Thuật ngữ phần mềm độc hại được sử dụng để mô tả bất kỳ phần mềm có hại nào được thiết kế nhằm chủ ý làm hỏng hoặc phá hủy một thiết bị điện tử.
Máy tính của bạn gần như chắc chắn đã phải chống lại phần mềm độc hại vào một lúc nào đó - có lẽ là virus, trojan hoặc worm - nhưng bạn đã bao giờ gặp phải ransomware chưa?
Nếu đã từng trải qua, bạn sẽ biết nó có thể nguy hiểm như thế nào. Nếu bạn chưa từng rơi vào tình huống này thì cũng có thể nó sẽ xảy ra trong một tương lai gần, vì các cuộc tấn công ransomware đang gia tăng với tốc độ nhanh chóng.
Ransomware Chaos là gì?
Kể từ tháng 6 năm 2021, các nhà nghiên cứu của Trend Micro đã theo dõi Chaos, một trình xây dựng ransomware đang được phát triển. Chương trình này được cung cấp trên các diễn đàn hacker ngầm, được quảng cáo là phiên bản mới của Ryuk, mà FBI từng mô tả là ransomware có lợi nhuận cao nhất trong lịch sử.
Chaos có vẻ không nguy hiểm và hiệu quả như Ryuk, nhưng điều đó không có nghĩa tương lai sẽ không như vậy. Trên thực tế, theo Monte de Jesus và Don Ovid Ladores của Trend Micro, Chaos đã trải qua quá trình phát triển nhanh chóng trong những tháng gần đây.
Phiên bản 1.0, được phát hành vào ngày 9 tháng 6 năm 2021 có vẻ giống như một Trojan hơn là ransomware, vì nó phá hủy các file thay vì thực sự mã hóa chúng.
Phiên bản 2.0 phức tạp hơn một chút, được phát hành vào ngày 17 tháng 6, có khả năng vô hiệu hóa chế độ khôi phục Windows và các tùy chọn nâng cao dành cho quản trị viên. Tuy nhiên, nó ghi đè lên các file thay vì mã hóa chúng, khiến nạn nhân không có động cơ trả tiền chuộc.
Được phát hành vào ngày 5 tháng 7, phiên bản 3.0 đi kèm với trình tạo giải mã của riêng nó và có khả năng mã hóa các file với dung lượng dưới 1MB.
Phiên bản 4.0, được phát hành vào ngày 5 tháng 8, đã tăng giới hạn trên của các file có thể được mã hóa lên 2MB và cung cấp cho người dùng của trình tạo ransomware nhiều tùy chọn hơn, chẳng hạn như khả năng thay đổi hình nền máy tính của nạn nhân.
Mỗi phiên bản sẽ đi kèm ghi chú tiền chuộc sau đây, với địa chỉ ví Bitcoin ở dưới cùng.
"All of your files have been encrypted. Your computer was infected with a ransomware virus. Your files have been encrypted and you won't be able to decrypt them without our help. What can I do to get my files back? You can buy our special decryption software, this software will allow you to recover all of your data and remove the ransomware from your computer. The price for the software is $1,500. Payment can be made in Bitcoin only".
Tạm dịch:
"Tất cả các file đã bị mã hóa. Máy tính đã bị nhiễm virus ransomware. Để lấy lại file, hãy mua phần mềm giải mã đặc biệt. Phần mềm này sẽ cho phép khôi phục tất cả dữ liệu và xóa phần mềm tống tiền khỏi máy tính. Giá cho phần mềm là $1500. Chỉ có thể thanh toán bằng Bitcoin".
Theo Trend Micro, mặc dù "không phải là một sản phẩm hoàn chỉnh", nhưng Chaos có thể gây ra thiệt hại lớn "trong tay của kẻ xấu có quyền truy cập vào cơ sở hạ tầng phân phối và triển khai phần mềm độc hại".
Vậy làm thế nào để loại bỏ Chaos hoặc các ransomware tương tự?
Làm thế nào để loại bỏ Chaos Ransomware?
Đừng bao giờ tin tưởng bọn tội phạm mạng: Chúng không có lý do gì để phải mở khóa file của bạn ngay cả khi bạn trả tiền chuộc.
Nếu bạn muốn tự mình loại bỏ ransomware, đây là cách thực hiện.
Ngắt kết nối Internet
Trước tiên, bạn cần phải cách ly thiết bị bị lây nhiễm để ngăn chặn ransomware lây nhiễm sang các thiết bị khác trong mạng.
Nếu PC của bạn được kết nối với Internet qua Ethernet, hãy rút cáp Ethernet ngay lập tức. Nếu đang kết nối qua mạng không dây, bạn cần tắt WiFi. Có nhiều hướng khác nhau để làm điều đó.
Giải pháp nhanh nhất sẽ là bật chế độ máy bay, bạn có thể thực hiện bằng cách điều hướng đến Settings > Network & Internet. Nhấp vào Airplane mode tại trang Network & Internet, sau đó sử dụng nút chuyển đổi ở trên cùng để bật chế độ máy bay.
Ngắt kết nối tất cả các thiết bị lưu trữ ngoài
Tiếp theo, hãy rút phích cắm của tất cả các thiết bị lưu trữ bên ngoài (ổ cứng di động, ổ flash, v.v...) để ngăn ransomware xâm nhập vào chúng, nhưng đừng chỉ rút phích cắm theo cách thủ công.
Điều hướng đến This PC, bấm chuột phải vào từng thiết bị được kết nối, chọn Eject, sau đó rút phích cắm các thiết bị theo cách thủ công.
Bạn cũng nên đăng xuất khỏi các tài khoản lưu trữ đám mây của mình (Microsoft OneDrive, Google Drive, Dropbox, Amazon Drive, v.v...) để ngăn ransomware làm hỏng hoặc mã hóa dữ liệu đám mây của bạn.
Xác định ransomware
Sử dụng một thiết bị khác, truy cập Internet và tìm kiếm manh mối trực tuyến. Ví dụ, bạn có thể gõ thông báo đòi tiền chuộc, tìm kiếm địa chỉ ví tiền điện tử hoặc email mà ransomware đã cung cấp.
Nếu không có gì xuất hiện, hãy truy cập ID Ransomware. Tại đây, bạn có thể nhập bất kỳ địa chỉ email nào mà ransomware cung cấp cho bạn để liên hệ. ID Ransomware sau đó sẽ xác định phần mềm độc hại và cung cấp thêm thông tin chi tiết về nó.
Thực hiện giải mã
Khi đã xác định được phần mềm tống tiền, bạn có thể thử giải mã các file của mình. Truy cập trang web của No More Ransom Project và nhấp vào Decryption Tools ở góc trên bên phải.
Nhập tên của ransomware đã xác định vào thanh tìm kiếm.
Nếu có sẵn bộ giải mã, công cụ này sẽ cung cấp cho bạn hướng dẫn chi tiết về cách loại bỏ ransomware đã xâm nhập vào máy tính của bạn và mở khóa hoặc khôi phục các file được mã hóa.
Chaos vẫn chưa được phát tán chính thức, vì vậy, tất nhiên sẽ không có bộ giải mã nào.
Để minh họa cách hoạt động của trang web này, bài viết sẽ nhập "Jigsaw" vào thanh tìm kiếm.
Jigsaw là một phần mềm độc hại mã hóa ransomware được tạo ra vào năm 2016, vì vậy có căn cứ khi cho rằng nó đã lây nhiễm cho hàng nghìn máy tính.
Như bạn có thể thấy bên dưới, trang web cung cấp một số trình giải mã khác nhau và hướng dẫn cách thực hiện.
Nếu không có bộ giải mã nào có sẵn cho phần mềm tống tiền đã lây nhiễm vào máy tính của bạn, cách tốt nhất là bạn nên liên hệ với chuyên gia CNTT.