Tình hình tấn công an ninh mạng ngày càng phức tạp và bất kỳ ai, bất kỳ tổ chức, doanh nghiệp nào cũng có thể trở thành nạn nhân. Đội ngũ GADITI sẽ hỗ trợ doanh nghiệp tư vấn, khác phục và đào tạo người dùng cuối về an toàn thông tin, nhằm nâng cao khả năng phòng chống ransomeware hiệu quả.
Ransomeware là gì?
Ransomware là một loại virus được mã hóa, được Bộ Tư pháp Hoa Kỳ xem là mô hình hiện đại của tội phạm mạng với nguy cơ gây tổn thương hệ thống mạng toàn cầu. Khi ransomware lây nhiễm vào máy tính, nó sẽ mã hóa hoặc chặn những truy cập dữ liệu trên đĩa. Để hoạt động bình thường trở lại, người dùng phải chuyển tiền vào tài khoản mới gỡ được ransomware.
Cơ chế hoạt động
Ransomware khi lây nhiễm vào máy tính người dùng sẽ mã hóa file dữ liệu thành các đuôi kí tự lạ. Ví dụ: *.Doc > *.docm ; *.xls > *.cerber, … Ở mỗi thời điểm, các đuôi mã hóa lại khác nhau khiến chúng ta tốn rất nhiều công sức để xác định. Máy tính tính bị nhiễm ransomware không hề hiện ra thông báo từ hacker. Một máy tính bị nhiễm ransomware thì khả năng cao những máy còn lại trong hệ thống cũng gặp tình trạng tương tự. Để chuộc lại file bị nhiễm ransomware, người dùng phải trả tiền cho hacker qua các đồng tiền ảo như Bitcoin,…
Phân loại Ransomware
- Locker ransomware: Locker ransomware còn có một tên gọi khác là Non-encrypting ransomware. Loại phần mềm này không mã hóa file mà thay vào đó là chặn hoàn toàn người dùng truy cập thiết bị. Ví dụ như một máy tính bị nhiễm locker ransomware sẽ không thể thao tác gì ngoài bật tắt máy. Trên màn hình máy lúc này sẽ xuất hiện thông báo hướng dẫn cách gửi tiền để trả máy về bình thường.
- Ransomware Crypto: Ransomware Crypto hay Encrypting Ransomware là loại ransomware phổ biến nhất. Chúng mã hóa các file dữ liệu bằng cách bí mật kết nối với server của hacker, tạo một chìa khóa để mã hóa và đổi tên đuôi các file. Đồng thời, các hacker này sẽ gửi thông báo đòi tiền chuộc về máy và đôi khi còn tạo áp lực thời gian cho nạn nhân. Nếu không trả trong thời gian quy ước, file có thể bị nâng cấp mã hóa, khiến ảnh hưởng xấu đến dữ liệu.
- Các chủng nguy hiểm nhất: Hiện tại, người ta ghi nhận rất nhiều chủng ransomware với mức độ nguy hiểm khác nhau. Trong số các loại ransomware được biết đến, ba loại nguy hiểm nhất là WannaCry, CryptoLocker và Petya. Ngoài ra những cái tên khác cũng có thể làm hại máy tính của bạn có thể kể đến như Locky, TeslaCrypt, …
Ngăn chặn ransomware
Xây dựng quy trình phòng chống ransomeware hiệu quả
Kiến trúc phòng chống ransomeware hiệu quả
Các bước phòng chống ransomeware hiệu quả cho người dùng
- Không sử dụng các mạng wifi miễn phí, nguồn gốc không rõ ràng.
- Hạn chế click vào các đường link lạ, các email không rõ địa chỉ.
- Thường xuyên sao lưu dữ liệu, cài đặt các phần mềm chống virus và thường xuyên cập nhật.
- Thay đổi mật khẩu mặc định trên tất cả các điểm truy cập.
- Tạo nhiều rào cản trên các hệ thống mạng của bạn.
- Có kế hoạch phục hồi khi lỡ bị mất dữ liệu.
Giải pháp phòng chống ransomeware cho hệ thống doanh nghiệp
- Thay đổi mọi thông số mặc định trong thiết lập. Các port phải đổi nếu có public ra ngoài: 3389, 21, 1433.
- Sử dụng chứng chỉ bảo mật cho tên miền và bật xác minh hai bước cho tất cả người dùng lẫn người quản trị.
- Sử dụng tường lửa và vô hiệu hoá các dịch vụ ít dùng đến.
- Sử dụng kết nối VPN trực tiếp hoặc qua trung gian khi truy cập vào hệ thống máy chủ, hạn chế mở port ra ngoài.
- Cần thường xuyên tổ chức đào tạo người dùng để nâng cao kiến thức về an toàn thông tin.
- Sao lưu dự phòng hệ thống, ít nhất theo chuẩn Backup 3-2-1.
- Thiết lập các giải pháp Endpoint Security bảo vệ điểm cuối cho tất cả người dùng và máy chủ.
Nếu đã bị lây nhiễm ransomeware cần làm gì?
- Bước 1: Cô lập và tách mạng, hệ thống: hãy cách ly phần đã bị nhiễm với hệ thống, tắt các hệ thống đó, rút mạng để phòng trường hợp virus lây lan.
- Bước 2: Xác định và xóa các ransomware: Cố gắng tìm ra các phần độc hại đang bị lây nhiễm trên máy, xác định chủng và lên kế hoạch xóa bỏ chúng.
- Bước 3: Xóa máy bị nhiễm và khôi phục từ bản sao lưu: Phòng trường hợp các ransomware còn sót lại, hãy xóa toàn bộ các dữ liệu bị nhiễm và khôi phục lại từ đầu qua các bản sao lưu.
- Bước 4: Phân tích và giám sát hệ thống: Sau khi đã loại bỏ hoàn toàn các ransomware, bạn nên ngồi lại phân tích các yếu tố lây nhiễm để có cách bảo vệ dữ liệu phù hợp.
Đội ngũ hỗ trợ phòng chống ransomeware GADITI
GADITI chuyên cung cấp phần mềm, giải pháp bảo mật, giải pháp mạng cho doanh nghiệp và dịch vụ IT dành cho doanh nghiệp, vui lòng liên hệ chúng tôi để được tư vấn:
- Địa chỉ: 161E1 Trung Mỹ Tây 13A, Phường Trung Mỹ Tây, Quận 12, Thành phố Hồ Chí Minh
- Điện thoại: 039.8686.950
- Mail: [email protected]
GADITI đang cung cấp rất nhiều giải pháp bảo mật từ các hãng nổi tiếng như Microsoft, Bitdefender, Trellix, Symantec (Broadcom), Trendmicro, ESET, Fortinet… có thể giúp bạn:
- Bảo vệ an toàn hệ thống chia sẽ dữ liệu trên NAS.
- Bảo vệ hệ thống máy chủ cho doanh nghiệp.
- Bảo vệ dữ liệu trên máy tính người dùng.
- Phòng chống, khôi phục sau thảm họa.
- Đào tạo người dùng về an toàn thông tin.