1. Ransomware là gì.

Ransomware là một dạng phần mềm độc hại, nó ngăn chặn người dùng có thể truy cập và sử dụng dữ liệu bên trong máy chủ (hoặc máy tính nói chung). Kẻ tấn công sẽ yêu cầu một khoản tiền chuộc từ nạn nhân để khôi phục quyền truy cập dữ liệu (không phải lúc nào người dùng cũng lấy lại được dữ liệu khi thanh toán theo yêu cầu của kẻ tấn công).

2. Ransomware hoạt động như thế nào.

- Giống như các phần mềm độc hại khác, randsomware có thể thâm nhập máy tính người dùng trong khi:

      + Người dùng tìm và sử dụng các phần mềm crack.
      + Click vào các trang quảng cáo đã đính kèm link tự động download ransomware.
      + Truy cập các website không an toàn (website giả mạo, nội dung đồi trụy,..).
      + Tải và cài đặt các phần mềm không rõ nguồn gốc.
      + Click vào đường dẫn hoặc download các file đính kèm có randsomware thông qua email,….
      + Ngoài ra, kẻ tấn công sử dụng các bộ công cụ khai thác lỗ hổng bảo mật trên phần mềm (đôi khi cả hệ điều hành) để tấn công.

- Sau khi thâm nhập, ransomware sẽ tìm kiếm và mã hóa các tập tin trên máy chủ có phần mở rộng như file hình ảnh, tài liêu, bảng tính, cơ sở dữ liệu,...

- Khi việc này thực hiện xong, ransomware sẽ gửi khóa mã hóa và các thông tin khác đến máy chủ điều khiển tấn công.

- Bước cuối cùng, nạn nhân sẽ nhận được thông báo rằng các tệp của họ đã được mã hóa và họ cần phải trả tiền chuộc để có khóa giải mã.

3. Cách phòng ransomware.

- Sao lưu tất cả dữ liệu những quan trọng. Đảm bảo các bản sao lưu phải được bảo vệ thích hợp hoặc được lưu trữ ngoại tuyến để kẻ tấn công không thể truy cập hoặc xóa chúng. Bussiness Backup của Long Vân (https://longvan.net/business-backup.html) là một trong những giải pháp có thể đáp ứng được nhu cầu sao lưu với nhiều tùy chọn phù hợp.

- Máy tính phải được cài đặt phần mềm diệt virus có bản quyền, luôn theo dõi cập nhật dữ liệu virus mới nhất để luôn chủ động trong việc bảo vệ dữ liệu.

- Đảm bảo hệ điều hành và các phần mềm đang được sử dụng luôn được cập nhật thường xuyên, nhất là đối với các bản vá lỗi bảo mật.

- Cảnh giác với việc sử dụng email trên server và máy tính nói chung.

- Luôn có ít nhất một lớp firewall trên server, và chỉ mở những port cần thiết phục vụ cho việc chạy dịch vụ.

- Đặt mật khẩu truy cập theo chuẩn phức tạp ít nhất 8 ký tự bao gồm: ký tự thường, ký tự hoa, số và ký tự đặc biệt.

4. Cách xử lý khi server bị nhiễm randsomware.

- Sử dụng giao diện console để disable card mạng, ngắt mọi kết nối từ server ra bên ngoài (không thể sử dụng với các phương thức truy cập server qua internet thông thường như: Remote Desktop, Teamviewer,…).

- Sử dụng firewall, tạo rule trên firewall để block toàn bộ các incomming connection.

- Enable card mạng, cấu hình server kết nối với internet.

- Download phần mềm diệt virus và scan server để tìm và xóa tất cả các file bị nhiễm ransomware trên server.

Một số phần mềm quý khách có thể tham khảo như:

- https://www.zemana.com

- https://support.kaspersky.com/ksws10 

- https://www.bitdefender.com/solutions/anti-ransomware-tool.html 

Một số ứng dụng Quý khách có thể tham khảo để khắc phục các file bị mã hóa:

- https://trendmicro.ctydtp.vn/huong-dan/huong-dan-phuc-hoi-cac-file-bi-ma-hoa.html

- https://www.avast.com/ransomware-decryption-tools

- https://noransom.kaspersky.com 

Chú ý, mỗi ứng dụng chỉ có thể hỗ trợ giải mã một số loại randsomware nhất định.