Ransomware không phải là loại mã độc mới. Thực tế, ransomware xuất hiện từ những năm 1989 và chỉ nở rộ trong những năm gần đây do sự thuận tiện của các phương thức thanh toán điện tử, cũng như công nghệ mã hóa hiện đại. Ransomware gia tăng mạnh bắt đầu từ giai đoạn 2011.
Khoảng 60.000 mẫu ransomware mới được phát hiện trong Quý 3 năm 2011, số lượng tăng đột biến trong Quý 3 năm 2012 với hơn 200.000 mẫu mới được phát hiện. Tính từ Quý 3 năm 2014 đến Quý 1 năm 2015, số lượng gần như tăng gấp 4 lần. Đây thực sự là con số đáng báo động.
Ransomware lây lan chủ yếu qua email, đến thời điểm hiện tại đã có hàng loạt máy tính của người dùng tại Việt Nam nhận được những email spam có đính kèm file “.zip”. Khi mở file này, mã độc được kích hoạt, chiếm quyền kiểm soát máy tính và mã hóa các file dữ liệu, người dùng không thể tự mở được.
Chưa có số liệu chính thức về số lượng người dùng lây nhiễm ransomware tại Việt Nam. Tuy nhiên, việc lây nhiễm loại mã độc này đang gia tăng và có những diễn biến khó lường.
Mã độc ransomware xâm nhập vào máy tính người dùng đòi tiền chuộc (Nguồn: Internet) |
ZOMBIE ZERO – giải pháp hiệu quả đối phó với ransomware
Một khi dữ liệu bị mã hóa bởi ransomware, gần như không có cách nào khôi phục lại được trừ khi có được khóa giải mã từ hacker. Chính vì vậy, việc đối phó với ransomware phải đi trước một bước. Bên cạnh các biện pháp truyền thống như backup dữ liệu định kỳ, phân quyền truy cập dữ liệu, thường xuyên cập nhật các bản vá bảo mật, cảnh giác cao độ với các file đính kèm email, thì việc sử dụng giải pháp an toàn bảo mật là hết sức cần thiết.
Các phần mềm diệt virus có thể phần nào đối phó với loại mã độc này. Tuy nhiên, biến thể của ransomware vô cùng đa dạng và liên tục thay đổi, thường yêu cầu một khoảng thời gian nhất định để có bản vá cập nhật.
Mục đích hàng đầu của tội phạm mạng hiện nay là dữ liệu. Đối với các cơ quan nhà nước và doanh nghiệp, việc bảo vệ dữ liệu từ các cuộc tấn công có chủ đích APT hay ransomware là vấn đề tối quan trọng. Trong phần này, chúng tôi sẽ giới thiệu giải pháp ZombieZERO của NPCore - hãng bảo mật hàng đầu Hàn Quốc. Với ưu điểm hoạt động dựa trên nền tảng phân tích hành vi và chữ ký ở cả lớp mạng và lớp người dùng, ZombieZERO giúp phát hiện và ngăn chặn sớm mã độc nói chung và ransomware nói riêng.
ZombieZERO thu thập file dữ liệu đến máy tính người dùng qua các phương thức khác nhau như web, email. Các bước phân tích trên môi trường sandbox từ các file thu thập giúp ZombieZERO chủ động phát hiện ransomware. Tại phía người dùng, thành phần Agent cũng có các cơ chế giám sát tương tự nhằm phát hiện và ngăn chặn từ khi mã độc chưa phát tán. Mẫu ransomware phát hiện đồng thời được chia sẻ với các máy tính khác giúp ngăn ngừa nguy cơ lây nhiễm trong toàn bộ hệ thống mạng.
ZombieZERO có khả năng phát hiện ransomware ngay khi nó bắt đầu thực hiện hành vi, từ đó chủ động ngăn chặn và cách ly ransomware ở nhiều dạng thức và biến thể khác nhau. ZombieZERO có khả năng phân biệt được các tập tin thông thường và các tập tin nghi ngờ chứa mã độc thông qua việc giám sát API và có cách thức đối phó hiệu quả với ransomware.
Sử dụng ZombieZERO sẽ giúp ngăn chặn hiệu quả ransomware và các loại mã độc khác tấn công vào hệ thống dữ liệu.
Phương thức phát hiện và phòng chống ransomware của ZombieZERO (Nguồn: NPCore) |
Con người, chính sách, và giải pháp
Ransomware nhắm đến nhiều loại đối tượng nạn nhân khác nhau, trong đó người dùng cá nhân chiếm số lượng đông đảo. Giáo dục ý thức của người dùng đóng vai trò rất quan trọng trong việc hạn chế ảnh hưởng từ mã độc nói chung và ransomware nói riêng. Ở các cơ quan nhà nước hay doanh nghiệp, chính sách và cơ sở hạ tầng về CNTT được xây dựng và triển khai nhằm bảo vệ hệ thống mạng và dữ liệu như sao lưu, phân quyền truy cập, sử dụng tài nguyên thông tin, ngăn chặn các truy cập Internet không đúng mục đích công việc, sử dụng các hệ thống bảo mật như tường lửa, phần mềm diệt virus. Mặc dù vậy, trong bối cảnh hiện tại, khi mà nguy cơ về tấn công mạng có chủ đích luôn hiện hữu, việc sử dụng các giải pháp an ninh bảo mật chuyên dụng là hết sức cần thiết. Trong bài báo này, chúng tôi có giới thiệu sơ lược giải pháp ZombieZERO, một trong những giải pháp hiệu quả trong việc chủ động phát hiện và ngăn chặn mã độc nói chung và ransomware nói riêng dựa trên phân tích hành vi với độ chính xác cao. ZombieZERO được đánh giá cao nhờ khả năng phân tích linh hoạt cũng như hiệu năng xử lý. Đây là sự lựa chọn tin cậy cho các cơ quan, tổ chức trong cuộc chiến chống lại vấn nạn mất mát dữ liệu từ ransomware.
So sánh cơ chế phân tích mã độc dựa trên chữ ký và hành vi (Nguồn: NPCore) |
Nguồn: PC World VN