Ransomware phần mềm mã độc chuyên file yêu cầu đòi tiền chuộc

Hãng bảo mật Trend Micro giải thích thêm rằng loại malware này buộc nạn nhân phải trả tiền để lại có quyền sử dụng tiếp hệ thống của họ, thế nên mới có chữ ransom - tức thị tiền chuộc. Khoảng tiền này có khi chỉ vài đô la, có khi lên đến vài chục, thậm chí là cả trăm USD (từng có trường hợp phải trả 600$). Một số tin tặc khác thì dùng bitcoin cho an toàn và tránh bị bắt. Nhưng cũng cần nhấn mạnh rằng ngay cả khi bạn đã trả tiền rồi thì không có gì bảo đảm tin tặc sẽ cấp quyền trở lại cho bạn hay còn làm thêm điều gì tệ hại hơn.

Ransomware lây nhiễm theo cách nào và nó làm gì khi về máy của chúng ta?

Ransomware có thể bị download xuống máy người dùng bằng nhiều cách khác nhau. Cách phổ quát đó là lừa người dùng vào một website giả mạo hoặc website đã bị chèn mã độc. Một số ransomware thì được "thả bom" vào máy của chúng ta bằng cách đi kèm theo những malware khác hoặc đính kèm trong email.

Bên cạnh việc lợi dụng email, website để phát tán, ransomware còn tận dụng các lỗ hổng bảo mật của hệ điều hành hoặc các phần mềm để truyền nhiễm và chạy. Chỉ mới hồi giữa năm nay McAfee cho hay họ phát hiện ra một họ ransomware chuyên khai khẩn lỗi của Adobe Flash để tranh vào máy photo in scan.

Một khi bắt đầu chạy lên, ransomeware thường là một trong hai chuyện sau:

Ở tình huống thứ nhất, ransomware sẽ hiện một hình ảnh hay cảnh báo gì đó chiếm trọn màn hình của bạn và bạn không có cách gì có thể tiếp tục dùng máy nữa, dù cho đó là PC hay smartphone, tablet. Hình ảnh hoặc thông báo đó cũng sẽ hướng dẫn nạn nhân là họ nên làm gì để trả tiền chuộc cho tin tặc. Trong khi đó, các ransomware sử dụng cơ chế mã hóa file thì tìm đến những văn bản, bảng tính và các file tài liệu quan yếu trong máy và khóa chúng lại.

Theo Trend Micro và Norton, ransomware còn được gọi là "scareware" bởi nó buộc người dùng trả tiền ưng chuẩn việc đe dọa người dùng. Hacker có thể nói những câu đại loại như: "Nếu anh không trả tiền cho tôi, dữ liệu của anh sẽ mất hết trong 7 ngày", hoặc "Hãy trả tiền ngay hoặc không bao giờ được xài chiếc điện thoại đó nữa". Hãy thử tưởng tượng bạn đang có những tài liệu trị giá hàng trăm triệu đồng, thậm chí là các file dự án trị giá cả tỷ đồng thì liệu bạn có sợ hay không khi bị khóa file kiểu đó. Hoặc giả dụ bạn chỉ có một cái máy tính độc nhất, bao nhiêu ảnh và file quý đều nằm trong đó, giờ thì máy photocopy mới bị như thế thì chắc hẳn bạn cũng tỏ ra lo lắng chứ.

Cần lưu ý rằng ransomware không chỉ chạy trên máy tính mà nó còn có thể thâm nhập vào điện thoại và cả thiết bị di động. Năm 2014, có một ransomware đã hiển thị thông báo giả làm FBI để đòi người dùng nộp tiền nếu muốn tiếp kiến dùng máy và không bị bắt.

Lịch sử ransomware

Những trường hợp trước hết bị dính ransomware mà được ghi nhận là tại Nga vào năm 2005 - 2006. Khi đó, một ransomare mang số hiệu TROJ_CRYZIP.A đã nén các tập tin quan trọng của người dùng lại thành một file zip rồi xóa đi các tập tin gốc. Để mở file zip này thì cần có password. TROJ_CRYZIP.A còn tạo một file văn bản để làm "thư tống tiền", trong đó nói rằng người dùng muốn có password để mở file zip thì phải trả 300$.

Ở thời gian đầu, ransomware thường tìm và khóa các file tài liệu, ví dụ như .doc, .xls, hoặc các tập tin thư viện, tập tin thực thi của phần mềm như .dll hoặc .exe. Đến năm 2011, chúng ta bắt đầu nghe về SMS ransomware. Con ransomware với số hiệu TROJ_RANSOM.QOWA liên tiếp hiển thị một thông tin đòi tiền khiến cho người dùng bực mình, để rồi chung cuộc họ phải trả "tiền chuộc" bằng cách nhắn nhe đến một số SMS đặc biệt có tính phí.

Hiểm nguy hơn, có một số ransomware còn xâm nhập vào Master Boot Record (MBR) của một máy tính. Bằng cách này, ransomware sẽ ngăn không cho hệ điều hành chạy lên, hay nói cách khác là làm tê liệt luôn cả hệ thống. Để làm được điều đó, ransomware đã copy phần MBR gốc, sau đó ghi đè lên MBR này bằng mã độc của chính nó trong nhiều lần. Khi hệ thống bị buộc phải phát động lại, malware sẽ bắt đầu phát huy tác dụng của mình. Hệ điều hành sẽ không chạy lên, thay vào đó là một dòng đòi tiền bằng tiếng Nga.

Vượt ra khỏi biên cương Nga

Ban sơ ransomware chỉ hoành hành ở Nga, nhưng nhờ vào cách kiếm lợi nhanh, nhiều và dễ như thế này nên nhiều tin tặc đã bắt đầu ứng dụng nó cho các nước Châu Âu. Tính đến tháng 3/2012, hãng Trend Micro nói rằng họ đã ghi nhận sự phát tán ransomware ở cả Châu Âu lẫn Mỹ và Canada. Lúc này các ransomware không còn hiển thị thông báo đòi tiền đơn giản nữa, thay vào đó nó giả danh cơ quan cảnh sát địa phương nói rằng người dùng đã làm điều xấu gì đó và đề nghị trả tiền nếu không muốn bị bắt hay điều tra (bản chất là không có, tin tặc chỉ đang trục lợi mà thôi).

Năm 2012, ransomware TROJ_RANSOM.BOV từng bị "nhúng" vào một trang web bán hàng của Pháp, từ đó truyền nhiễm xuống máy tính người dùng tại Pháp và Nhật (nơi hãng có một lượng lớn người dùng). Con malware này cũng hiển thị một thông báo giả từ cơ quan cảnh sát của Pháp để đe dọa người ta.

Cũng trong năm 2012, có một số ransomware không hiển thị "giấy đòi tiền" bằng chữ mà phát đoạn thu thanh bằng giọng nói theo ngôn ngữ địa phương. Một số khác thì hiển thị logo chứng chỉ bảo mật giả để lôi cuốn lòng tin của người dùng. Một số khác thì can thiệp vào các tập tin quan yếu của hệ thống và khiến máy photocopy e studio 2007 không thể hoạt động thường ngày.

Sự nổi dậy của ransomware mạo cảnh sát

Trong một bài post trên blog của mình, Symantec nói rằng ransomware còn sáng dạ đến mức có khả năng nhận biết nhà nước mà bạn đang ở (phê duyệt địa chỉ IP) để hiển thị thông báo bằng tiếng nói địa phương, kèm theo đó là logo của cảnh sát sở tại. Những con malware như thế này còn được gọi bằng cái tên Reveton. Đáng báo động hơn, tốc độ lây lan của ransomware càng lúc càng nhanh hơn, và đã có một số biến thể được Norton phát hiện lên đến 500.000 lần trong chỉ 18 ngày.

Các chuyên gia của Symantec còn đưa ra tỉ dụ cụ thể về một trường hợp mà họ từng nghiên cứu trong vòng 1 tháng. Trong số những người bị nhiễm thì có 2,9% người trả tiền, và mặc dù con số này trông có vẻ nhỏ nhưng với tù mạng thì nó là một món tiền lớn vì:



Trong 1 tháng nghiên cứu nói trên, có 68.000 máy tính đã bị lây truyền, tức khoảng 5.700 máy mỗi ngày
Ransomware đòi tiền chuộc khoảng 60$ đến 200$ để mở khóa một cái máy tính
Mỗi ngày, có khoảng 2,9% người dùng - tương đương 168 người - trả tiền cho tin tặc, vậy tính ra hắn ta có thể hưởng được 33.600$ mỗi ngày, hay 394.000$ mỗi tháng. Sao, giờ thì theo bạn con số đó có còn nhỏ nữa không?
Nhưng đây chỉ là một vụ, có những biến thể Reveton đòi ít tiền hơn, có các băng hacker khác thì đòi tiền theo cách khác, nên số tiền chẳng thể chỉ nhân lên một cách đơn giản như thế. Symantec ước tính có khoảng 5 triệu USD bị "rút" khoảng các nạn nhân của ransomware mỗi năm.

Một số biến thể Reveton không đề nghị chuyển khoản trực tiếp, thay vào đó chúng buộc nạn nhân phải thanh toán phê duyệt hệ thống UKash, PaySafeCard, hoặc MoneyPak. Đây là các hệ thống chuyển tiền có khả năng bảo đảm tính nặc danh và không để lại vết tích tài chính, nhờ thế mà tin tặc có thể nhận tiền rồi rút êm mà không bị điều tra hay bắt giữ.