“Cẩm nang” bảo vệ và phục hồi máy tính khi nhiễm phải mã độc tống tiền (ransomware)

Trong những năm gần đây, mã độc tống tiền (ransomware) đã phát triển và lây lan với tốc độ chóng mặt, trở thành nỗi ám ảnh đối với người dùng cá nhân cũng như các tổ chức, doanh nghiệp bởi mức độ nguy hiểm của nó.

Có người cho rằng, mã độc tống tiền là hiện thân của tất cả những "tính xấu" lớn nhất của loài người – sự nguy hiểm, lòng tham và sự bất lực. Mã độc này khi lây nhiễm vào máy tính sẽ mã hoá các tập tin, dữ liệu trên máy và yêu cầu người dùng phải trả một khoản tiền "chuộc" để đổi lấy khoá giải mã dữ liệu (thậm chí, chúng ta không có cách nào để biết liệu khoá ấy có thực sự giải mã được hay không).

Tuy nhiên, nếu có kế hoạch sao lưu dữ liệu hợp lý từ trước, dữ liệu của bạn vẫn có thể "sống sót" ngay cả khi bị mã độc tống tiền tấn công.

Những điều bạn cần biết về mã độc tống tiền (ransomware)

Mã độc tống tiền (ransomware) là một loại phần mềm độc hại được thiết kế để ngăn không cho bạn truy cập vào dữ liệu và/hoặc sử dụng máy tính của mình cho tới khi bạn trả một khoản "tiền chuộc". Để làm được điều đó, các mã độc dạng này thường mã hoá các tập tin trên máy tính của bạn, và khoản "tiền chuộc" thường phải trả bằng các loại tiền điện tử (tiền mã hoá). Mã độc tống tiền thường nhắm tới các mục tiêu là những tổ chức, doanh nghiệp, công ty và các cơ quan nhà nước, tuy nhiên người dùng cá nhân cũng có thể bị nhiễm phải loại mã độc này.

Các mã độc tống tiền đang trở nên ngày càng phức tạp, với nhiều biến thể mới xuất hiện hàng ngày. Trong khi đa số tội phạm mạng tạo ra các loại mã độc này chỉ đơn giản coi mỗi cuộc tấn công là một giao dịch "kiếm chác", thì có một số ít các tin tặc lại thích "vờn" người dùng, hoặc tiến hành những cuộc tấn công phá hoại thực sự. Hồi năm ngoái, chúng ta mới biết về ZENIS, một loại mã độc tống tiền được thiết kế để cố tình xoá bỏ các bản sao lưu dữ liệu có trên máy tính của người dùng. Và gần đây nhất, GermanWiper là một loại mã độc phá hoại thực sự - malware này không mã hoá dữ liệu mà xoá hẳn chúng luôn, tuy nhiên lại vẫn đòi tiền chuộc của người dùng. Những "nạn nhân" của mã độc này dù có trả tiền cũng không thể "giải mã" dữ liệu bởi ngay từ đầu, các dữ liệu của họ đã bị malware này xoá sạch.

Và hiện tại, những kẻ tấn công đang có nhiều cách thức tấn công người dùng hơn bao giờ hết.

"Các phần mềm độc hại hiện đang được phân phối và phát tán theo nhiều cách thức đa dạng khác nhau, khiến cho người dùng cuối ngày càng khó phòng ngừa để bảo vệ bản thân," dẫn lời ông Victor Congionti, Giám đốc Thông tin tại Công ty An ninh mạng Proven Data. "Theo cách thức truyền thống, các phần mềm độc hại được phát tán thông qua các chiến dịch gửi thư điện tử, và những người dùng "nhẹ dạ cả tin" nhấn vào các liên kết độc hại để tải malware về là những nạn nhân phổ biến nhất." Nhưng ông cũng bổ sung rằng, "Hiện tại, mã độc tống tiền hiện đang được phân phối theo những cách thức phi truyền thống, với tần suất ngày càng nhiều."

Tội phạm hiện nay sẽ tìm cách "giấu" những mã độc của mình vào các ứng dụng và những phần mềm tưởng chừng như vô hại. Hoặc, chúng sẽ phát tán các phần mềm này bằng cách tiến hành các cuộc tấn công lừa đảo (phishing), nhắm đến các cá nhân làm việc tại các tổ chức, doanh nghiệp – những người không được trang bị đầy đủ kiến thức và có nguy cơ cao sẽ nhấn vào các liên kết độc hại.

Thực sự, tin tặc có rất nhiều cách để làm việc này!

Làm thế nào để bảo vệ các bản sao lưu dữ liệu của bạn chống lại mã độc tống tiền?

Nếu hệ thống của bạn bị nhiễm mã độc tống tiền, bạn có 2 hướng giải quyết: một là bạn chấp nhận trả tiền chuộc và hy vọng có thể lấy lại được các dữ liệu của mình về, hoặc hai là không trả tiền và tìm cách khôi phục lại máy tính và dữ liệu của mình từ các bản sao lưu. Lựa chọn đầu tiên "tiềm ẩn" khá nhiều vấn đề về đạo đức, tài chính và cả về… logic thông thường nữa. Do đó, ngay từ bây giờ bạn nên tiến hành sao lưu máy tính của mình để có thể khôi phục hệ thống nếu chẳng may bị mã độc tống tiền tấn công.

Đầu tiên, bạn hãy tuân thủ 3 nguyên tắc chính trong việc sao lưu dữ liệu như sau:

- Hãy giả định rằng mã độc tống tiền có khả năng (và sẽ) mã hoá hoặc xoá tất cả các dữ liệu mà bạn có thể truy cập trên máy tính của mình. Nếu bạn sao lưu dữ liệu vào một ổ cứng nằm bên trong máy hoặc một chiếc ổ cứng gắn ngoài nhưng lại được thường xuyên kết nối với máy tính, thì hãy coi như những tập tin đó cũng đã "chết" rồi. Cách thức sao lưu như trên chỉ có tác dụng trong những "thảm hoạ" cổ điển, chẳng hạn như khi ổ cứng bị lỗi mà thôi. Bởi nếu những thiết bị lưu trữ trên cứ thường xuyên kết nối với máy, thì một khi mã độc tống tiền tấn công, nó cũng có thể tìm, truy cập và "tiêu diệt" những bản sao lưu của bạn.

- Hãy ngắt kết nối thiết bị lưu trữ chứa bản sao lưu dữ liệu của bạn khỏi hệ thống mạng. Vũ khí tốt nhất để chống lại các cuộc tấn công của mã độc tống tiền là sử dụng các thiết bị lưu trữ mà bạn có thể ngắt kết nối hoàn toàn khỏi máy tính của mình cũng như hệ thống mạng Internet. Chẳng hạn, nếu bạn sao lưu sang ổ cứng gắn ngoài, lưu ý chỉ kết nối chúng với máy tính khi thực hiện các cuộc sao lưu định kỳ. Sau khi sao lưu xong phải ngay lập tức rút chúng ta. "Điều cực kỳ quan trọng là ổ cứng lưu trữ dữ liệu sao lưu không được phép cắm vào hệ thống mạng," Congionti nói. "Điều này sẽ giúp các bản sao lưu không "chịu chung số phận" bị mã hoá nếu mã độc tống tiền xâm nhập được vào hệ thống mạng và thực thi. Khi ấy, thiết bị lưu trữ của bạn sẽ hoàn toàn "offline" khỏi quá trình tấn công mã hoá dữ liệu của malware, bởi nó có được cắm vào máy đâu! Nếu thiết bị lưu trữ ấy vẫn cắm vào máy, thì mã độc tống tiền có thể truy cập vào các tập tin này và mã hoá chúng, khiến chúng trở nên vô ích, cũng như các tập tin thông thường khác."

- Sử dụng tối đa hệ thống lưu trữ tập tin theo phiên bản (versioning). Ngay cả khi bạn ngắt kết nối ổ cứng gắn ngoài, cũng có những trường hợp dữ liệu của bạn chưa thể được bảo vệ an toàn. Lý do là bởi có thể hệ thống của bạn đã bị nhiễm phần mềm độc hại từ trước khi bạn tiến hành sao lưu. "Lưu trữ dữ liệu theo phiên bản là một chiến lược then chốt nhằm giúp bạn phục hồi hệ thống sau các cuộc tấn công của mã độc tống tiền," dẫn lời Dror Liwer, nhà sáng lập công ty bảo mật Coronet. Bạn nên sử dụng những công cụ sao lưu có chức năng lưu trữ nhiều phiên bản của cùng một tập tin theo thời gian. Sau này, khi cần khôi phục hệ thống của mình, bạn sẽ có thể lựa chọn muốn khôi phục máy tính của mình về thời điểm nào trong quá khứ, để từ đó có thể đưa máy tính trở về trạng thái từ trước khi hệ thống của bạn bị nhiễm malware.

Triển khai một chiến lược sao lưu hiệu quả

Dĩ nhiên, các giải pháp sao lưu dữ liệu thông thường chưa đủ sức để bảo vệ bạn khỏi một cuộc tấn công của mã độc tống tiền. Các công cụ lưu trữ đám mây không thể thay thế được các công cụ sao lưu đám mây chuyên dụng, bởi lẽ, chúng thường xuyên đồng bộ hoá dữ liệu của máy bạn lên hệ thống. Nếu chẳng may mã độc tống tiền tấn công bạn, thì các file dữ liệu đã bị mã hoá cũng sẽ được tự động đồng bộ lên theo. Chưa kể, dung lượng lưu trữ miễn phí hạn chế của các dịch vụ này cũng là một hạn chế. Do đó, nếu muốn lấy lại các tập tin của mình trong trường hợp bị tấn công, bạn không thể chỉ dựa vào các phiên bản miễn phí của các dịch vụ như Dropbox, OneDrive hay Google Drive.

Tuy nhiên, nếu bạn mua các gói lưu trữ trả tiền, thì câu chuyện sẽ hoàn toàn khác. Chẳng hạn, đối với Dropbox, các gói lưu trữ trả phí được tích hợp công cụ Dropbox Rewind. Gói Dropbox Plus (2 TB dung lượng lưu trữ) cho phép bạn lưu trữ các phiên bản của tập tin trong 30 ngày gần nhất, và bất kỳ lúc nào bạn cũng có thể quay về các phiên bản cũ được sửa đổi trong khoảng thời gian đó. Gói Dropbox Professional (3 TB) thậm chí còn lưu trữ lịch sử phiên bản của các tập tin trong khoảng thời gian lên đến 180 ngày.

Còn với OneDrive, bản thân dịch vụ lưu trữ đám mây này đã có chức năng bảo vệ người dùng chống lại mã độc tống tiền (ransomware). Nếu OneDrive phát hiện các hành vi bất thường có thể là do ransomware gây ra, phần mềm sẽ tự động đưa ra cảnh báo và yêu cầu bạn xác nhận có phải chính bạn là người vừa thực hiện các thay đổi trên hay không. Nếu không, dịch vụ của Microsoft sẽ giúp bạn dọn dẹp ổ cứng và khôi phục các tập tin bị hỏng.

Vì hai dịch vụ lưu trữ đám mây là Google Drive và iCloud không có các chức năng bảo vệ tương tự, nên chúng tôi không khuyến khích bạn sử dụng chúng nếu thực sự mã độc tống tiền là một nguy cơ đối với bạn.

Bên cạnh đó, bạn có thể cân nhắc sử dụng các dịch vụ sao lưu đám mây chuyên dụng (lưu ý: phân biệt với các dịch vụ lưu trữ đám mây). Trên thực tế, đa số các dịch vụ này đều cung cấp tính năng lịch sử phiên bản, do đó, nếu sử dụng các dịch vụ như Acronis, Carbonite và iDrive (cùng nhiều dịch vụ cùng loại khác), bạn có thể khôi phục trở về một bản sao lưu ổ cứng ở thời điểm máy chưa bị nhiễm phần mềm độc hại.

"Carbonite đã khôi phục dữ liệu thành công cho hơn 12.600 khách hàng bị mã độc tống tiền tấn công khi họ gọi đến tổng đài hỗ trợ của chúng tôi," dẫn lời Norman Guadagno, Phó Giám đốc Marketing của hãng Carbonite.

Một số dịch vụ trực tuyến thậm chí còn được tích hợp sẵn các công cụ chống mã độc tống tiền (ransomware). Chẳng hạn, Acronis có một công cụ với tên gọi Active Protection, có khả năng tự động phát hiện các hành vi đáng ngờ của những phần mềm độc hại.

"Khi Active Protection phát hiện những hành vi bất thường, chẳng hạn như một tiến trình hệ thống đang tiến hành đổi tên và mã hoá hàng loạt tập tin, công cụ này sẽ tự động buộc tiến trình đó phải dừng ngay lập tức," dẫn lời James Slaby, Giám đốc phụ trách các vấn đề an ninh mạng của hãng Acronis chia sẻ.

Tương tự như cách tàu vũ trụ Apollo phải có hai hệ thống máy tính dẫn đường hoạt động độc lập, chúng tôi khuyên bạn nên trang bị cho mình ít nhất là hai phương thức sao lưu dữ liệu. Bạn có thể kết hợp giữa một giải pháp lưu trữ đơn giản, dễ dùng dựa trên thao tác đồng bộ dữ liệu, với một phương thức sao lưu mạnh mẽ có thể giúp bạn khôi phục toàn bộ máy sau những cuộc tấn công của ransomware.

Chẳng hạn, bạn có thể sử dụng một giải pháp sao lưu đám mây truyền thống như Dropbox hoặc OneDrive, để đảm bảo rằng bạn luôn có thể truy cập vào các dữ liệu ngay khi không ở bên máy tính của mình hoặc phải sử dụng các máy tính khác, hoặc trong trường hợp máy tính của bạn gặp lỗi nghiêm trọng không thể phục hồi. Thậm chí nếu có điều kiện, bạn nên mua các gói trả phí của các ứng dụng này và tận dụng những công cụ chống mã độc tống tiền được tích hợp bên trong đó, thì sẽ còn tốt hơn!

Đồng thời, bạn nên triển khi một giải pháp sao lưu dữ liệu chuyên nghiệp, toàn diện có hỗ trợ chức năng lịch sử phiên bản. Bạn có thể sử dụng những ứng dụng sao lưu cục bộ, cho phép ghi bản sao lưu sang một ổ cứng gắn ngoài, hoặc sử dụng những dịch vụ sao lưu đám mây cho phép bạn lưu trữ những dữ liệu quý giá của mình lên "mây". Nếu sử dụng những dịch vụ dạng này, bạn sẽ khó truy cập vào các tập tin của mình một cách trực tiếp (bởi chúng thường lưu trữ dữ liệu sao lưu ở các định dạng nén độc quyền, hoặc ảnh đĩa), nhưng trong trường hợp bị mã độc tống tiền tấn công, chúng có thể khôi phục toàn bộ ổ cứng của bạn về trạng thái trước đó, điều mà các hệ thống lưu trữ sử dụng phương thức đồng bộ từng tập tin một không làm được.

Làm thế nào để phòng chống mã độc tống tiền

Mặc dù là một trong những phần mềm độc hại đáng sợ nhất, nhưng ransomware thực chất cũng chỉ là một trong số những loại malware mà bạn hoàn toàn có thể nhận thức và tự bảo vệ máy tính của mình trước những cuộc tấn công của chúng.

Một khi bạn đã có một giải pháp sao lưu dữ liệu toàn diện, mạnh mẽ và đa dạng, bạn có thể sử dụng các quy tắc và biện pháp bổ sung dưới đây nhằm hạn chế tối đa nguy cơ bị ransomware tấn công:

- Sử dụng một phần mềm diệt virus mạnh, có tích hợp tính năng chống mã độc tống tiền (ransomware). Dĩ nhiên, không có phần mềm diệt virus nào là hoàn hảo, nhưng nếu không có phần mềm diệt virus, thì nguy cơ bạn bị nhiễm ransomware và các phần mềm độc hại khác còn cao hơn nhiều.

- Đừng nhấp chuột vào bất kỳ cái gì mà bạn cảm thấy nghi ngờ hoặc không tin tưởng. Không nhấn vào các liên kết lạ trên các trang web, thư điện tử hay tin nhắn. Đồng thời, bạn cũng không nên sử dụng các phần mềm bẻ khoá bản quyền hay các trang web bất hợp pháp. Bạn cũng chỉ nên sử dụng các kho ứng dụng, các cửa hàng phần mềm của các hãng lớn, đáng tin cậy, chẳng hạn như Google Play và Apple App Store (đối với điện thoại).

- Thường xuyên cập nhật các bản vá phần mềm mới nhất cho máy tính của mình.

Nếu chẳng may bạn bị tấn công…

Cuối cùng, nếu chẳng may bạn bị mã độc tống tiền tấn công, thì không hẳn là đã hết hoàn toàn hi vọng. Có hai công cụ miễn phí bạn có thể thử dùng để giải mã các dữ liệu của mình mà không phải trả một đồng "tiền chuộc" nào:

- No More Ransom: Đây là một dự án hợp tác giữa McAfee và một số tổ chức thực thi pháp luật của châu Âu, hiện đã có sự tham gia của khoảng 100 doanh nghiệp và tổ chức chính phủ. Nếu hệ thống của bạn bị lây nhiễm, bạn có thể truy cập trang web No More Ransom và tải lên một số tập tin mẫu đã bị mã hoá trên máy tính của mình. Nếu tập tin của bạn trùng khớp với một mẫu nhận dạng đã biết trên cơ sở dữ liệu của trang web, bạn có thể giải mã các dữ liệu trên máy của mình hoàn toàn miễn phí.

- ID Ransomware: Tương tự như No More Ransom, công ty bảo mật Emsisoft đã tạo ra dự án này. Bạn có thể đăng ký để trang web thông báo cho bạn biết khi họ đã tìm ra cách giải mã các dữ liệu bị mã hoá của bạn trong tương lai.

Quang Huy