Ransomware là phần mềm độc hại sử dụng mã hóa để giữ thông tin của nạn nhân nhằm mục đích tống tiền. Dữ liệu quan trọng của người dùng hoặc tổ chức được mã hóa để họ không thể truy cập các tệp, cơ sở dữ liệu hoặc ứng dụng. Sau đó, kẻ tấn công đòi một khoản tiền chuộc để cung cấp quyền truy cập. Ransomware thường được thiết kế để lây lan qua mạng và nhắm vào các máy chủ cơ sở dữ liệu và tệp tin, do đó có thể nhanh chóng làm tê liệt toàn bộ một tổ chức. Đây là một mối đe dọa ngày càng gia tăng, tạo ra khoản thanh toán hàng tỷ đô la cho tội phạm mạng và gây thiệt hại cũng như chi phí đáng kể cho các doanh nghiệp và tổ chức chính phủ.
Ransomware hoạt động như thế nào?
Ransomware sử dụng mã hóa bất đối xứng. Đây là mật mã sử dụng một cặp khóa để mã hóa và giải mã một tập tin. Cặp khóa công khai được kẻ tấn công tạo duy nhất cho nạn nhân, với mã khóa riêng để giải mã các tệp được lưu trữ trên máy chủ của kẻ tấn công. Kẻ tấn công chỉ cung cấp mã khóa cho nạn nhân sau khi nhận tiền chuộc, tuy nhiên, như đã thấy trong các chiến dịch ransomware gần đây, điều đó không phải lúc nào cũng đúng. Nếu không có quyền truy cập vào mã khóa, gần như không thể giải mã được các tệp đang bị tống tiền.
Có nhiều biến thể của ransomware. Thông thường, ransomware (và các phần mềm độc hại khác) được phát tán bằng các chiến dịch spam email hoặc thông qua các cuộc tấn công có mục đích. Phần mềm độc hại cần có cửa vào tấn công (Attack vector) để thiết lập sự hiện diện của nó trên điểm cuối. Attack vector có thể là một email độc hại, một trang web bị nhiễm malware, hoặc một lỗ hổng trong phần mềm hệ thống mà malware có thể khai thác. Sau khi thành công trong việc xâm nhập, phần mềm độc hại vẫn tồn tại trên hệ thống cho đến khi hoàn thành nhiệm vụ.
Cùng Mi2 và Trellix tìm hiểu Ransomware là mã độc như thế nào
Sau khi tấn công, ransomware sẽ bắt đầu thực thi một tệp tin chương trình độc hại (gọi là “malicious binary”) trên hệ thống bị nhiễm bệnh.Tệp binary độc hại này sẽ tìm kiếm và mã hóa các tệp quan trọng trên máy tính, ví dụ như các tài liệu Microsoft Word, hình ảnh, cơ sở dữ liệu, và các tệp tin có giá trị khác. Mã hóa biến đổi dữ liệu thành dạng không thể đọc được mà chỉ có ransomware có thể giải mã. Ransomware cũng có thể lợi dụng các lỗ hổng trong hệ thống và mạng để lây lan sang các hệ thống khác và có thể trên toàn bộ tổ chức.
Sau khi các tệp được mã hóa, ransomware sẽ yêu cầu người dùng trả tiền chuộc trong vòng 24 đến 48 giờ để giải mã các tệp, nếu không dữ liệu sẽ bị mất vĩnh viễn. Nếu không có bản sao lưu dữ liệu hoặc các bản sao lưu đó cũng bị mã hóa, nạn nhân sẽ phải trả tiền chuộc để khôi phục các tệp của họ.
Tại sao Ransomware lan rộng?
Các cuộc tấn công ransomware và các biến thể của chúng đang ngày càng phát triển nhanh chóng để chống lại các công nghệ phòng ngừa vì một số lý do:
- Dễ dàng có sẵn bộ công cụ phần mềm độc hại có thể được sử dụng để tạo ra mẫu phần mềm độc hại mới theo yêu cầu
- Sử dụng các trình thông dịch chung tốt đã biết để tạo phần mềm ransomware đa nền tảng (ví dụ: Ransom32 sử dụng Node.js với tải trọng JavaScript)
- Sử dụng các kỹ thuật mới, chẳng hạn như mã hóa toàn bộ ổ đĩa thay vì các tệp đã chọn
Những tên trộm ngày nay thậm chí không cần phải am hiểu về công nghệ. Các thị trường phần mềm tống tiền đã mọc lên trực tuyến, cung cấp các chủng phần mềm độc hại cho bất kỳ kẻ gian nào có thể là tội phạm mạng và tạo thêm lợi nhuận cho những kẻ tạo ra phần mềm độc hại, chúng thường đòi một phần trong số tiền chuộc.
Dễ dàng có sẵn các bộ công cụ malware: Có sẵn các bộ công cụ malware đã làm cho việc tạo ra các mẫu malware mới trở nên dễ dàng. Những bộ công cụ này cung cấp các công cụ và tài liệu cần thiết để tạo ra ransomware mới theo yêu cầu.
Sử dụng trình thông dịch tổng quát đã biết: Một số ransomware sử dụng các trình thông dịch tổng quát đã biết để tạo ra ransomware đa nền tảng, chẳng hạn như việc sử dụng Node.js với một tải trọng JavaScript. Điều này giúp chúng tạo ra ransomware có khả năng tác động trên nhiều hệ điều hành khác nhau.
Áp dụng các kỹ thuật mới: Những kẻ tấn công ransomware liên tục phát triển và áp dụng các kỹ thuật mới để tăng cường hiệu suất của họ. Ví dụ, có các ransomware sử dụng kỹ thuật mã hóa toàn bộ ổ đĩa thay vì chỉ một số tệp tin cụ thể, làm cho việc khôi phục dữ liệu của nạn nhân trở nên khó khăn hơn và đòi hỏi nạn nhân trả tiền chuộc.
Sự ra đời của thị trường ransomware: Các thị trường trực tuyến dành riêng cho ransomware đã xuất hiện, nơi các tên tội phạm có thể dễ dàng mua bán và trao đổi các biến thể ransomware. Điều này tạo ra một sự khích lệ để phát triển và phân phối các loại ransomware mới.
Tóm lại, sự kết hợp giữa sự dễ dàng tiếp cận các công cụ, sự đổi mới kỹ thuật, và tiềm năng thu lợi tài chính đã dẫn đến sự lan tràn của ransomware. Điều này đã biến nó thành một mối đe dọa lợi nhuận và tiến hóa trong lĩnh vực an ninh mạng.
Đọc thêm: Những điều cần biết về Ransomware
Tại sao việc tìm ra thủ phạm lại khó đến vậy?
Sử dụng tiền điện tử ẩn danh: Người trả tiền chuộc thường sử dụng các loại tiền điện tử ẩn danh như Bitcoin. Điều này làm cho việc theo dấu dòng tiền và tìm kiếm các tội phạm trở nên khó khăn. Giao dịch bằng tiền điện tử này không có sự liên kết trực tiếp với thông tin cá nhân, làm cho việc theo dõi đường dây tiền trở nên khó khăn.
Nhóm tội phạm trực tuyến ngày càng tinh vi: Ngày càng có nhiều nhóm tội phạm trực tuyến đang thiết kế các kế hoạch ransomware để kiếm lợi nhanh chóng. Họ sử dụng cách tiếp cận tinh vi và phát triển các kế hoạch ransomware thông minh để tránh bị phát hiện và tìm kiếm.
Sự dễ dàng tiếp cận mã nguồn mở và nền tảng kéo và thả: Có sẵn mã nguồn mở và nền tảng kéo và thả cho phép các tác giả ransomware dễ dàng phát triển các biến thể ransomware mới. Điều này tạo điều kiện thuận lợi cho cả những người mới vào lĩnh vực script có thể tự tạo ransomware của riêng họ mà không cần kiến thức chuyên sâu về lập trình.
Ransomware thường có tính biến dạng: Ransomware thường được thiết kế để biến đổi liên tục (polymorphic). Điều này cho phép các tội phạm trực tuyến dễ dàng tránh qua các giải pháp bảo mật truyền thống dựa trên chữ ký dựa trên mã hash của tệp tin. Việc này làm cho việc phát hiện và chặn ransomware trở nên khó khăn hơn.
Đọc thêm: Trellix tìm ra mục tiêu hàng đầu của các cuộc tấn công bằng Ransomware
Phần mềm tống tiền dưới dạng dịch vụ (RaaS) là gì?
Ransomware-as-a-service là một mô hình kinh tế tội phạm mạng cho phép các nhà phát triển phần mềm độc hại kiếm tiền từ những sáng tạo của họ mà không cần phải phân phối các mối đe dọa của họ. Những tội phạm không có kiến thức kỹ thuật mua sản phẩm của họ và tiến hành các cuộc tấn công, đồng thời trả cho các nhà phát triển một phần trăm số tiền họ kiếm được. Các nhà phát triển này gặp tương đối ít rủi ro và khách hàng của họ chịu trách nhiệm hầu hết công việc. Một số trường hợp Ransomware-as-a-service sử dụng dịch vụ đăng ký trong khi những trường hợp khác yêu cầu đăng ký để có quyền truy cập vào ransomware.
Cách phòng chống ransomware
Để tránh ransomware và giảm thiểu thiệt hại nếu bạn bị tấn công, hãy làm theo các mẹo sau:
- Sao lưu dữ liệu của bạn: Cách tốt nhất để tránh nguy cơ bị khóa các tệp quan trọng là đảm bảo rằng bạn luôn có bản sao lưu của chúng, tốt nhất là trên đám mây và trên ổ cứng ngoài. Bằng cách này, nếu bị nhiễm ransomware, bạn có thể xóa sạch máy tính hoặc thiết bị của mình và cài đặt lại các tệp của mình từ bản sao lưu. Điều này bảo vệ dữ liệu của bạn và bạn sẽ không bị mất một khoản tiền chuộc cho kẻ tấn công. Các bản sao lưu sẽ không ngăn chặn được phần mềm tống tiền nhưng nó có thể giảm thiểu rủi ro.
- Bảo mật các bản sao lưu của bạn: Đảm bảo rằng dữ liệu sao lưu của bạn không thể truy cập được để sửa đổi hoặc xóa khỏi hệ thống chứa dữ liệu. Ransomware sẽ tìm kiếm các bản sao lưu dữ liệu và mã hóa hoặc xóa chúng để không thể khôi phục lại được, vì vậy hãy sử dụng các hệ thống sao lưu không cho phép truy cập trực tiếp vào các tệp sao lưu.
- Sử dụng phần mềm bảo mật và cập nhật nó: Đảm bảo tất cả máy tính và thiết bị của bạn đều được bảo vệ bằng phần mềm bảo mật toàn diện và luôn cập nhật tất cả phần mềm của bạn. Đảm bảo bạn cập nhật phần mềm thiết bị của mình sớm và thường xuyên vì các bản vá lỗi thường được đưa vào mỗi bản cập nhật.
- Luyện tập lướt web an toàn: Hãy cẩn thận nơi bạn nhấp vào. Không trả lời email và tin nhắn văn bản từ những người bạn không biết và chỉ tải xuống ứng dụng từ các nguồn đáng tin cậy. Điều này rất quan trọng vì tác giả phần mềm độc hại thường sử dụng kỹ thuật xã hội để cố gắng khiến bạn cài đặt các tệp nguy hiểm.
- Chỉ sử dụng mạng an toàn: Tránh sử dụng mạng Wi-Fi công cộng vì nhiều mạng trong số đó không an toàn và tội phạm mạng có thể rình mò việc sử dụng Internet của bạn. Thay vào đó, hãy cân nhắc việc cài đặt VPN để cung cấp cho bạn kết nối Internet an toàn bất kể bạn đi đâu.
- Thông báo lưu trú: Cập nhật các mối đe dọa ransomware mới nhất để bạn biết những gì cần chú ý. Trong trường hợp bạn bị nhiễm ransomware và chưa sao lưu tất cả các tệp của mình, hãy biết rằng một số công cụ giải mã được các công ty công nghệ cung cấp để giúp đỡ nạn nhân.
- Thực hiện chương trình nâng cao nhận thức về an ninh: Cung cấp chương trình đào tạo nâng cao nhận thức về anh ninh mạng thường xuyên cho mọi thành viên trong tổ chức của bạn để họ có thể tránh lừa đảo và các cuộc tấn công kỹ thuật xã hội khác. Tiến hành các cuộc tập trận và kiểm tra thường xuyên để đảm bảo rằng việc đào tạo đang được tuân thủ.
Tìm hiểu thêm: Nguyên nhân gốc rễ của Ransomware
Các chỉ số dữ liệu quan trọng trong phản ứng sự cố với mã độc tống tiền
Các xu hướng sau đây thường được các chuyên gia ứng phó sự cố tuyến đầu của chúng tôi nhận thấy khi điều tra và khắc phục Ransomware.
Thời gian tồn tại trung bình cho các cuộc tấn công ransomware (tính theo ngày)
Thời gian tồn tại trung bình của các cuộc tấn công bằng ransomware là 72,75 ngày, so với tất cả các mối đe dọa là 56 ngày (bao gồm cả ransomware).
Những ngày phổ biến trong tuần để triển khai ransomware
Các ngày trong tuần được đánh dấu ở trên biểu thị thời điểm bắt đầu triển khai và thực hiện cuộc tấn công bằng ransomware, chứ không phải thời điểm kẻ tấn công có được quyền truy cập ban đầu.
Giảm thiểu rủi ro và giảm thời gian lưu giữ của ransomware
Tập trung vào hành vi của kẻ tấn công để giảm thời gian lưu trú trung bình của ransomware từ 72 ngày xuống chỉ còn 24 giờ hoặc ít hơn.
9 bước để ứng phó với cuộc tấn công ransomware
Nếu bạn nghi ngờ mình đã bị tấn công bằng ransomware, điều quan trọng nhất là phải hành động nhanh chóng. May mắn thay, có một số bước bạn có thể thực hiện để có cơ hội tốt nhất có thể giảm thiểu thiệt hại và nhanh chóng quay lại hoạt động kinh doanh như bình thường.
9 bước để ứng phó với cuộc tấn công ransomware
- Cô lập thiết bị nhiễm: Ransomware tác động đến một thiết bị chỉ là một sự bất tiện vừa phải. Tuy nhiên, ransomware có thể lây lan và tác động đến toàn bộ hệ thống của bạn là một thảm họa lớn và có thể khiến bạn ngừng kinh doanh vĩnh viễn. Sự khác biệt giữa hai điều này thường phụ thuộc vào thời gian phản ứng. Để đảm bảo an toàn cho mạng, ổ đĩa chia sẻ và các thiết bị khác của bạn, điều cần thiết là bạn phải ngắt kết nối thiết bị bị ảnh hưởng khỏi mạng, internet và các thiết bị khác càng nhanh càng tốt. Bạn làm điều này càng sớm thì khả năng các thiết bị khác bị lây nhiễm càng ít.
- Ngăn chặn sự lây lan: Bởi vì ransomware di chuyển nhanh chóng – và thiết bị có ransomware không nhất thiết phải là F0 – việc cách ly ngay lập tức thiết bị nhiễm sẽ không đảm bảo rằng ransomware không tồn tại ở nơi nào khác trên mạng của bạn. Để giới hạn phạm vi của nó một cách hiệu quả, bạn cần phải ngắt kết nối khỏi mạng tất cả các thiết bị đang hoạt động có dấu hiệu đáng ngờ, bao gồm cả những thiết bị hoạt động từ xa – nếu chúng được kết nối vào mạng, chúng sẽ gây ra rủi ro cho dù chúng ở đâu. Tắt kết nối không dây (Wi-Fi, Bluetooth, v.v.) vào thời điểm này cũng là một ý tưởng hay.
- Đánh giá thiệt hại: Kiểm tra tệp đã được mã hóa gần đây với tên mở rộng file kỳ lạ: Ransomware thường mã hóa các tệp trên máy tính của bạn và thêm một phần mở rộng kỳ lạ vào tên tệp, ví dụ “.crypt” hoặc “.locked”. Kiểm tra các tệp gần đây để xem liệu có các tên tệp không bình thường như vậy hay không.
Tìm báo cáo về các tên tệp kỳ lạ hoặc người dùng gặp khó khăn khi mở tệp: Nếu người dùng báo cáo rằng họ gặp khó khăn khi mở tệp hoặc thấy các tên tệp lạ lẫm xuất hiện, đây có thể là dấu hiệu của một cuộc tấn công ransomware.
Nếu bạn phát hiện bất kỳ thiết bị nào chưa bị mã hóa hoàn toàn, bạn nên cách ly và tắt nguồn ngay lập tức để ngăn chặn cuộc tấn công và ngăn chặn thiệt hại và mất dữ liệu tiếp theo.
Mục tiêu của bạn là tạo ra một danh sách toàn diện về tất cả các hệ thống bị ảnh hưởng, bao gồm các thiết bị lưu trữ mạng, lưu trữ đám mây, ổ cứng ngoại (bao gồm cả USB), máy tính xách tay, điện thoại thông minh và bất kỳ cách thức nào khả thi khác.
Tại điểm này, nên khóa các chia sẻ mạng. Tất cả chia sẻ nên bị hạn chế nếu có thể, và nếu không thể hạn chế tất cả, hãy hạn chế càng nhiều càng tốt. Hành động này sẽ tạm dừng quá trình mã hóa đang diễn ra và ngăn chặn việc các chia sẻ khác bị nhiễm khi tiến hành xử lý sự cố. Trước khi thực hiện hạn chế chia sẻ, bạn nên xem xét các chia sẻ đã bị mã hóa. Làm như vậy có thể cung cấp thông tin hữu ích: Nếu một thiết bị có nhiều tệp mở hơn bình thường, đó có thể là Patient Zero của cuộc tấn công.
- Xác định vị trí F0: Việc theo dõi sự lây nhiễm trở nên dễ dàng hơn đáng kể khi bạn xác định được nguồn. Để làm như vậy, hãy kiểm tra mọi cảnh báo có thể đến từ phần mềm chống vi-rút/phần mềm chống phần mềm độc hại, EDR hoặc bất kỳ nền tảng giám sát đang hoạt động nào của bạn. Và bởi vì hầu hết các ransomware xâm nhập vào mạng thông qua các liên kết và tệp đính kèm email độc hại, yêu cầu hành động của người dùng cuối, việc hỏi mọi người về hoạt động của họ (chẳng hạn như mở các email đáng ngờ) và những gì họ nhận thấy cũng có thể hữu ích. Cuối cùng, việc xem xét các thuộc tính của tệp cũng có thể cung cấp manh mối – người được liệt kê là chủ sở hữu có thể là điểm vào. (Tuy nhiên, hãy nhớ rằng có thể có nhiều hơn một F0!)
- Xác định loại Ransomware: Trước khi tiến xa hơn, điều quan trọng là phải khám phá loại ransomware bạn đang gặp phải. Một cách là truy cập trang web No More Ransom, một sáng kiến toàn cầu mà Trellix đã đồng phát triển. Trang web này có một bộ công cụ giúp bạn khôi phục liệu của mình, bao gồm công cụ Crypto Sheriff: Chỉ cần tải lên một trong các tệp được mã hóa của bạn và nó sẽ quét để tìm kết quả trùng khớp. Bạn cũng có thể sử dụng thông tin có trong thông báo đòi tiền chuộc: Nếu nó không ghi trực tiếp đến loại ransomware thì việc sử dụng công cụ tìm kiếm để truy vấn địa chỉ email hoặc chính nội dung thông báo đó có thể hữu ích. Sau khi xác định được Ransomware và thực hiện một số nghiên cứu nhanh về cách hoạt động của nó, bạn nên cảnh báo cho tất cả nhân viên chưa bị ảnh hưởng càng sớm càng tốt để họ biết cách phát hiện các dấu hiệu cho thấy họ đã bị nhiễm.
- Báo cáo phần mềm tống tiền cho cơ quan chức năng: Ngay sau khi Ransomware được ngăn chặn, bạn nên liên hệ với cơ quan chức năng vì một số lý do. Trước hết, ransomware là vi phạm pháp luật – và giống như bất kỳ tội phạm nào khác, nó nên được báo cáo cho cơ quan có thẩm quyền. Thứ hai, theo Cục Điều tra Liên bang Hoa Kỳ, “Cơ quan chức năng có thể sử dụng quyền hạn và công cụ pháp lý mà hầu hết các tổ chức đều không có”. Quan hệ đối tác với cơ quan chức năng quốc tế có thể được tận dụng để giúp tìm ra dữ liệu bị đánh cắp hoặc mã hóa và đưa thủ phạm ra trước công lý. Cuối cùng, cuộc tấn công có thể có tác động tuân thủ: Theo các điều khoản của GDPR, nếu bạn không thông báo cho ICO trong vòng 72 giờ về hành vi vi phạm liên quan đến dữ liệu công dân EU, doanh nghiệp của bạn có thể phải chịu khoản tiền phạt nặng.
- Đánh giá các bản sao lưu của bạn: Bây giờ là lúc bắt đầu quá trình phản ứng. Cách nhanh và dễ dàng nhất để làm điều này là khôi phục hệ thống của bạn từ bản sao lưu. Lý tưởng nhất là bạn có một bản sao lưu hoàn chỉnh và không bị nhiễm virus được tạo gần đây đủ để có ích. Nếu có, bước tiếp theo là sử dụng 1 giải pháp antivirus/antimalware để đảm bảo tất cả các hệ thống và thiết bị bị nhiễm đều bị xóa sạch ransomware – nếu không, nó sẽ tiếp tục khóa hệ thống và mã hóa các tệp của bạn, có khả năng làm hỏng bản sao lưu của bạn. Sau khi loại bỏ tất cả dấu vết của phần mềm độc hại, bạn sẽ có thể khôi phục hệ thống của mình từ bản sao lưu này và sau khi bạn xác nhận rằng tất cả dữ liệu đã được khôi phục cũng như tất cả các ứng dụng và quy trình đều được sao lưu và chạy bình thường – hãy quay lại công việc bình thường . Thật không may, nhiều tổ chức không nhận ra tầm quan trọng của việc tạo và duy trì các bản sao lưu cho đến khi họ cần nhưng chúng lại không có ở đó. Vì phần mềm tống tiền hiện đại ngày càng tinh vi và linh hoạt, một số người tạo bản sao lưu sẽ sớm phát hiện ra rằng phần mềm tống tiền cũng đã làm hỏng hoặc mã hóa chúng, khiến chúng hoàn toàn vô dụng.
- Khảo sát các tùy chọn khôi phục dữ liệu: Trong trường hợp bạn không có bản sao lưu dự phòng, vẫn có cơ hội để khôi phục dữ liệu của mình. Ngày càng có nhiều khóa giải mã miễn phí có thể tìm thấy trên No More Ransom. Nếu một khóa giải mã đã sẵn sàng cho biến thể ransomware mà bạn đang đối phó (và giả sử bạn đã xóa sạch mọi dấu vết của phần mềm độc hại khỏi hệ thống của bạn), bạn có thể sử dụng nó để giải mã dữ liệu của mình. Tuy nhiên, ngay cả khi bạn may mắn tìm thấy một bộ giải mã, công việc của bạn vẫn chưa hoàn thành – bạn sẽ cần chờ từ vài giờ đến vài ngày để khôi phục hoàn toàn dữ liệu.
- Tiến về phía trước: Đáng tiếc, nếu bạn không có bản sao lưu hữu ích và không thể tìm thấy khóa giải mã, tùy chọn duy nhất có thể là cắt lỗ lực và bắt đầu lại từ đầu. Quá trình xây dựng lại sẽ không nhanh chóng hoặc tiết kiệm, nhưng sau khi bạn đã thử hết các tùy chọn khác, đó là điều tốt nhất mà bạn có thể làm.
Ngăn chặn ransomware đang hoạt động bằng nền tảng hỗ trợ AI của Trellix, XDR, các dịch vụ và kiểm soát bảo mật hàng đầu trong ngành
Đọc thêm: 5 thiết bị kết nối mạng có rủi ro cao nhất năm 2023
Tại sao không nên trả tiền chuộc?
Khi đối mặt với khả năng phải mất vài tuần hoặc thậm chí vài tháng để phục hồi, việc đáp ứng trước yêu cầu đòi tiền chuộc có thể rất hấp dẫn. Nhưng có nhiều lý do khiến đây là một ý tưởng tồi:
- Bạn có thể không bao giờ nhận được khóa giải mã. Khi trả tiền cho yêu cầu tiền chuộc của ransomware, đổi lại bạn phải nhận được khóa giải mã. Nhưng khi bạn tiến hành giao dịch với ransomware, bạn phải phụ thuộc vào tính chính trực của bọn tội phạm. Nhiều người và tổ chức đã trả tiền chuộc nhưng không nhận được gì – sau đó họ mất hàng chục, hàng trăm hoặc hàng nghìn đô la và họ vẫn phải xây dựng lại hệ thống của mình từ đầu.
- Bạn có thể nhận được yêu cầu tiền chuộc nhiều lần. Sau khi bạn trả tiền chuộc, tội phạm mạng đã triển khai ransomware sẽ biết bạn đang bị chúng kiểm soát. Chúng có thể cung cấp cho bạn một chìa khóa hoạt động nếu bạn sẵn sàng trả nhiều hơn một chút (hoặc nhiều).
- Bạn có thể nhận được một khóa giải mã hoạt động được – đại loại vậy. Những kẻ tạo ra ransomware không tham gia vào lĩnh vực khôi phục tập tin; chúng đang kinh doanh kiếm tiền. Nói cách khác, bộ giải mã mà bạn nhận được có thể chỉ đủ để bọn tội phạm nói rằng chúng hoàn thành thỏa thuận. Hơn nữa, không có gì lạ khi quá trình mã hóa làm hỏng một số tệp tin vượt quá khả năng khôi phục. Nếu điều này xảy ra, ngay cả một khóa giải mã đúng cũng không thể mở khóa các tệp của bạn – chúng sẽ biến mất vĩnh viễn.
- Bạn có thể trở thành mục tiêu tiếp theo. Một khi trả tiền chuộc, bọn tội phạm biết bạn là một khoản đầu tư tiềm năng. Một tổ chức có lịch sử về việc trả tiền chuộc là mục tiêu hấp dẫn hơn so với mục tiêu mới có thể trả tiền hoặc không. Có điều gì ngăn chặn chúng sẽ không tấn công lại bạn sau một hoặc hai năm, hoặc đăng nhập vào một diễn đàn và thông báo cho những tội phạm mạng khác rằng bạn là mục tiêu dễ dàng?
- Ngay cả khi mọi thứ bằng cách nào đó đều kết thúc tốt đẹp, bạn vẫn đang tài trợ cho hoạt động tội phạm. Giả sử bạn trả tiền chuộc, nhận khóa giải mã tốt và đưa mọi thứ trở lại hoạt động. Đây chỉ đơn thuần là tình huống xấu nhất trong trường hợp xấu nhất (và không chỉ vì bạn mất rất nhiều tiền). Khi bạn trả tiền chuộc, bạn đang tài trợ cho các hoạt động tội phạm. Bỏ qua những hàm ý đạo đức rõ ràng, bạn đang củng cố ý tưởng rằng ransomware là một mô hình kinh doanh hiệu quả. (Hãy nghĩ về điều đó – nếu không có ai trả tiền chuộc, bạn có nghĩ chúng sẽ tiếp tục tung ra ransomware không?) Được củng cố bởi thành công và số tiền chuộc quá lớn mà chúng nhận được, những tên tội phạm này sẽ tiếp tục gài bẫy các doanh nghiệp không may mắn và sẽ tiếp tục bỏ thời gian, công sức và tiền bạc để phát triển các biến thể ransomware mới và nguy hiểm hơn – một trong số đó có thể xâm nhập vào thiết bị của bạn trong tương lai.
Hiện tại, hãng Trellix có một danh mục giải pháp đa dạng cung cấp phạm vi bao quát quan trọng cho tất cả các giai đoạn của chiến dịch ransomware phức tạp – từ công cuộc nghiên cứu ban đầu đến quá trình mã hóa. Các giải pháp đã được chứng minh và tồn tại lâu dài, cho phép bạn tăng cường khả năng phòng vệ trước ransomware và giảm thiểu rủi ro với nền tảng hỗ trợ AI toàn diện, tích hợp và mở nhất trong ngành.