Tải bản đầy đủ (.pdf) (24 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Kỹ thuật lập trình

Nghiên cứu mã độc ransomware và biện pháp phòng chống (tt)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.07 MB, 24 trang )

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
----------------------------------------

LÊ LONG BÌNH
NGHIÊN CỨU MÃ ĐỘC RANSOMWARE VÀ BIỆN PHÁP
PHÒNG CHỐNG
Chuyên ngành: HỆ THỐNG THÔNG TIN
Mã số: 60.48.01.04

TÓM TẮT LUẬN VĂN THẠC SĨ

HÀ NỘI – 2017


Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Người hướng dẫn khoa học: …Tiến sĩ Đỗ Xuân Chợ..........
(Ghi rõ học hàm, học vị)

Phản biện 1: ……………………………………………………………………………
Phản biện 2: …………………………………………………………………………..

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ
Bưu chính Viễn thông
Vào lúc: ....... giờ ....... ngày ....... tháng ....... .. năm ...............
Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông


1


MỞ ĐẦU
1. Lý do chọn đề tài.
Ngày nay, cùng với nhu cầu trao đổi thông tin, bắt buộc các cơ quan, tổ chức phải
hoà mình vào mạng Internet, an toàn và bảo mật thông tin là một trong những vấn đề quan
trọng hàng đầu. Cộng đồng công nghệ thông tin, đặc biệt đối với các doanh nghiệp, tổ chức
có hạ tầng thông tin tiên tiến hiện nay đang phải đối mặt với sự biến đổi, phức tạp từng ngày
của các nguy cơ mất an toàn thông tin.
Theo hiệp hội An Toàn Thông Tin Việt Nam hiện nay tội phạm máy tính vẫn đang
liên tục gia tăng. Bên cạnh đó, với sự xuất hiện ngày càng nhiều các hình thức tấn công hệ
thống máy tính với các kỹ thuật tinh vi và phức tạp. Đặc biệt trong những năm gần đây, các
hình thức tấn công và phát tán mã độc ngày càng phát triển và trở thành mối quan tâm hàng
đầu đối với các công ty và chuyên gia bảo mật. Các tổ chức và cá nhân, doanh nghiệpcàng
thêm lo lắng về các nguy cơ mất an toàn thông tin hơn khi có sự xuất hiện của mã độc tống
tiền (Ransomware). Ransomware là một biến thể mới của mã độc, khác với các mã độc khác
khi đã tấn công vào hệ thống máy tính thì tìm cách đánh cắp các dữ liệu hoặc lây nhiễm cho
toàn bộ hệ thống, Ransomware ngay lập tức tìm đến các file dữ liệu trong máy tính nạn
nhân để mã hóa, sau khi mã hóa xong thì toàn bộ dữ liệu này không thể sử dụng được nếu
nạnnhân không tự bỏ tiền ra mua khóa bí mật từ kẻ tấn công. Gần đây 1 số biến thể mới của
Ransomware đã không yêu cầu tiền chuộc mà nó sẽ đưa ra danh sách các phần mềm để
bẻkhóa dữ liệu ở trên mạng, tất nhiên các phần mềm này đều yêu cầu trả phí khi tải về.
Dự báo thời gian tới, mã độc Ransomware tiếp tục diễn biến phức tạp, khó lường.
Với việc kết hợp các công nghệ mới và liên tục thay đổi phương thức, thủ đoạn để tránh bị
phát hiện dẫn đến việc phòng chống là vô cùng khó khăn.
Mặc dù, thiệt hại của mã độc Ransomware đã gây ra là rất nghiêm trọng tuy nhiên
việc phòng chống hiện nay vẫn bị xem nhẹ, chưa được đầu tư đúng đắn. Do đó, việc nghiên
cứu về cơ chế hoạt động của mã độc Ransomware là điều rất quan trọng, giúp người sử
dụng internet hiểu được nguy cơ của loại hình tấn công này,qua đó mới đưa ra được những
phương án phòng chống mã độc Ransomware thích hợp để đạt được hiệu quả tốt nhất.
Từ những lý do trên, học viên chọn đề tài “Nghiên cứu mã độc Ransomeware và biện
pháp phòng chống”.Một đề tài còn tương đối mới và chưa được nghiên cứu sâu và rộng. Kết

quả nghiên cứu của đề tài sẽ đưa ra cái nhìn tổng quan nhất về mã độc Ransomware từ đó sẽ
đề xuất các giải pháp để phòng chống mã độc này. Qua đógiúp cho các cá nhân, doanh
nghiệp, tổ chức giảm thiểu hay tránh được hậu quả do cuộc tấn công mã độc Ransomeware
gây ra.

2. Tổng quan vấn đề cần nghiên cứu
Tương tự như các loại mã độc khác, Ransomware xâm nhập vào máy tính người
dùng thông qua các dữ liệu đính kèm từ email, phần mềm tải từ Internet hay chỉ đơn giản là
từ các website mà người dùng đã duyệt qua. Sau khi xâm nhập vào máy tính, nó sẽ tiến
hành mã hóa dữ liệu và yêu cầu tiền chuộc.


2

Không dừng lại ở đó, theo nghiên cứu của Cisco và hãng bảo mật Symantec, mã độc
Ransomware ngày càng sở hữu phương thức hoạt động tinh vi, nguy hiểm. Mã độc này
không tấn công mục tiêu qua hình thức email lừa đảo (email phishing), thay vào đó, nhắm
thẳng vào các lỗ hổng trên máy chủ (server) - tiêu biểu trong số đó là Samsam - mã độc
từng gây tê liệt toàn bộ hệ thống một bệnh viện Mỹ vào tháng 3/2016 (Why malware like
the Samsam ransomware are so dangerous for hospitals? - securityaffairs.co).
Nghiên cứu bảo mật từ CyberArk Labs cho thấy trong năm 2015 mã độc
Ransomware lây nhiễm gần 407.000 mục tiêu, tiêu tốn của các nạn nhân hơn 325 triệu USD
và con số này tiếp tục gia tăng. Nguy hiểm hơn, nghiên cứu cho thấy 70% mã độc
Ransomware chiếm quyền hạn quản trị trên thiết bị. (CyberArk Labs: Ransomware cyberark.com)
Bên cạnh đó, trong khảo sát mới được Malwarebytes công bố tháng 8-2016 cho thấy,
gần 40% của 540 công ty với tổng số nhân viên hơn 3 triệu người là nạn nhân của mã độc
Ransomware ( Công bố những loại mã độc ransomware tung hoành nhiều nhất năm 2015Dantri.com.vn). Doanh nghiệp vừa và nhỏ trở thành mục tiêu chính của mã độc
Ransomware.
Trên đây có thể thấy rằng, mức độ nguy hiểm của mã độc Ransomware đã được cảnh
báo trước, nhưng các tổ chức, cá nhân, doanh nghiệp vẫn chưa được trang bị các kiến thức

cụ thể để có thể tự bảo vệ mình trước cuộc tấn công này. Từ những mối nguy hại mà mã độc
Ransomware đã, đang và sẽ gây nên thì vấn đề phòng chống như thế nào là vấn đề vô cùng
quan trọng và cấp thiết hiện nay. Phương pháp phòng chống mã độc Ransomware dựa trên
phương diện là quản lý rủi ro, công nghệ và phương diện con người. Tuy nhiên, trong khuôn
khổ luận văn, học viên sẽ tập trung đi sâu nghiên cứu và tìm hiểu giải pháp phòng mã độc
Ransomware trên phương diện công nghệ.
Vì mã độc Ransomware đòi hỏi nhiều công cụ cũng như các giai đoạn tấn công để
thành công do vậy, giải pháp bảo mật thông minh đó là việc thực hiện chiến lược phòng thủ
đa tầng để chống lại mã độc này. Điều quan trọng là mã độc Ransomware biến đổi không
lường và luôn thay đổi cách thức hoạt động. Chính vì vậy không có giải pháp duy nhất nào
có thể bảo vệ dữ liệu khỏi mã độc Ransomware, mà chỉ có cách tích hợp nhiều giải pháp với
nhau trong đó sức mạnh của phương pháp này sẽ bù đắp nhược điểm của phương pháp kia.
Từ đó, các cá nhân, tổ chức và doanh nghiệp tăng khả năng bảo vệ mình trước mã độc
Ransomware.
3. Mục đích nghiên cứu
• Nghiên cứu về mã độc Ransomware: đặc điểm, cách thức tấn công; kỹ thuật phát tán,
kỹ thuật mã hóa và giải mã.
• Nghiên cứu các giải pháp công nghệ để phòng chống mã độc Ransomware.
• Ứng dụng công nghệ để phòng chống mã độc Ransomware.
4. Đối tượng và phạm vi nghiên cứu


Đối tượng nghiên cứu: các kỹ xâm nhập, phát tán mã hóa và giải mã của mã độc
Ransomware.


3




Phạm vi nghiên cứu: Các kỹ thuật, các giải pháp, các công nghệ phòng chống mã độc
Ransoware.
5. Phương pháp nghiên cứu
5.1 Phương pháp nghiên cứu tài liệu:
- Nghiêncứu lý thuyết và định nghĩavề malware nói chung và Ransomware nói
riêng.
- Nghiên cứu báo cáo về các cuộc tấn công đã được ghi nhận từ đó tìm hiểu cách
thức lây lan.
5.2 Phương pháp thực nghiệm:
-

Mô phỏng giả lập một cuộc tấn công bằng Ransomware.
Xây dựng mô hình giải pháp công nghệ để ngăn chặn.

Dự kiến cấu trúc nội dung luận văn gồm 3 chương như sau:
Chương 1: TỔNG QUAN VỀ MÃ ĐỘC RANSOMWARE
Chương 2: CÁC GIẢI PHÁP PHÒNG CHỐNG MÃ ĐỘC RANSOMWARE
Chương 3: THỰC NGHIỆM VÀ ĐÁNH GIÁ


4

CHƯƠNG 1: TỔNG QUAN VỀ MÃ ĐỘC RANSOMWARE
1.1. Giới thiệu chung về mã độc
1.1.1. Khái niện
Mã độc là “một chương trình (program) được chèn một cách bí mật vào hệ thống với
mục đích làm tổn hại đến tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của hệ thống”.Theo
định nghĩa này thì sẽ bao hàm rất nhiều thể loại mà vẫn quen gọi chung là virus máy tính
như: worm, trojan, spy-ware, ... thậm chí là virus hoặc các bộ công cụ để tấn công hệ thống
mà các hacker thường sử dụng như: backdoor, rootkit, key-logger. Như vậy mã độc bản chất

là một phần mềm như những phần mềm khác trên máy tính mà vẫn sử dụng hàng ngày, nó
có đầy đủ những đặc điểm, tính chất của một phần mềm bình thường chỉ khác là nó có thêm
tính độc hại (malicious).
1.1.2. Phân loại
Tùy thuộc vào cơ chế, hình thức lây nhiễm và phương pháp phá hoại mà người ta
đưa ra nhiều tiêu chí để phân loại mã độ, nhưng 2 tiêu chí được sử dụng nhiều nhất là phân
loại theo hình thức lây nhiễm và theo phân loại của NIST (National Institute of Standart and
Technology).
- Phân loại theo hình thức lây nhiễm: Dựa vào hình thức phân loại này thì mã độc gồm
2 loại chính: một loại cần chương trình chủ để tồn tại và lây nhiễm, chương trình chủ ở đây
có thể là các tập tin dữ liệu, các tập tin ứng dụng, hay các tập tin chương trình thực thi… và
loại thứ hai đó chính là tồn tại độc lập không cần chương trình chủ để lây nhiễm. Không cần
chương trình chủ nghĩa là chương trình độc hại có thể được lập lộc và chạy trên hệ điều
hành. Không độc lập (needs host program) là một đoạn chương trình đặc biệt thuộc một
chương trình nào đó không thể thực thi độc lập như một chương trình thông thường hay tiện
ích nào đó mà bắt buộc phải có bước kích hoạt chương trình chủ trước đó thì chương trình
mới chạy được.

Hình 1.1. Phân loại mã độc theo hình thức lây nhiễm

1.1.3. Cách thức phát tán mã độc
Từ người dùng:Hiện nay mã độc chủ yếu lây nhiễm vào hệ thống thông tin bằng cách


5

đánh vào nhận thức cũng như tâm lý của người dùng. Mã độc có thể lây nhiễm vào máy tính
người sử dụng thông qua các tập tin đính kèm thư. Các tập tin này thường đính kèm các thư
điện tử của người lạ gửi đến nạn nhân hoặc thư điện tử giả mạo một cơ quan tổ chức.
Từ máy trạm: Các tổ chức ngiên cứu về bảo mật thông tin đã phát hiện ra rằng các

máy trạm (máy đầu cuối – endpoint) là một trong các nguyên nhân chính mà mã độc phát
tán. Máy trạm là bất kì thiết bị máy tính nào có kết nối với mạng của tổ chức như các máy
tính để bàn, máy lapto, hoặc các thiết bị điện tử có vùng lưu trữ, cổng vào ra, kết nối với địa
chỉ IP…. đều là cơ sở để phát tán mã độc.
Từ mạng xã hội: Hiện nay trên thế giới có hàng trăm mạng xã hội khác nhau như
MySpace, Facebook,Zingme,YuMe,Zalo,Twitter…. Trong khi mạng xã hội được xem là
phương tiện giao tiếp tốt với mọi người thì nó cũng trở thành mục đích cho lây lan mã độc.
Mạng xã hội hoạt động trên nguyên tắc kết nối và chia sẻ thông tin, do đó các mạng xã hội
bắt buộc người sử dụng cung cấp một số thông tin nhất định các thông tin cá nhân. Càng
nhiều thông tin mà người sử dụng cung cấp lên mạng xã hội càng làm tăng nguy cơ bị kẻ
xấu lợi dụng. Hiện nay trên các mạng xã hội có rất nhiều ứng dụng cho người dùng nhưng
trong đó có những ứng dụng đã cài kèm chương trình độc hại.
Từ thiết bị di động: Hiện nay sự bùng nổ của các thiết bị di động kéo theo nó là sự
phát triển của các loại mã độc trên nền tảng này. Các thiết bị di động thông minh đang phát
triển nhanh chóng, đi cùng với nó là kho ứng dụng khổng lồ mà các lập trình viên phát triển.
Mã độc trên nền tảng này lây nhiểm chủ yếu thông qua ứng dụng được người dùng tải về và
cài đặt ngay trên máy cá nhân. Các dạng mã độc kiểu này có thể kiểm soát bởi chính người
sử dụng hoặc bị chặn bởi nhà cung cấp hệ điều hành do chúng yêu cầu các hành vi có thể bị
nhận dạng là nguy hiểm.
1.2. Giới thiệu về mã độc Ransomware
1.2.1. Khái niệm
Thuật ngữ ransomware được đưa ra bởi Adam L.Young và Moti Yung tại Đại học
Columbia và đã được trình bày tại hội nghị IEEE Security & Privacy năm 1996.
Ransomware là một loại mã độc ngăn chặn hoặc giới hạn người dùng sử dụng thiết bị, hệ
thống hoặc dữ liệu của mình. Một số thì mã hóa tập tin khiến người dùng không thể mở
được tài liệu trong máy, một số khác thì dùng cơ chế khóa máy để không cho người dùng
tiếp tục sử dụng. Hầu hết các phần mềm Ransomware đều chiếm quyền và mã hóa toàn bộ
thông tin của nạn nhân mà nó tìm được (thường gọi là Cryptolocker), còn một số loại
Ransomware khác lại ẩn đi các gói dữ liệu trên máy tính (tên khác là CTB Locker).
Ransomware buộc nạn nhân trả tiền để có lại quyền sử dụng các dữ liệu hoặc thông tin của

người dùng. Hình thức thanh toán thường được thanh toán bằng bitcon nhằm che dấu danh
tính để xóa dấu vết. Nhưng cũng cần nhấn mạnh rằng ngay cả khi nạn nhân trả tiền rồi thì
không có gì đảm bảo tin tặc sẽ cấp quyền trở lại.Nguy hiểm hơn, có một số ransomware còn
thâm nhập vào Master Boot Record (MBR) của một máy tính. Bằng cách này, ransomware
sẽ ngăn không cho hệ điều hành chạy lên, hay nói cách khác là làm tê liệt luôn cả hệ thống.
1.2.2. Lịch sử phát triển


6

Vụ tấn công ransomware xuất hiện lần đầu tiên vào năm 1989 với tên gọi “AIDS
Trojan” được viết bởi Joseph Popp.Những trường hợp đầu tiên bị tấn công bởi mã độc
ransomware là tại Nga vào năm 2005 – 2006.Khi đó, một ransomare mang số hiệu
TROJ_CRYZIP.A đã nén các tập tin quan trọng của người dùng lại thành một tập tin zip rồi
xóa đi các tập tin gốc. Để mở tập tin zip này thì cần có password. TROJ_CRYZIP.A còn tạo
một tập tin văn bản để làm "thư tống tiền", trong đó nói rằng người dùng muốn có password
để mở tập tin zip thì phải trả 300$.Vào tháng 6 năm 2008, một biến thể được gọi là
Gpcode.AK đã được phát hiện sử dụng thuật toán mã hóa RSA 1024-bit. Tại thời điểm đó
chưa xuất hiện công cụ nào đủ lớn để tính toán để giải mã trong thời gian ngắn.
Tháng 8 năm 2010, tấn công tại Nga bằng mã độc WinLock. WinLock đã không sử
dụng mã hóa. Thay vào đó, WinLock đã hạn chế khả năng truy cập vào hệ thống bằng cách
hiển thị các hình ảnh khiêu dâm và yêu cầu người dùng gửi tin nhắn SMS có tỷ lệ phí
(khoảng 10$) để nhận mã số có thể dùng để mở khóa máy.Vụ tấn công này gây ra nhiều khó
khăn khiến người dùng bực mình diễn ra trên khắp nước Nga và các nước láng giềng – theo
báo nhóm này đã thu được 16 triệu USD nhờ ransomware này.Trong năm 2011,
ransomware tấn công vào hệ điều hành Windows và thông báo cho người dùng rằng việc cài
đặt Windows của hệ thống phải được kích hoạt lại do "là nạn nhân của gian lận". Năm 2012,
ransomware TROJ_RANSOM.BOV "nhúng" vào một trang web bán hàng của Pháp, từ đó
lây nhiễm xuống máy tính người dùng tại Pháp và Nhật. Tháng 2 năm 2013, một
ransomware dựa trên bộ công cụ khai thác stamp.ek lây lan thông qua các trang web lưu trữ

trên dịch vụ lưu trữ SourceForge và GitHubVào tháng 7 năm 2013, ransomware đặc biệt
OS-X đã xuất hiện, hiển thị trang web cáo buộc người dùng tải nội dung khiêu dâm. Cuối
năm 2013, một loại ransomware mới xuất hiện. Những biến thể này giờ đây mã hóa tập tin
thay vì khóa máy tính như lúc trước, vì vậy mà chúng được gọi bằng cái tên
"CryptoLocker". Bằng cách này, tin tặc có thể đảm bảo rằng người dùng vẫn phải trả tiền
ngay cả khi họ đã dùng các công cụ bảo mật để xóa mã độc. Bằng hình thức này tin tặc phát
tán ransomware CryptoLocker đã thu được 27 triệu USD từ các nạn nhân.Khoảng cuối năm
2013, một biến thể mới của CryptoLocker xuất hiện. Với tên gọi WORM_CRILOCK.A,
biến thể này có thể lây lan thông qua các ổ USB hay HDD rời, điều này làm tốc độ phát tán
tăng lên so với các biến thể khác. Một biến thể khác cũng không kém phần nguy hiểm là
CryptoDefense (tên khác: Cryptorbit). Nó mã hóa rất nhiều thứ, từ các lịch sử duyệt web, cơ
sở dữ liệu, hình ảnh, phim, các tập tin Office và hơn thế nữa. Nó còn thông minh đến mức
có khả năng đi tìm các tập tin backup và xóa đi để người dùng không thể làm gì khác ngoài
việc trả tiền để được cung cấp khóa giải mã.Vào ngày 12 tháng 5 năm 2017, biến thể mới
của ransomware có tên là WannaCry tấn công các máy tính trên toàn thế giới. Đến nay, đã
có hơn 45.000 cuộc tấn công được ghi nhận tại 99 quốc gia.
1.2.3. Phân loại
Ngày nay, có hai loại Ransomware phổ biến là:
● Locker Ransomware – Ngăn chặn người dùng truy cập máy tính hoặc thiết bị.
● Crypto Ransomware – Ngăn chặn người dùng truy cập dữ liệu hoặc tập tin, sử
dụng hệ mật mã mạnh như AES, RSA mã hóa dữ liệu người dùng.


7

Trong số các biến thể này ta có thể kể đến các đại diện tiêu biểu nhất như: reveton,
cryptolocker, cryptolocker.f and torrentlocker, cryptowall, fusob, wannacry….
Cryptolocker: Các cuộc tấn công của ransomware cryptolocker là một tấn công
mạng xảy ra từ 05 tháng 9 năm 2013 đến cuối tháng năm 2014 mục tiêu nhằm vào các máy
tính chạy hệ điều hành Microsoft Windows. Nó được phát tán qua các tập tin đính kèm

email bị nhiễm, và thông qua một botnet. Cryptolocker đã bị cô lập vào cuối tháng 5 năm
2014 nhờ chiến dịch Tovar – cô lập mạng botnet Gameover ZeuS ( botnet đã được sử dụng
để phân phối phần mềm độc hại). Trong chiến dịch này một số công ty bảo mật tham gia
vào việc thu thập cơ sở dữ liệu của khóa cá nhân được sử dụng bởi cryptolocker đã xây
dụng một công cụ trực tuyến mở khóa dữ liệu miễn phí cho người. Các báo cáo chỉ ra rằng
nhóm tin tặc phát tán cryptolocker đã thu được khoảng 3 triệu USD từ các nạn nhân.
WannaCry là một phần mềm độc hại mã độc tống tiền tự lan truyền trên các máy
tính sử dụng Microsoft Windows. Vào ngày 12 tháng 5 năm 2017, WannaCry bắt đầu gây
ảnh hưởng đến các máy tính trên toàn thế giới. Đến nay, đã có hơn 45.000 cuộc tấn công
được ghi nhận tại 99 quốc gia. Nga là nước chịu ảnh hưởng nặng nề nhất, tiếp đến
là Ukraina, Ấn Độ và Đài Loan, Việt Nam cũng là một trong những nước bị tấn công nhiều
nhất. Sau khi xâm nhập vào các máy tính, mã độc tống tiền mã hóa ổ đĩa cứng của máy tính,
sau đó cố gắng khai thác lỗ hổng SMB để lây lan sang các máy tính ngẫu nhiên trên
Internet, và các máy tính trên cùng mạng LAN. Do được mã hóa theo thuật toán RSA 2048bit rất phức tạp, tính đến thời điểm hiện tại, gần như không có một cách nào để giải mã các
tập tin đã bị WannaCry mã hóa. Khi lây nhiễm vào một máy tính mới, WannaCry sẽ liên lạc
với một địa chỉ web từ xa và chỉ bắt đầu mã hóa các tập tin nếu nó nhận ra địa chỉ web đó
không thể truy cập được. Nhưng nếu nó có thể kết nối được, WannaCry sẽ tự xóa bản thân –
một chức năng có thể đã được cài đặt bởi người tạo ra nó như một "công tắc an toàn" trong
trường hợp phần mềm trở nên không kiểm soát được. Một chuyên gia công nghệ khám phá
ra địa chỉ web không được đăng ký này và mua nó với giá chưa đến 10 Euro, vụ tấn công
tạm thời được ngăn chặn.
1.3. Nguyên tắc hoạt động của ransomware
1.3.1. Lây nhiễm
Spam Mail: Trong nhiều năm thư rác là một kỹ thuật tốt để phân phối các phần mềm
độc hại và Ramsomware cũng vậy. Tội phạm mạng sử dụng botnet để gửi thư tác. Những
tội phạm mạng cũng có thể cung cấp một dịch vụ gửi thư rác cho những kẻ tấn công khác
nhằm thu phí. Các thư rác thường đi kèm trong các hình thức của một mail chứa file đính
kèm hoặc liên kết đến một trang web khác dùng để khai thác. Các thư rác cũng có thể hiện
một loạt các kĩ thuật đánh vào tâm lý nhằm lừa người dùng cài đặt ransomware.
Download & botnet: Phương pháp này là một trong những cách để phân phối phối

phần mềm độc hại được gọi là phần mềm download. Một khi các downloader nhiễm phần
mềm đọc hại cài đặt trên máy tính.


8

Kỹ thuật Social Engineering: Một số ransomware cũng chứa các chức năng lây lan.
Ví dụ trên Android có một số virus không những chỉ khóa mã hóa tập tin chúng còn lây lan
sang các địa chỉ liên lạc trong địa chỉ của thiết bị bằng các gửi các SMS xã hội
Chuyển hướng điều khiển: Một phương pháp phổ biến là sử dụng bởi các dịch vụ
phân phối để web chuyển hướng từ một dịch vụ này sang một trang web khác dùng để khai
thác.
Quảng cáo độc hại: quảng cáo độc hại được biết đến với cái tên malvertisments có
thể được đẩy lên các website nhằm mục đích chuyển hướng truy cập của người dùng.
Ngoài ra máy tính còn có thể bị lây nhiễm thông qua đường khác như qua các thiết bị
lưu trữ ngoài như USB, qua quá trình cài đặt phần mềm không rõ nguồn gốc, sao chép dữ
liệu từ máy bị nhiễm mã độc...
1.3.2. Dấu hiệu nhận biết nhiễm ransomware và xử lý
Theo các kết quả phân tích của các chuyên gia VNIST, quá trình phá huỷ dữ liệu của
mã độc Ransomware sẽ không thể thực hiện ngay lập tức mà cần một khoảng thời gian nhất
định và thường xuất hiện một số dấu hiệu sau mà không rõ lý do:
- Máy tính xử lý chậm;
- Đèn báo ổ cứng hoạt động liên tục;
- Xuất hiện một số thông báo tiếng anh lạ trên màn hình máy tính;
- Một số tệp tin không thể mở được;
- Xuất hiện một số tệp tin có đuôi lạ (ví dụ: .encrypted, .frtrss, , ) v.v…
Khi mã độc lây nhiễm vào máy tính, mã độc sẽ tiến hành quét và mã hóa các tập tin
trong một khoảng thời gian. Do đó, việc phản ứng nhanh khi phát hiện ra sự cố có thể giúp
giảm thiểu thiệt hại cho dữ liệu trên máy tính và tăng khả năng khôi phục dữ liệu bị mã hóa.
Cụ thể cần thực hiện các thao tác sau:

- Nhanh chóng tắt máy tính bằng cách ngắt nguồn điện;
- Không được khởi động lại máy tính theo cách thông thường mà phải khởi động từ hệ
điều hành sạch (khuyết nghị điều hành Linux) bằng cách khởi động từ CD, USB,... sau đó
thực hiện kiểm tra các tập tin dữ liệu và sao lưu các dữ liệu chưa bị mã hóa;
- Các tập tin đã bị mã hóa tương đối khó để giải mã. Tuy nhiên, trong một số trường hợp
có thể sử dụng các phần mềm khôi phục dữ liệu như FTK, EaseUs, R-STUDIO,... để khôi
phục các tập tin nguyên bản đã bị xóa;
- Cài đặt lại toàn bộ hệ thống, cài đặt phần mềm diệt virus đồng thời thiết lập chế độ cập
nhật phiên bản tự động.
1.3.3. Mã hóa và giải mã
- Xử dụng thuật toán mã hóa khóa bí mật: Ransomware sử dụng mã hóa đối
xứng, thông thường sẽ ransomware tạo ra một khóa trên máy tính bị nhiễm và gửi về cho kẻ


9

tấn công. Việc hacker sử dụng mã hóa đối xứng để mã hóa các file dữ liệu vì khi sử dụng
loại mã hóa này thì thời gian mã hóa rất nhanh và rất an toàn. Crypto ransomware nhanh
chóng tìm kiếm và mã hóa một số lượng lớn các tập tin, do đó hiệu suất là điều cần thiết để
mã hóa tập tin trước khi nạn nhân nhận biết được mối đe dọa. Thuật toán mã hóa đối xứng
điển hình thường được ransomware áp dụng là AES 128 bit hoặc AES 256 bit.
Xử dụng thuật toán mã hóa khóa công khai: Tuy nhiên, một số loại ransomware sử
dụng khóa bất đối xứng để mã hóa dữ liệu của nạn nhân. Mã hóa bất đối xứng sử dụng hai
khóa: khóa công khai được sử dụng để mã hóa dữ liệu và khóa riêng được sử dụng để giải
mã dữ liệu được mã hóa. Chỉ có khóa riêngtương ứng mới có thể được sử dụng để giải mã
dữ liệu. Crypto ransomware có thể sử dụng mã hóa bất đối xứng bằng cách mã hóa các tập
tin của người dùng với các khóa công khai và giữ khóa riêng cho bản thân. Tuy nhiên trong
thực tế, rất hạn chế sử dụng một khóa công khai để mã hóa số lượng lớn các tập tin, bởi mã
khóa công khai rất chậm hơn nhiều so với mã hóa khóa bí mật. Phải mất một thời gian lớn
để hoàn thành việc mã hóa do đó rất dễ bị nạn nhân phát hiện khi đang tiến hành mã hóa dữ

liệu. Thuật toán mã hóa bất đối xứng thường được xử dụng là thuật toán RSA 1024 bit hoặc
RSA 2048 bit
Xử dụng kết hợp giải thuật mã hóa khóa đối xứng và bất đối xứng: Nhiều crypto
ransomware tiên tiến thường sử dụng kết hợp kỹ thuật mã hóa đối xứng và bất đối xứng.
Các biến thể mà sử dụng mã hóa bất đối xứng cũng có thể tạo ra cặp khóa công khai-riêng
cho mỗi máy tính bị nhiễm. Điều này cho phép kẻ tấn công để giải mã các tập tin trên một
máy tính bị nhiễm mà không tiết lộ khóa riêng. Khóa riêng này có thể là khóa chung để giải
mã dữ liệu trên máy tính của nhiều nạn nhân. Thuật toán mã hóa đối xứng và bất đối xứng
thường được sử dụng trong một số biến thể mới của ransomware là AES 256 bit và RSA
2048 bit.
1.3.4. Phân phối và quản lý khóa
a. Quản lý khóa với ransomware sử dụng mã hóa đối xứng
b. Quản lý khóa với ransomware sử dụng mã hóa bất đối xứng
c. Quản lý khóa với ransomware sử dụng kết hợp mã hóa khóa đối xứng và bất đối
xứng
- Sinh cặp khóa công khai và khóa riêng ở máy nạn nhân, sau đó gửi khóa lên
server, hoặc với mỗi ransomware nhiễm cho từng máy tính có nhúng sẵn một
public key.
- Mỗi khi ransomware chạy sẽ yêu cầu khóa từ server, server tạo khóa và chỉ gửi
khóa công khai về cho ransomware.
1.4. Tình hình phát triển mã độc ransomware và những biến thể mới
Đối tượng tấn công của Ransomware được chia ra làm ba loại:
• Hộ gia đình: Ransomware rất hiệu quả đối với cá nhân không thông thạo với máy
tính hay không có nhận thức về Ransomware và cách thức nó hoạt động.


10

• Khối doanh nghiệp: Thông tin và loại hình công nghệ sử dụng đã trở thành thứ quyết
định sống còn của doanh nghiệp. Giả định rằng một doanh nghiệp có hàng tỷ lượt

giao dịch trên hệ thống và bị Ransomware tấn công.
• Người dùng công cộng: Các cơ quan công cộng như tổ chức giáo dục, chăm sóc sức
khỏe, tổ chức thực thi pháp luật cũng không ngoại trừ khả năng bị tấn công của
Ransomware.
Từ những lý do trên có thể thấy rằng quy mô và hình thức phát tán của mã đọc
ransomware không có giới hạn và phạm vi.
Tình hình phát tán mã độc ransomware
Số lượng người dùng bị tấn công phân loại theo địa lí được thống kê bởi khách hàng
sử dụng sản phẩm bảo mật của Kaspersky trên toàn cầu.Trong số đó, Ấn Độ, Brazil và Đức
dẫn đầu danh sách với số lượng người dùng bị tấn công ngày một tăng, số lượng người dùng
tại Hoa Kỳ, Việt Nam, Algeria, Ukraine và Kazakhstan giảm nhẹ.
a. Locky Ransomware: Locky được phát hiện đầu tiên vào tháng 2 năm 2016. Loại
ransomware này thường được gửi dưới dạng file đính kèm email, có tiêu đề ‘Invoice J-00’.
Email có chứa tài liệu văn bản mà macro “lập trình” trong đó.
b. Cerber Ransomware: Cerber là có một dạng phần mềm độc hại thông minh và thậm
chí là còn khá “mạnh”. Lí do là bởi vì nó là phần mềm miễn phí, có sẵn để người dùng tải
về, cài đặt và vô tình bị phần mềm này “tấn công” hệ thống mà không hề hay biết. Loại
ransomware này sử dụng hai phương pháp “vận chuyển”.
c. WannaCry: 5/2017 cả thế giới chấn động về loại Ransomware mới. Virus
WannaCry đang trở thành mã độc tống tiền nguy hiểm chưa từng có trong lịch sử.
WannaCry và các biến thể của nó khai thác một lỗ hổng trên hệ điều hành Windows mà Cơ
quan An ninh Quốc gia Mỹ (NSA) nắm giữ. Tội phạm mạng đã sử dụng chính những công
cụ của NSA để lây lan ransomware. Lỗ hổng nghiêm trọng này trên hệ điều hành Windows
cũng mới chỉ được phát hiện vào tháng 2 năm nay. Microsoft đã ra bản vá vào ngay tháng 3
nhưng có rất nhiều máy tính trên thế giới không được nhận kịp thời bản cập nhật này.
Kết luận chương 1
Những kết quả đạt được trong chương 1 như sau:
-

-


-

Trình bày tổng quan về mã độc bao gồm: khái niệm, phân loại, cách thức phát
tán.... Kết quả nghiên cứu chỉ ra rằng: tấn công bằng mã độc là kỹ thuật tấn công
nguy hiểm và không có một biện pháp đối phó nào có thể ngăn chặn hữu hiệu sự
phát tán và tấn công bằng mã độc.
Trình bày tổng quan về mã độc tống tiền Ransomware bao gồm: khái niệm, phân
loại, hình thức tấn công, phát tán và nguyên tắc mã hóa, giải mã, trao đổi khóa.
Những kết quả ban đầu cho thấy, tấn công mã độc ransomware lợi dụng điểm yêu
của con người để phát tán và tống tiền.
Trình bày một số biến thể mới của ransomware cũng như mức độ ảnh hưởng và
sự nguy hiểm của các biến thể ransomware đến người dùng cá nhân, tổ chức và


11

quốc gia.

CHƯƠNG 2: GIẢI PHÁP PHÒNG CHỐNG MÃ ĐỘC RANSOMWARE
2.1. Con người
2.1.1. Nâng cao nhận thức về an toàn thông tin
- Không mở những thư điện tử hoặc tập tin đính kèm từ những địa chỉ của người gửi
không rõ ràng hoặc có dấu hiệu nghi ngờ.
- Không truy cập vào các popup trên trình duyệt mà cảm thấy nghi ngờ hoặc có dấu
hiệu bất thường.
- Không truy cập vào những trang web có khả năng chứa nội dung độc hại.
- Không mở các tập tin với phần mở rộng có khả năng kết hợp với phần mềm độc hại
(Ví dụ: .bat, .exe, .pif, .vbs...).
- Không được vô hiệu hoá các cơ chế kiểm soát an ninh (ví dụ như không được tắt

phần mềm Anti-virus, phần mềm phát hiện gián điệp, tường lửa cá nhân).
- Không sử dụng những tài khoản có quyền quản trị cấp cao cho hoạt động thông
thường.
- Không tải hoặc thực thi các ứng dụng từ các nguồn không tin cậy.
2.1.2. Đào tạo kỹ thuật an toàn thông tin
Các tổ chức cũng cần đào tạo giúp cho các cán bộ, nhân viên biết về chính sách và
phương pháp áp dụng để xử lý sự cố phần mềm độc hại (Ví dụ: làm thế nào để xác định
thiết bị, máy tính đang dùng bị nhiễm mã độc, làm thế nào để báo cáo một máy tính nghi
ngờ bị nhiễm, những gì nhân viên có thể cần phải làm ngay để hỗ trợ xử lý sự cố (Ví dụ: cập
nhật phần mềm Anti-virus, hệ thống quét phần mềm độc hại). Các nhân viên nên được biết
về các sự cố về mã độc hại phổ biến, như vậy khi xảy ra việc tương tự họ có phương hướng
báo cáo để xử lý. Ngoài ra, các nhân viên cần phải biết cách thích ứng với môi trường làm
việc thay đổi, khi xảy ra các sự cố liên quan đến mã độc, hệ thống có thể bị cách ly hoặc hệ
thống thư điện tử bị vô hiệu hóa, các nhân viên cần có các giải pháp để vẫn tiếp tục hoàn
thành công việc trong đơn vị tổ chức.
2.2. Công nghệ
2.2.1. Antivirus

Hình 2.1: Các phần mềm Antivirus phổ biến hiện nay

Phần mềm Anti-virus là một trong những phương pháp kỹ thuật thường được sử
dụng để giảm thiểu các rủi ro về malware nói chung và mã độc Ransomware nói riêng.
Một số phần mềm diệt Ransomware có thể ứng dụng:


12

▪ Microsoft Security Essentials (Windows 7 trở lên)
▪ Semantec Norton Antivirus
▪ Kaspersky Antivirus

▪ BitDefender Antivirus
▪ AVG Antivirus
▪ McAfee VirusScan
▪ Trend Micro Antivirus
▪ F-secure
▪ BKAV
2.2.2. Firewalls
Tường lửa là thuật ngữ chuyên ngành mạng máy tính nó thể hiện một kỹ thuật được
tích hợp vào hệ thống mạng để chống sự truy cập trái phép nhằm bảo vệ các nguồn thông tin
nội bộ cũng như hạn chế sự xâm nhập của một số truy cập không mong muốn vào hệ thống
của các cá nhân, tố chức, doanh nghiệp, cơ quan chính phủ . Tường lửa có hai loa ̣i, phầ n
mề m hoă ̣c phầ n cứng, có tác du ̣ng như mô ̣t biên giới bảo vê ̣ và lo ̣c những kẻ xâm nhâ ̣p
không mong muố n trên Internet.

Hình 2.2. Mô hình tưởng lửa ngăn chặn hình thức phát tán ransomware

Một số hệ thống tường lửa được tích hợp các giải pháp Gateway Antivirus và Spam
Blocker để chống lại các mẫu của ransomware:
● Gateway AntiVirus hoạt động song song với dịch vụ kiểm soát lớp nội dung cung
cấp bảo vệ thời gian thực cho hệ thống mạng khỏi các mối nguy như Ransomware
bằng cách quét các lưu lượng ở tất cả các giao thức quan trọng, bằng cách cập nhật
các hành vi/chữ ký về các mối đe doạ đó để phát hiện và ngăn chặn tất cả các loại mã
độc hại.
● Spam Blocker hoạt động trong cả hai giao thức POP và SMTP. Quản trị viên có thể
quyết định email đó sẽ được cho phép, ngăn chặn các email spam, Virus hoặc các file
đính kèm có chưa virus Ransomware.
2.2.3. Instrution Detection (IDS/ Instrution Prevention(IPS)
Hệ thống phát hiện xâm nhập IDS là hệ thống có nhiệm vụ theo dõi, phát hiện và (có
thể) ngăn cản sự xâm nhập, cũng như các hành vi khai thác trái phép tài nguyên của hệ



13

thống được bảo vệ mà có thể dẫn đến việc làm tổn hại đến tính bảo mật, tính toàn vẹn và
tính sẵn sàng của hệ thống.
➢ Cơ chế hoạt động của hệ thống IDS/IPS: Có 2 cách tiếp cận cơ bản đối với việc
phát hiện và phòng chống xâm nhập là:
- Phát hiện sự lạm dụng ( Misuse Detection Model): Hệ thống sẽ phát hiện các xâm
nhập bằng cách tìm kiếm các hành động tương ứng với các kỹ thuật xâm nhập đã
được biết đến( dựa trên các dấu hiệu – signatures) hoặc các điểm dễ bị tấn công của
hệ thống.
- Phát hiện sự bất thường( Anomaly Detection Model): Hệ thống sẽ phát hiện các xâm
nhập bằng cách tìm kiếm các hành động khác với hành vi thông thường của người
dùng hay hệ thống.
2.2.4. Sandboxing
Sandbox là một môi trường dùng để chạy phần mềm và môi trường đó được nằm
trong sự kiểm soát chặt chẽ. Sandbox có tác dụng cô lập các ứng dụng, ngăn chặn các phần
mềm độc hại để chúng không thể làm hỏng hệ thống máy tính, hay cài cắm các mã độc
nhằm ăn cắp thông tin. Sandbox giúp hạn chế chức năng của một đoạn mã, cấp quyền cho
một đoạn mã nào đó chỉ được thực hiện một số chức năng nhất định, từ đó nó không thể
thực hiện những can thiệp khác có thể làm nguy hại cho máy tính người dùng.
2.2.5. Security Information Event Management (SIEM)
- Security event management (SEM): Thu thập các event log data do các thành phần (
thiết bị, ứng dụng) trong hệ thống tạo ra. Sau đó tập trung hóa việc lưu trữ và xử lí,
phân tích các sự kiện rồi lập báo cáo, đưa ra thông báo, cảnh báo liên quan đến an
ninh của hệ thống.
- Security information management(SIM): Thông tin được lưu trữ từ SIM, được sử
dụng để báo cáo dữ liệu đăng nhập cho bất kì thời gian nhất định.
2.2.6. Web Gateway
Web Gateway lọc chặn virus, Spyware, Phishing, trước khi chúng có thể thâm nhập

vào hệ thống, ngăn chặn nguy cơ mất dữ liệu, tự động bảo vệ chống lại các mối đe dọa khi
người dùng truy cập Internet. Bằng cách kết hợp với điều khiển ứng dụng, quét phần mềm
độc hại, kiểm tra web reputation theo thời gian thực, lọc URL, và phát hiện chống botnet.
2.2.7. Mail Gateway
Mail Gateway được tích hợp khả năng phòng chống thư rác nhiều lớp và chống lừa
đảo (anti-phishing) sử dụng bộ lọc mã độc và phần mềm gián điệp. Khả năng lọc nội dung
(content filtering) của Mail Gateway giúp tổ chức dễ dàng thiết đặt các chính sách kiểm soát
việc tuân thủ CNTT của người dùng và ngăn chặn rò rỉ dữ liệu.
2.2.8. Big data (Dữ liệu lớn)
Trong những năm gần đây xu thế tấn công của ransomware ngày càng tinh vi.Bênh
cạnh đó với sự xuất hiện thêm nhiều biến thể mới của chúng đã khiến cho các công nghệ
như tường lửa, hệ thống SIEM, hệ thống phát hiện và ngăn chặn xâm nhập gặp khó khăn
trong quá trình phát hiện và cảnh báo ransomware. Chính vì thế sự xuất hiện của Big Data


14

(Dữ liệu lớn) như một xu thế tất yếu, việc kết hợp Big Data với các giải pháp bảo mật đã có
trước đó đã mở ra một hướng tiếp cận mới trong việc nghiên cứu và phát triển các giải pháp
đảm bảo an toàn thông tin nói chung và phát hiện mã độc ransomware nói riêng.
2.2.9. Giải pháp của các hãng bảo mật
1. Giải pháp ZOMBIE ZERO:
ZombieZERO thu thập file dữ liệu đến máy tính người dùng qua các phương thức khác nhau
như web, email. Các bước phân tích trên môi trường sandbox từ các file thu thập giúp
ZombieZERO chủ động phát hiện ransomware. Tại phía người dùng, thành phần Agent cũng có các
cơ chế giám sát tương tự nhằm phát hiện và ngăn chặn từ khi mã độc chưa phát tán. Mẫu
ransomware phát hiện đồng thời được chia sẻ với các máy tính khác giúp ngăn ngừa nguy cơ lây
nhiễm trong toàn bộ hệ thống mạng. ZombieZERO có khả năng phát hiện ransomware ngay khi nó
bắt đầu thực hiện hành vi, từ đó chủ động ngăn chặn và cách ly ransomware ở nhiều dạng thức và
biến thể khác nhau. ZombieZERO có khả năng phân biệt được các tập tin thông thường và các tập

tin nghi ngờ chứa mã độc thông qua việc giám sát API và có cách thức đối phó hiệu quả với
ransomware. Sử dụng ZombieZERO sẽ giúp ngăn chặn hiệu quả ransomware và các loại mã độc
khác tấn công vào hệ thống dữ liệu.

2. Phần mềm Trend Micro Antivirus+
Một số tính năng cụ thể của Trend Micro Antivirus+ trước mã độc ransomware:
- cung cấp sự bảo vệ vững chắc trước mã độc ransomware khoá màn hình (screenlocker ransomware) và mã hóa dữ liệu (crypto-ransomware) với chiến lược an ninh
đa tầng lớp. Nếu đó là một ransomware quen thuộc hoặc một dạng biến thể, chế độ
quét theo thời gian thực (real-time scan) của Trend Micro Antivirus+ có thể phát hiện
và ngăn chặn chúng tự động tải về hay cài đặt.
- Ngăn chặn mã độc screen-locker ransomware: Nếu đó là một screen-locker
ransomware lạ, Trend Micro Antivirus+ sẽ tìm cách ngăn chặn bất kỳ hành vi cài đặt
đáng ngờ, sau đó sẽ tự động xóa các ransomware thâm nhập.
- Ngăn chặn mã độc crypto-ransomware: Nếu đó là một mã độc crypto-ransomware lạ,
Trend Micro Antivirus+ sẽ sao lưu các đối tượng tập tin trong tức khắc, ngay khi quá
trình mã hoá bắt đầu, chặn quá trình mã hóa và cảnh báo đến người dùng đồng thời
phục hồi các tập tin chưa bị nhiễm virus tại vị trí ban đầu.
3. Kaspersky anti-ransomware:
Tính năng của phần mềm Kaspersky Anti-Ransomware

Bảo vệ máy tính khỏi ransomware và cryptomalware ngay lập tức.

Làm việc cùng với các phần mềm bảo mật khác – người dùng không cần cài các phần
mềm bảo mật Kaspersky Lab để sử dụng công cụ Kaspersky Anti-Ransomware.

Cung cấp các giải pháp và kỹ thuật để bảo vệ thông tin.
4. CMC CRYPTOSHIELD:
Một số tính năng đặc biệt của CMC CryptoShield:
-


Bảo vệ hệ thống và thông báo mọi mối nguy tiềm ẩn khi người dùng bị Ransomware
tấn công.
Tự động sao lưu và bảo vệ dữ liệu được sao lưu khi phát hiện có dấu hiệu tấn công.
Khôi phục đến 99% dữ liệu được sao lưu.


15

Hỗ trợ tất cả các biến thể phổ biến của Ransomware như CTB Locker, Crusis,
CryptXXX, Locky, Cerber, Zerber,...
- Tự động cập nhật, kịp thời phát hiện những biến thể mới của mã độc.
- Khả năng kiểm soát và phát hiện các hoạt động liên quan tới Ransomware một cách
nhanh chóng và chính xác.
2.3. Chính sách
2.3.1. Chính sách an toàn thông tin
Các cơ quan, tổ chức phải có chính sách ngăn chặn các sự cố liên quan đến mã độc.
Chính sách này cần rõ ràng, cho phép khả năng thực hiện một cách nhất quán và hiệu quả.
Các chính sách phòng chống mã độc nên càng tổng quát càng tốt để cung cấp sự linh hoạt
trong việc thực hiện, bên cạnh đó cũng làm giảm việc phải cập nhật chính sách thường
xuyên. Hiện nay có nhiều cơ quan, tổ chức có chính sách về xử lý mã độc riêng biệt, tuy
nhiên một số cơ quan, tổ chức có thể có chính sách phòng chống mã độc trùng lặp với các
chính sách khác.
2.3.2. Chính sách quản lý rủi ro
Trên đây là những chính sách mà các tổ chức và cá nhân cần thực hiện nghiêm túc để
hạn chế tối đa sự phát tán của mã độc ransomware. Tuy nhiên, trong thực tế, ngoài việc áp
dụng các chính sách về an toàn thông tin cũng như các chính sách liên quan đến đào tạo và
nâng cao nhận thức của cá nhân thì các tổ chức và cá nhân cũng cần thực hiện chính sách
sao lưu và phục hồi dữ liệu đều đặn.
2.3.3. Chính sách Backup và mã hóa dữ liệu
Backup dữ liệu không chỉ để phòng chống những loại mã độc phá hủy, xóa, “bắt cóc”

dữ liệu (ransomware) mà còn để phòng chống những nguy cơ mất dữ liệu nói chung như
thiên tai, thảm họa.
Kết luận chương 2
Những kết quả cơ bản của chương 2 như sau:
- Trình bày tổng quan về các giải pháp và công nghệ để phòng mã độc tống tiền
ransomware. Để giảm thiểu tối đa sự nguy hiểm và mức độ thiệt hại của mã độc
tống tiền ransomware thì các tổ chức và cá nhân cần phải thực hiện và áp dụng
trên cả 3 phương diện: công nghệ, con người và chính sách.
- Mô tả về một số giải pháp công nghệ được áp dụng trong việc phòng chống và
phát hiện mã độc tống tiền ransomware. Việc áp dụng một số giải pháp và công
nghệ cho thấy: để phòng chống tấn công ransomware không thể chỉ sử dụng một
giải pháp, một kỹ thuật hoặc một công nghệ mà phải áp dụng và triển khai đồng
bộ nhiều giải pháp với nhiều pha phải thực hiện. Giải pháp này sẽ bổ xung và loại
bỏ nhược điểm cho giải pháp kia.
- Trình bày về yếu tố con người và chính sách an toàn thông tin trong việc phòng
chống mã độc tống tiền ransomware. Con người là mắt xích yếu nhất trong hệ
thống đảm bảo an toàn thông tin. Chính vì vậy, để tránh được các cuộc tấn công
của mã độc ransomware thì cần phải đào tạo và nâng cao đạo đức an toàn thông
tin cho các cá nhân và tổ chức.
-


16

CHƯƠNG 3. THỰC NGHIỆM VÀ ĐÁNH GIÁ
3.1.

Giới thiệu về công cụ hỗ trợ thực nghiệm

1. VMware Workstation 10:

2. Máy tính nạn nhân xử dụng hệ điều hành Window 8.
3. Mã độc ransomware có tên là Spora ransomware. Mẫu ransomware này được tải từ
trang chủ: Đặc điểm của mã độc này như sau: Spora
xuất hiện từ tháng 01/2017, là một trong những mối đe dọa lớn nhất trong thể loại
ransomware. Một số ransomware có thể thực hiện việc mã hóa offline, nhưng sẽ sử dụng
cùng một khóa công khai RSA đã được hard-code trong mã độc cho tất cả các nạn nhân.
Nhược điểm của phương pháp này đối với những kẻ tấn công đó là một công cụ giải mã cho
một nạn nhân sẽ có tác dụng đối với cả các nạn nhận khác nữa, bởi tất cả đều có cùng khóa
riêng tư. Những kẻ đứng sau Spora đã giải quyết được vấn đề này. Mã độc chứa một khóa
công khai RSA được hard-code, tuy nhiên khóa này được sử dụng để mã hóa một khóa AES
riêng được tạo khác nhau cho mỗi nạn nhân. Khóa AES này sau đó được sử dụng để mã hóa
khóa riêng tư trong cặp khóa RSA được tạo riêng cho mỗi nạn nhân. Sau cùng, khóa RSA
công khai của nạn nhân được sử dụng để mã hóa các khóa AES – trong mã hóa các tập tin
cá nhân. Nói cách khác, những kẻ đứng sau Spora đã thêm vòng mã hóa AES và RSA thứ
hai so với các mã độc tống tiền khác tính tới thời điểm này. Khi muốn trả tiền chuộc, nạn
nhân phải tải lên các khóa AES đã bị mã hóa lên trang web thanh toán của hacker. Những
kẻ tấn công sau đó sẽ sử dụng khóa riêng tư RSA để giải mã nó và trả về cho nạn nhân –
gần như đóng gói trong một bộ giải mã. Bộ giải mã sẽ sử dụng khoá AES này để giải mã
khóa RSA của nạn nhân và khóa đó sẽ được sử dụng để giải mã các khóa AES cần thiết để
khôi phục các tập tin. Ngoài ra, Spora cũng có một số đặc điểm riêng khác như hacker áp
dụng một hệ thống cho phép đòi các khoản tiền chuộc khác nhau cho mỗi đối tượng nạn
nhân khác nhau. Tính đến hiện tại, Spora đã được phát hiện trong các file đính kèm giả mạo
hóa đơn thanh toán từ các phần mềm thanh toán phổ biến tại Nga và các quốc gia nói tiếng
Nga. Các file đính kèm có dạng .HTA (ứng dụng HTML) chứa đoạn mã JavaScript độc hại.
3.2. Thực nghiệm tấn công
Bước 1: Kẻ tấn công lấy mẫu Spora ransomware phiên bản Chrome Font v2.93.exe tại
địa
chỉ:
/>3f8442?environmentId=100.
Bước 2: Phát tán mã độc bằng cách phát tán 1 mail giả mạo cơ quan VnCert (Trung

tâm ứng cứu khẩn cấp máy tình Việt Nam) với nội dung cảnh báo mã độc WanaCry đi kèm
là 1 liên kết yêu cầu cài đặt phần mềm Antiwanacry (link cài đặt dẫn đến googdriver để tải):
/>Bước 3: Nạn nhân tải file về và cài đặt.


17

Hình 3.5.Nạn nhân truy cập vào liên kết để tải về tập tin

Hình 3.6. File AntiWanaCry được tải về trên máy nạn nhân
Trước khi bị tấn công, máy tính nạn nhân vẫn hoạt động bình thường và thực hiện
các thao tác như mở các tài liệu:

Hình 3.7. Giao diện máy tính nạn nhân trước khi bị tấn công


18

Tiếp theo nạn nhân click vào file File AntiWanaCry trên màn hình. Nạn nhân chạy
file cài đặt trên máy tính xuất hiện cửa sổ cmd và 1 thông báo mở file html. Cửa sổ cmd
hiện và mất rất nhanh (hình 3.8).

Hình 3.8. Giao diện máy tính nạn nhân lúc cài đặt
Bước 4: Sau khi cài đặt nạn nhân mở 1 file word bất kì thấy nội dung đã bị mã hóa.

Hình 3.9. File dữ liệu bị mã hóa
Bước 5: Sau khi tấn công xong trên máy tính nạn nhân sẽ hiển thị thông báo đòi tiền
chuộc.



19

Hình 3.10. Thông báo của mã độc ransomware trên máy nạn nhân
Khởi động lại máy, máy tính tự động mở trình duyệt điều hướng đến trang spora.bz.
Trang web hiện thị thông báo dữ liệu đã bị mã hóa yêu cầu tiền chuộc để mở dữ liệu

Hình 3.11. Website đòi tiền chuộc
Để có thể chuộc lại toàn bộ dữ liệu yêu cầu 79$ và mã độc cho phép giải mã 3 tập tin
miễn phí.
Nạn nhân kiểm tra hệ thống thì thấy xuất hiện một số dấu và 1 file thực thi đáng nghi.

Hình 3.12. Xuất hiện file thực thi nghi ngờ trên máy nạn nhân
Kiểm tra file thực thi này trên Website virustotal thì nhận được kết quả như hình
3.13.


20

Hình 3.13. Kết quả kiểm tra file thực thi nghi ngờ trên virustotal

Từ kết quả này cho thấy: máy tính nạn nhân đã bị tấn công bởi mã độc Spora
Ransomware.
Biện pháp phòng chống mã độc Spora Ransomware.
Kịch bản thực nghiệm như sau: Nạn nhân cũng nhận được thư từ người xưng từ
VNCERT gửi đến với yêu cầu là tải phần mềm AntiWanaCry để phòng chống mã độc
Ransomware. Nạn nhân cũng tin tưởng và tải về. Tuy nhiên, do máy tính nạn nhân lúc này
xử dụng công cụ CMC CryptoShield vì vậy quá trình tải phần mềm AntiWanaCry không
thực hiện được. Qúa trình thực hiện cụ thể như sau:
Trong trường hợp bị tấn công, nạn nhân không xử dụng bất cứ phần mềm diệt virus
nào. Chính vì vậy, ngay khi cài đặt máy tính nạn nhân lập tức bị mã độc Spora mã hóa dữ

liệu. Tuy nhiên, trong thực nghiệm phòng chống này, xử dụng công cụ CMC CryptoShield.
Mô tả công cụ này đã được trình bày ở chương 2. Ngay sau khi click vào lựa chọn tải phần
mềm AntiWanaCry xuống thì phần mềm phát hiện mã độc CMC CryptoShield đã phát hiện
ra và không cho phép người dùng tải file AntiWanaCry xuống.

Không
thành công

Hình 3.14. Nạn nhân không tải được phần mềm AntiWanaCry.


21

Như vậy, mục đích tấn công của mã độc Spora Ransomware đã không thể thực hiện
được.
Kết luận chương 3
Những kết quả đạt được của chương 3 như sau:
- Tìm hiểu về mã độc tống tiền Spora Ransomware, một biến thể mới của mã độc
tống tiền ransomware. Qua quá trình mã hóa và giải mã của mã độc Spora
Ransomware thấy được rằng: mã độc Spora Ransomware là biến thể nguy hiểm,
tinh vi và mạnh mẽ của họ ransomware.
- Thực hiện phát tán mã độc tống tiền Spora Ransomware thông qua kỹ thuật social
engineering. Kết quả thực nghiệm cho thấy, khi mã độc Spora Ransomware thì
người dùng không có khả năng tự giải mã, hoặc tìm kiếm khóa giải mã từ máy
tính của mình. Qúa trình mã hóa dữ liệu và truyền khóa được tiến hành khép kín
và rất nhanh không cho người dùng cơ hội phản ứng khi phát hiện nghi ngờ.
- Thực hiện, cài đặt phần mềm mã nguồn mở CMC CryptoShield để phát hiện và
phòng chống mã độc Spora Ransomware. Kết quả cho thấy phần mềm CMC
CryptoShield đã thành công trong việc phát hiện và loại bỏ mã độc Spora
Ransomwa từ ban đầu.

KẾT LUẬN
Những kết quả cơ bản của luận văn:
-

-

-

-

Trình bày tổng quan về mã độc nói chung và mã độc ransoware nói riêng bao
gồm: khái niệm, phân loại, cách thức phát tán.... Kết quả nghiên cứu chỉ ra rằng:
tấn công bằng mã độc nói chung và mã độc tống tiền ransomware là kỹ thuật tấn
công nguy hiểm và không có một biện pháp đối phó nào có thể ngăn chặn hữu
hiệu sự phát tán và tấn công bằng mã độc.
Tìm hiểu về nguyên tắc mã hóa, giải mã, phát tán của mã độc ransomware một số
biến thể mới của nó. Những kết quả ban đầu cho thấy, tấn công mã độc
ransomware lợi dụng điểm yêu của con người để phát tán và tống tiền.
Trình bày tổng quan về các giải pháp và công nghệ để phòng mã độc tống tiền
ransomware. Để giảm thiểu tối đa sự nguy hiểm và mức độ thiệt hại của mã độc
tống tiền ransomware thì các tổ chức và cá nhân cần phải thực hiện và áp dụng
trên cả 3 phương diện: công nghệ, con người và chính sách. Đặc biệt con người là
mắt xích yếu nhất trong hệ thống đảm bảo an toàn thông tin. Chính vì vậy, để
tránh được các cuộc tấn công của mã độc ransomware thì cần phải đào tạo và
nâng cao đạo đức an toàn thông tin cho các cá nhân và tổ chức.
Trình bày về một số giải pháp công nghệ được áp dụng trong việc phòng chống
và phát hiện mã độc tống tiền ransomware. Mỗi biện pháp và kỹ thuật đều có ưu
điểm và nhược điểm riêng. Việc áp dụng một số giải pháp và công nghệ cho thấy:
để phòng chống tấn công ransomware không thể chỉ sử dụng một giải pháp, một
kỹ thuật hoặc một công nghệ mà phải áp dụng và triển khai đồng bộ nhiều giải

pháp với nhiều pha phải thực hiện. Giải pháp này sẽ bổ xung và loại bỏ nhược


22

-

-

-

điểm cho giải pháp kia.
Tìm hiểu về mã độc tống tiền Spora Ransomware, một biến thể mới của mã độc
tống tiền ransomware. Qua quá trình mã hóa và giải mã của mã độc Spora
Ransomware thấy được rằng: mã độc Spora Ransomware là biến thể nguy hiểm,
tinh vi và mạnh mẽ của họ ransomware.
Thực hiện phát tán mã độc tống tiền Spora Ransomware thông qua kỹ thuật social
engineering. Kết quả thực nghiệm cho thấy, khi mã độc Spora Ransomware thì
người dùng không có khả năng tự giải mã, hoặc tìm kiếm khóa giải mã từ máy
tính của mình. Qúa trình mã hóa dữ liệu và truyền khóa được tiến hành khép kín
và rất nhanh không cho người dùng cơ hội phản ứng khi phát hiện nghi ngờ.
Thực hiện, cài đặt phần mềm mã nguồn mở CMC CryptoShield để phát hiện và
phòng chống mã độc Spora Ransomware. Kết quả cho thấy phần mềm CMC
CryptoShield đã thành công trong việc phát hiện và loại bỏ mã độc Spora
Ransomwa từ ban đầu.

Hướng phát triển của luận văn
Trên những kết quả đã làm được luận văn có thể nghiên cứu và phát triển theo các
hướng sau:
-


Tiếp tục nghiên cứu về các biến thể mới của mã độc ransomware cũng như các biện
pháp, kỹ thuật phòng chống mã độc ransomware.
Nghiên cứu ứng dụng Bigdata cho việc phát hiện mã độc ransomware.



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×