Trong thời gian gần đây chúng tôi gặp rất nhiều trường hợp khách hàng phàn nàn về việc virus mã hóa dữ liệu, nguyên nhân được xác định là do bị virus mã hóa tấn công (hay còn gọi là virus tống tiền). Tần suất virus tấn công người dùng tăng lên đột biến. Chỉ trong thời gian ngắn chúng tôi đã nhận được số lượng lớn ổ cứng cần giải mã dữ liệu. Vậy virus mã hóa dữ liệu đòi tiền chuộc là gì? Cách khôi phục dữ liệu bị virus mã hóa – virus tống tiền như thế nào? Toàn bộ thông tin liên quan sẽ được chúng tôi cung cấp trong bài viết này.

Khôi phục dữ liệu bị virus mã hóa

1. Virus mã hóa dữ liệu là gì?

Virus mã hóa còn được biết đến là Ransomware hay là virus tống tiền. Nó là một tập hợp con của phần mềm độc hại, trong đó các dữ liệu trên máy tính của nạn nhân bị khóa bằng cách mã hóa thông tin. Khi dữ liệu người dùng bị mã hóa họ sẽ nhận được yêu cầu thanh toán (trả phí) để mua key giải mã cũng như quyền truy cập dữ liệu. Động cơ cho các cuộc tấn công virus mã hóa luôn luôn là tiền tệ (rất hiếm hoi do mục đích khác), và không giống như các loại tấn công khác, nạn nhân thường được thông báo về việc dữ liệu bị mã hóa, và kèm theo đó là những hướng dẫn làm thế nào để có thể khôi phục dữ liệu bị virus mã hóa.
Mua key để giải mã dữ liệu thường được yêu cầu bằng một loại tiền ảo như bitcoin, litecoin, ethereu… Điều đó nhằm mục đích bảo mật danh tính của tội phạm mạng. Mọi quá trình giao dịch để giải mã dữ liệu, khi kết thúc đều sẽ bị mất hết mọi liên lạc.

2. Các loại virus mã hóa dữ liệu và lịch sử phát triển

Tính đến thời điểm hiện tại đang có quá nhiều loại virus mã hóa dữ liệu đòi tiền chuộc đang tồn tại, tuy nhiên có một số loại virus mã hóa nổi tiếng cần phải kể đến đó là:
• CryptoLocker – là loại virus mã hóa bắt đầu lây lan vào tháng 9 năm 2013, nó không chỉ được xem là virus tống tiền lần đầu tiên xuất hiện mà sau đợt đó nó đã làm nên tên tuổi của virus mã hóa dữ liệu đòi tiền chuộc hiện đại và đã lây nhiễm tới 500.000 máy. Các máy tính sau khi bị cryptolocker mã hóa đều nhận được yêu cầu thanh toán bằng bitcoin hoặc một chứng từ thanh toán tiền.

• Locky: Đây là virus mã hóa được phát hiện hoạt động vào năm 2016, bắt đầu tấn công mạnh mẽ vào năm 2017. Virus mã hóa dữ liệu đòi tiền chuộc Locky được phát tán qua mail là chủ yếu, hoạt động dưới các dạng file đơn như work, excel, text đính kèm (file trong máy tính bị mã hóa được nhận diện bằng 8 ký tự số .digits). Nó hoạt động giống như phần mềm dridex. Virus Locky lần đầu tiên được phát hiện bởi công ty Palo Alto Networks, họ đã thống kê: thời điểm dridex ngừng hoạt động cũng chính là thời điểm Lockey xuất hiện, nên chắc chắn có một mối liên hệ với nhau.

• Petya: Xuất hiện cùng thời điểm với virus Lockey, phần mềm độc hại này đã mã hóa hàng nghìn ổ cứng trên khắp thế giới. Petya là một dạng mã độc lây nhiễm vào máy tính, mã hóa một số dữ liệu trong đó và đưa ra một thông báo trả tiền chuộc để lấy key giải mã. Được phát tán vào tháng 3/2016, người dùng nhận được mail xác thực chứng từ, xin việc hay thông tin quyền lợi nào đó. Khi ấn vào nó sẽ báo “Petya only affects Windows computers”. Nếu đồng ý, petya sẽ khởi động lại máy tính, trên màn hình lúc này sẽ xuất hiện Windows Chkdsk, trong thực tế, nó đang ngầm mã hóa dữ liệu trong máy tính.

• WannaCry: Vào tháng 5 năm 2017, một cuộc tấn công mang tên WannaCry đã lây lan và mã hóa hơn 1/4 triệu hệ thống máy tính trên toàn cầu. Nó lây lan tự trị từ máy tính này sang máy tính khác bằng cách sử dụng EternalBlue (là công cụ hack) – được phát triển bởi NSA (cơ quan an ninh mạng quốc gia – National security Acency) và sau đó bị đánh cắp bởi tin tặc. Phần mềm độc hại sử dụng mã hóa bất đối xứng (asymmetric cryptography – mã hóa khóa công khai) để nạn nhân không thể tìm được giải pháp phục hồi dữ liệu trừ chỉ trả tiền chuộc key giải mã. Đối với WannaCry được đánh giá là có mức độ nguy hiểm nhất, vì tại thời điểm các virus hoạt động đã có khoảng 100.000$ (hơn 2 tỷ VNĐ) được chuyển giao. Khi số tiền đã đạt lên đến con số này thì các giao dịch còn lại không còn hiệu lực, nghĩa là bạn không còn khả năng thực thi giải mã.

• Viurs mã hóa .CRAB, KRAB: Đầu năm 2018 đến nay, đã xuất hiện một loại mã độc mới với đuôi mã hóa .CRAB, . KRAB (chúng tôi tạm thời gọi là virus mã hóa .CRAB hoặc virus tống tiền .KRAB). Bản chất của nó cũng là hình thức chuẩn của virus tống tiền. Bằng cách nào đó, nó lây lan qua máy tính, mã hóa ngầm các dữ liệu một cách nhanh chóng. Sau khi việc mã hóa dữ liệu kết thúc sẽ xuất hiện thông báo về việc dữ liệu bị mã hóa kèm theo thông tin về chi phí, thời gian và hướng dẫn giải mã dữ liệu. Virus mã hóa .CRAB, KRAB cực kỳ khó giải quyết, thậm chí cả các chuyên gia cũng có thể gặp khó khăn trong quá trình khôi phục dữ liệu bị virus mã hóa.

Khôi phục dữ liệu bị virus mã hóa

3. Thống kê thực tế về tiền chuộc key giải mã dữ liệu

Theo báo cáo về các mối đe dọa bảo mật Internet của Symantec 2017, số tiền chuộc key đã tăng gấp ba lần so với hai năm trước vào năm 2016, với mức giá tính trung bình là 1.077 USD. Thời điểm hiện nay có đến hơn 4000 lây nhiễm/ mỗi giờ tính trên toàn cầu.
Nói chung, rất khó để nói rằng những yêu cầu giữa “kẻ tống tiền” và nạn nhân bị tống tiền được đáp ứng như thế nào. Một nghiên cứu của IBM cho thấy 70% giám đốc điều hành đã được khảo sát cho biết họ đều đã trả một khoản tiền chuộc lớn để lấy key giải mã dữ liệu, nhưng nghiên cứu của Osterman Research cho thấy chỉ có 3% các công ty ở Mỹ đã chi trả theo yêu cầu (mặc dù phần trăm ở các nước khác cao hơn đáng kể) . Phần lớn, thanh toán có vẻ hiệu quả. Tuy nhiên trong thời gian gần đây, rất nhiều khách hàng vẫn có rủi ro “tiền mất tật mang”. Theo bản tin bảo mật của Kaspersky từ năm 2016, họ tuyên bố rằng: có đến 20% doanh nghiệp chọn trả tiền chuộc để khôi phục dữ liệu bị virus mã hóa. Còn chưa kể đến, chưa thực sự có nạn nhân nào trả bằng số tiền yêu cầu mà lấy được dữ liệu, mọi trường hợp đều phải thanh toán tiền thực tế nhiều hơn.

4. Cách hoạt động của virus mã hóa – virus đòi tiền chuộc

Những kẻ tấn công có nhiều cách tiếp cận khác nhau để “bẫy” nạn nhân. Và tất nhiên các hình thức ngày càng tinh vi hơn. Hãy xem một số hình thức hoạt động ở dưới đây.
• Người dùng có thể nhận được một tin nhắn pop-up hoặc email cảnh báo tiền chuộc với thời gian yêu cầu thanh toán nhất định…
• Người dùng nhận được tin nhắn tham gia các cuộc điều tra chính thức vê một vấn đề quyền lợi nào đó.
• Kẻ tấn công mã hóa các tập tin trên thiết bị với vài dòng hứa hẹn nào đó để đánh lừa người dùng cả tin ấn vào.
• Đánh lừa người dùng với những file gần giống file dữ liệu sử dụng. Ví dụ như “doc”, “docx” sẽ biến đổi chút thành “docm”. Nếu không để ý kỹ rất dễ click nhầm mở file
• Các đường link lạ bạn nhận được trong tin nhắn Facebook, skype, Instagram, email… tất cả đều là cái bẫy.
• Mã độc ẩn chứa trong ứng dụng cài đặt, ứng dụng trò chơi do người dùng tải tài liệu ở những trang web bảo mật thấp. Gần đây nhất mã độc thường ẩn chứa trong các ứng dụng phần mềm như HTKT …
Các loại virus mã hóa từ đầu năm 2018 hoạt động bắt đầu trở nên tinh vi hơn, thay vì đòi tiền chuộc chỉ với một lớp mã hóa như những năm 2016 trở về trước, chúng tôi đã gặp trường hợp lên đến tận 4 – 5 lớp giải mã vẫn chưa tìm thấy “chìa khóa chính” để mở dữ liệu mã hóa. Virus càng tinh vi, số tiền chuộc càng lớn, chỉ cần xuất hiện sai xót nhỏ nào cũng sẽ dẫn đến mất tiền mà dữ liệu vẫn không cứu được.

5. Cách nhận biết và phòng ngừa virus mã hóa dữ liệu

* Cách nhận biết virus mã hóa dữ liệu đòi tiền chuộc

• Khi máy tính bị nhiễm virus mã hóa tống tiền tất cả các file dữ liệu không còn ở các định dạng thông thường mà đuôi file sẽ bị thay đổi: *.Doc, *.docx => *.docm, *.doc.Crab, *.doc.ccc, !RecOveR!-tkxaf++.Png, !RecOveR!-tkxaf++.Txt, *.xls, *.skype =>*.cerber, …. Mỗi một thời điểm sẽ có các đuôi mã hóa khác nhau. Thời điểm hiện tại, virus mã hóa đuôi .Crab, Krab đang “lộng hành” trên mức cảnh báo.
• Toàn bộ dữ liệu không thể sử dụng, định dạng của các file dữ liệu bị thay đổi dẫn đến không thể mở bất kỳ tệp tin nào.
• Trong mỗi Folder xuất hiện 1 file *.txt chứa link hướng dẫn cách khôi phục dữ liệu bị virus mã hóa.

Khôi phục dữ liệu bị virus mã hóa

* Phòng ngừa virus mã hóa dữ liệu đòi tiên chuộc như thế nào?
– Để chống lại các cuộc tấn công của virus tống tiền các chuyên gia khuyến khích người dùng sao lưu dữ liệu thường xuyên và cập nhật phần mềm diệt virus máy tính.
– Ngoài ra, truy cập web là thao tác thực hiện thường xuyên, bạn hãy thật cẩn thận khi nhấp vào các liên kết trong email gửi từ người lạ, email không rõ nguồn gốc.

6.  Khôi phục dữ liệu bị Virus mã hóa – virus tống tiền như thế nào?

Nhiều trường hợp bị virus mã hóa file cho rằng chạy phần mềm phục hồi file bị mã hóa hoặc tìm kiếm phần mềm diệt virus mã hóa dữ liệu. Chúng tôi có thể khẳng định chắc chắn, mọi phần mềm cứu dữ liệu bị virus mã hóa đều mang tính chất câu view. Trên thực tế, đến thời điểm hiện tại chỉ có một giải pháp khôi phục dữ liệu bị virus mã hóa duy nhất đó là tìm được key để giải mã dữ liệu.
Việc tìm key để giải mã cũng có thể được mua lại từ hacker nhưng nó kèm theo rất nhiều rủi ro. Tại sao lại như vậy? Trong quá trình giao dịch bỏ tiền mua key người dùng sẽ không có bất kỳ một thông tin nào của kẻ bán, cũng không hề có bất kỳ chứng từ xác nhận nào trong quá trình giao dịch.
Theo kinh nghiệm của các chuyên gia tại các trung tâm cứu dữ liệu cho biết, để đảm bảo có thể phục hồi file word bị mã hóa hay bất kỳ file dữ liệu khác, người dùng cần có kinh nghiệm, hiểu biểu rõ ngôn ngữ quốc tế, quá trình giao dịch được chia nhỏ tiền nếu cần thiết. Tránh trao đổi 1 lần, rất dễ phải đối mặt với việc tiền mất, mà dữ liệu cũng không lấy được.

Khôi phục dữ liệu bị virus mã hóa

* Lưu ý:

– Khi bị virus mã hóa tống tiền, người dùng cần đưa ra quyết định nhanh về việc phục hồi dữ liệu bị virus mã hóa? Nếu quá thời hạn, số tiền mua key sẽ tăng lên gấp đôi hoặc nhiều lần. Thông thường trong vòng 10-15 ngày thì server trao đổi sẽ bị sập, lúc này sẽ bị mất vĩnh viễn dữ liệu.

– Dữ liệu bị mã hóa người dùng không nên tự ý làm theo hướng dẫn trên thông báo nhận được khi chưa có kinh nghiệm xử lý đối với những loại virus tống tiền. Thực tế nhiều khách hàng đã bị mã hóa thêm 2 đến 3 lần thậm chí lên đến 5 lần, lúc đó số tiền sẽ không thể lường trước được. Vì vậy chúng tôi khuyên các bạn nên mang thiết bị nhiễm mã độc đến các công ty cứu dữ liệu uy tín để nhờ hỗ trợ giải mã.

– Các cuộc tấn công virus mã hóa hiện nay chưa có giải pháp triệt để, và cũng chưa có cách nào ngừng lại các cuộc tấn công này. Tốt nhất là mọi người sử dụng cần có một giải pháp bảo vệ dữ liệu cho riêng mình. Cũng đừng ngại tìm hiểu thêm kiến thức về virus mã hóa, virus tống tiền.