính là Pháp và Nhật, cùng với nhữngh thức hoạt động của Ransomware nguyên bản.

Thời điểm của Reveton hoặc Police Ransomware

Sao lại sở hữu tên là Police Ransomware? Rất đơn thuần, vì những loại Ransomware dạng này lúc xâm nhập vào máy tính của nạn nhân, sẽ hiển thị thông báo như 1 đơn vị luật pháp thực thụ (những bạn sở hữu thể xem lại hình 1 ở trên kia). Với nội dung đại loại như:

• “Xin chào, anh/chị đã bị bắt vì vi phạm điều luật số abc xyz, đồng thời vi phạm hiến pháp của USA… vì đã tham gia vào những hoạt động bất hợp pháp trực tuyến…” đi cùng với đó là hình ảnh, phù hiệu của luật pháp. Tất cả những Ransomware dạng này đều được gọi vắn tắt dưới dòng tên – Reveton.

Đến đây chắc hẳn những bạn sẽ sở hữu câu hỏi:

• Làm sao mà chúng – Hacker biết chính xác rằng nạn nhân – người sử dụng máy tính đang ở địa phương, thành phố… nào để đưa ra nội dung mang tính chất hù dọa cho họ? Đáp án ở đây là hacker dựa vào tính năng dò tìm vị trí địa lý theo cụm địa chỉ IP. Ví dụ, với những nạn nhân ở Mỹ thì chúng sẽ cho hiển thị thông báo đi kèm với hình ảnh của FBI, còn ở Pháp sẽ là cơ quan Gendarmerie Nationale.

Thông báo giả mạo của Ransomware tại nước Pháp, với yêu cầu người sử dụng “nộp phạt” lệ phí là 100 Euro

Các biến thể của Reventon sử dụng nhiều tài khoản, nhữngh thức thanh toán khác nhau để nhận tiền của nạn nhân, thông thường là những hệ thống như UKash, PaySafeCard, hoặc MoneyPak. Hacker sử dụng những hình thức thanh toán này là vì hệ thống này thường làm mờ (ko để hiển thị) tên người nhận tiền, do vậy chúng sẽ yên tâm lúc thực hiện giao dịch qua UKash, PaySafeCard, và MoneyPak.

Đến năm 2012, Reventon đã phát triển thêm hình thức, thủ đoạn mới. Đó là chúng sử dụng những đoạn ghi âm – Recording (bằng giọng của người địa phương) để truyền tải thông tin tới nạn nhân thay vì nhữngh thức thông báo cũ.

4. Thời đại của CryptoLocker

Vào cuối năm 2013, TrendMicro đã nhận được những bản báo cáo lần đầu về 1 thể loại Ransomware hoàn toàn mới. Các biến thể này không tính việc mã hóa toàn bộ dữ liệu của nạn nhân, đồng thời khóa toàn bộ hệ thống máy tính của họ. Dựa vào hành động của Ransomware mà chúng đã sở hữu tên là CryptoLocker – đặc trưng cho việc nếu Malware sở hữu bị xóa đi thì người sử dụng vẫn phải thực hiện hoàn chỉnh quá trình chuyển tiền, nếu ko thì toàn bộ dữ liệu của họ sẽ bị mất.

Thông báo quen thuộc của CryptoLocker

Bên cạnh đó, thông báo “trắng trợn” của hacker chỉ ra rằng dữ liệu của người sử dụng đã bị mã hóa bằng RSA-2048 nhưng báo cáo của TrendMicro đã chỉ ra rằng thuật toán mã hóa của CryptoLocker lại là AES + RSA,

5. Cấu tạo của một cuộc tấn công

Không tương đương một số biến thể ứng dụng độc hại phổ biến, ransomware phấn đấu ẩn mình càng lâu càng tốt. Điều này nhằm tạo thêm thời gian cho phép ransomware mã hóa những file của người sử dụng. Ransomware được thiết kế để giữ cho lượng tài nguyên hệ thống tối đa sở hữu sẵn cho người sử dụng, do đó thường ko gây ra bất kỳ cảnh báo nào. Vì vậy, nhiều người sử dụng chỉ phát hiện bị nhiễm ransomware sau lúc thđó thông báo của hacker trên màn hình.

So với những ứng dụng độc hại khác, quá trình lây nhiễm ransomware sở hữu thể dự đoán được. Người sử dụng sẽ tải xuống một file bị nhiễm. File này chứa payload của ransomware. Khi file chứa ransomware được thực thi, sẽ ko sở hữu hiện tượng gì xảy ra ngay lập tức (tùy thuộc vào loại ransomware). Người sử dụng vẫn ko biết rằng ransomware đã bắt đầu mã hóa những file cá nhân của mình.

Cũng như vậy, một cuộc tấn công ransomware sở hữu một số dạng như sau:

• Truyền dữ liệu giữa host và control server trong chế độ nền.
• Entropy của những file thay đổi.

6. Entropy của một file

Entropy của một file sở hữu thể được sử dụng để xác định những file được mã hóa bằng ransomware. Rob VandenBrink phác thảo ngắn gọn file entropy và ransomware:

Trong ngành công nghiệp CNTT, một entropy của một file nói tới một đơn vị ngẫu nhiên, cụ thể được gọi là Shannon Entropy, được đặt theo tên của Claude Shannon. Giá trị này về cơ bản là thước đo khả năng dự đoán của bất kỳ ký tự cụ thể nào trong file, dựa trên những ký tự trước. Nói nhữngh khác, nó là một thước đo về tính ngẫu nhiên của dữ liệu trong một file – được đo theo tỷ lệ từ 1 tới 8, trong đó những file văn bản thông thường sẽ sở hữu giá trị thấp và những file được mã hóa hoặc nén sẽ sở hữu giá trị cao hơn.

7. Ransomware sở hữu ko giống nhau gì với ứng dụng malware bình thường ko?

Ransomware và ứng dụng độc hại sở hữu cùng một mục tiêu chung: Luôn phấn đấu ẩn mình. Người sử dụng vẫn sở hữu cơ hội chống lại ransomware nếu phát hiện việc bị nhiễm sớm. Điểm mấu chốt ở đây là mã hóa. Ransomware “khét tiếng” vì khả năng sử dụng mã hóa, dù điều đó đã được sử dụng trong ứng dụng độc hại một thời gian rất dài.

Mã hóa giúp ứng dụng độc hại vượt qua tầm kiểm soát của những chương trình diệt virus, bằng nhữngh gây nhầm lẫn trong việc phát hiện chữ ký. Thay vì nhìn thđó một chuỗi những ký tự quen thuộc – thứ sẽ cảnh báo ứng dụng diệt virus nhằm tạo ra một hàng rào phòng thủ, do đó quá trình lây nhiễm xảy ra mà ko hề bị lưu ý. Mặc dù những bộ ứng dụng chống virus đang dần trở nên “nhạy” hơn lúc nhận thđó những chuỗi này – thường được gọi là những hash – nhưng những hacker phát triển ứng dụng độc hại cũng đang tích cực đối phó lại những điều này.

8. Các phương pháp “ẩn mình” phổ biến

Dưới đây là một vài phương pháp “ẩn mình” phổ biến của ransomware:

• Detection – Nhiều biến thể ứng dụng độc hại sở hữu thể phát hiện xem chúng sở hữu đang được sử dụng trong môi trường ảo hóa hay ko. Điều này cho phép ứng dụng độc hại trốn tránh sự lưu ý của những nhà nghiên cứu bảo mật bằng nhữngh từ chối thực thi hoặc giải nén. Đổi lại, điều này ngăn chặn việc tạo ra một chữ ký bảo mật cập nhật.
• Timing – Các bộ ứng dụng diệt virus tốt nhất liên tục cảnh báo, kiểm tra mối đe dọa mới. Thật ko may, những chương trình diệt virus nói chung ko thể bảo vệ mọi khía cạnh của hệ thống vào mọi lúc. Chẳng hạn, một số ứng dụng độc hại sẽ chỉ triển khai sau lúc khởi động lại hệ thống, thoát (và sở hữu khả năng vô hiệu hóa trong quy trình) những hoạt động diệt virus.
• Communication – Phần mềm độc hại sẽ lên lạc với máy chủ chỉ huy và kiểm soát (C&C server) để nhận hướng dẫn. Điều này ko đúng đối với tất cả những ứng dụng độc hại. Tuy nhiên, lúc ứng dụng độc hại thực hiện điều này, một chương trình diệt virus sở hữu thể phát hiện những địa chỉ IP cụ thể để lưu trữ máy chủ C&C và phấn đấu ngăn chặn giao tiếp. Trong trường hợp này, những hacker phát triển ứng dụng độc hại chỉ cần thay đổi địa chỉ máy chủ C&C, nhằm trốn tránh sự phát hiện.
• False Operation – Một chương trình giả mạo được tạo khéo léo sở hữu lẽ là một trong những dấu hiệu phổ biến nhất về việc máy tính bị nhiễm ứng dụng độc hại. Người sử dụng thường cho rằng đây là một phần thường xuyên của nền tảng sử dụng (thường là Windows) và hoàn toàn làm theo những hướng dẫn trên màn hình. Chúng vượt trội nguy hiểm đối với người sử dụng PC ko sở hữu nhiều kỹ năng và, trong lúc hoạt động như một giao diện người sử dụng thân thiện, nó sở hữu thể cho phép một loạt những thực thể độc hại truy cập vào hệ thống.

Danh sách này ko phải là toàn diện. Tuy nhiên, nó bao gồm một số phương thức phổ biến nhất mà ứng dụng độc hại sử dụng để “ẩn mình” trên PC.

9. Ransomware sở hữu đơn thuần ko?

Từ “đơn thuần” sở hữu lẽ ko chính xác lắm. Ransomware rất khác thường. Một biến thể ransomware sử dụng mã hóa rộng hơn những ransomware khác, cũng như theo một nhữngh khác. Chính hành động của ransomware làm cho nó trở nên vượt trội và tạo nên sự đáng sợ của ransomware.

Ransomware sử dụng những tính năng hơi mới lạ, chẳng hạn như:

• Mã hóa số lượng lớn những file.
• Xóa những bản sao lưu thường cho phép người sử dụng khôi phục từ đó.
• Tạo và lưu trữ những key mã hóa trên những máy chủ C&C từ xa.
• Yêu cầu tiền chuộc, thường là bằng Bitcoin.

Trong lúc ứng dụng độc hại truyền thống, chỉ đơn thuần là ăn cắp thông tin và mật khẩu người sử dụng, ransomware ảnh hưởng trực tiếp tới bản thân người sử dụng và làm xáo trộn môi trường máy tính ngay lập tức. Ngoài ra, hậu quả của nó rất dễ nhận thđó.