NAKIVO > Blog > Multiplatform

Virus, Ransomware và Phần mềm độc hại: Giải thích sự khác biệt

Updated: Tháng Năm 11, 2026

Tác giả:: Đội ngũ NAKIVO

Khi nói đến an ninh mạng, một số thuật ngữ thường được sử dụng thay thế cho nhau, điều này có thể gây nhầm lẫn. Những cuộc tấn công phần mềm độc hại đầu tiên thường được gọi là virus. Tương tự, các sản phẩm an ninh mạng đầu tiên thường được giới thiệu là các giải pháp chống virus, củng cố quan niệm rằng virus là mối đe dọa mạng chính. Tuy nhiên, trong vài thập kỷ qua, các chiến lược của tội phạm mạng đã phát triển mạnh mẽ, dẫn đến sự xuất hiện của các loại phần mềm độc hại mới với các phương thức lây lan, mục tiêu và tác động khác nhau lên hệ thống của bạn.

Hiểu rõ sự khác biệt giữa virus, phần mềm độc hại và ransomware có thể giúp bạn nhận diện rủi ro sớm, triển khai các biện pháp phòng ngừa phù hợp cho các tình huống khác nhau và tránh mất mát dữ liệu.

Hãy nói không với các vụ tống tiền cùng NAKIVO

Hãy nói không với các vụ tống tiền cùng NAKIVO

Sử dụng bản sao lưu để khôi phục dữ liệu nhanh chóng sau các cuộc tấn công ransomware. Nhiều tùy chọn khôi phục, bộ nhớ cục bộ và đám mây không thể thay đổi, các tính năng tự động hóa khôi phục và nhiều hơn nữa.

KHÁM PHÁ GIẢI PHÁP

Phần mềm độc hại là gì?

Phần mềm độc hại (malware), viết tắt của “malicious software”, là một khái niệm chung bao gồm bất kỳ mã độc nào từ bên ngoài có thể gây hư hại cho thiết bị hoặc làm hỏng dữ liệu. Khi nói về an ninh mạng nói chung, phần mềm độc hại thường là thuật ngữ rộng nhất có thể được sử dụng trong hầu hết các bối cảnh. Phần mềm tống tiền (ransomware) và virus là hai loại phần mềm độc hại. Các loại malware khác bao gồm:

  • Spyware cho phép hacker theo dõi hoạt động của một thiết bị khác. Spyware thu thập dữ liệu cá nhân, chẳng hạn như thông tin thẻ tín dụng, mật khẩu, tên người dùng, v.v., để hacker sử dụng sau này nhằm xâm nhập vào các máy tính.
  • Bots là phần mềm độc hại kết nối các máy tính bị hack với một máy chủ trung tâm. Mạng lưới các máy tính này được gọi là botnet. Botnet có thể không bị phát hiện, ngay cả khi chúng bao gồm hàng triệu thiết bị. Trong khi sử dụng sức mạnh của một máy tính bị hack, botnet có thể gửi tin nhắn lừa đảo và spam, đánh cắp thông tin cá nhân và thực hiện các cuộc tấn công từ chối dịch vụ (DDoS).
  • Rootkits cho phép hacker kiểm soát thiết bị mà người dùng không hề hay biết. Sau khi được cài đặt, rootkit có thể thay đổi cấu hình hệ thống và tải xuống các tệp độc hại khác.
  • Worms là các chương trình tự động lây lan giữa các máy tính trên cùng một mạng mà không cần tệp chủ. Worms có thể xóa hoặc sửa đổi thông tin, đánh cắp dữ liệu hoặc cài đặt phần mềm độc hại bổ sung. Worms không còn phổ biến như trước đây, nhưng các phần mềm độc hại khác vẫn sử dụng phương thức tấn công tương tự.
  • Trojan Horses, khác với worms, cần một máy chủ để hoạt động. Chúng là phần mềm độc hại ngụy trang, vì thường được ngụy trang dưới dạng các tệp hợp pháp. Trojan chủ yếu lây lan qua lừa đảo (phishing). Tuy nhiên, đây không phải là cách duy nhất. Các cuộc tấn công Trojan đôi khi xuất hiện dưới dạng phần mềm diệt virus giả mạo xuất hiện trên trang web cung cấp dịch vụ bảo vệ thiết bị. Sau khi được cài đặt trên máy tính, Trojan cho phép theo dõi và sửa đổi dữ liệu.
  • Phần mềm quảng cáo (Adware) là phần mềm độc hại dưới dạng các cửa sổ pop-up quen thuộc. Nó thường đi kèm với các trò chơi miễn phí hoặc các chương trình không có giấy phép khác. Đôi khi, mối đe dọa duy nhất mà nó gây ra là làm chậm máy tính của bạn. Tuy nhiên, trong một số trường hợp, nó cũng có thể dẫn đến việc cài đặt phần mềm gián điệp.
  • Phần mềm độc hại không tệp (Fileless malware) là mã độc xâm nhập trực tiếp vào bộ nhớ máy tính và làm hỏng các chương trình đáng tin cậy như PowerShell hoặc các tập lệnh Windows. Khác với các loại khác, phần mềm độc hại không tệp (fileless malware) thường không để lại dấu vết nào, do đó khó bị các phần mềm quét phát hiện hơn.

Tuy nhiên, virus và ransomware là hai loại phần mềm độc hại phổ biến nhất.

Virus là gì?

Virus là một chương trình độc hại lây lan qua các trang web và tệp tin bị nhiễm. Khi một thiết bị tiếp xúc với virus, virus sẽ được cài đặt và bắt đầu chạy mà người dùng không hay biết. Virus có thể làm hỏng dữ liệu, gây hư hại cho thiết bị và ảnh hưởng đến hiệu suất của nó, thậm chí định dạng lại ổ cứng. Một số virus có thể tự nhân bản và lây lan qua mạng nội bộ. Ngay cả một virus đơn giản cũng có thể làm chậm hệ thống đáng kể bằng cách sử dụng bộ nhớ của máy tính và gây ra các sự cố thường xuyên.

Virus lây lan như thế nào?

Ngay cả những quản trị viên hệ thống và người dùng cẩn thận, những người đã thực hiện các biện pháp phòng ngừa chống lại các mối đe dọa phần mềm độc hại tiềm ẩn, có lẽ cũng đã từng tiếp xúc với virus tại một thời điểm nào đó. Virus lây lan theo nhiều cách khác nhau. Một virus có thể xâm nhập vào mạng của một môi trường thông qua các hoạt động hàng ngày như:

  • Trao đổi dữ liệu giữa các thiết bị
  • Truy cập các trang web bị nhiễm (thiết bị có thể bị nhiễm ngay cả khi không tải xuống tệp)
  • Tải xuống tệp torrent hoặc phần mềm miễn phí khác
  • Sử dụng các thiết bị lưu trữ ngoài (như ổ USB) từng được kết nối với máy tính bị nhiễm
  • Mở tệp đính kèm email bị nhiễm

Virus: những điều huyền thoại và sự thật

Huyền thoại 1 : Bạn chắc chắn sẽ biết khi máy tính của mình bị nhiễm.

Sự thật: Phần mềm độc hại thường lây lan mà không bị phát hiện. Đó là lý do tại sao bạn không phải lúc nào cũng có thể nhận ra liệu thiết bị có bị nhiễm hay không.

Quan niệm sai lầm 2 : Các trang web uy tín không chứa virus và phần mềm độc hại khác.

Sự thật: Hacker có thể chạy quảng cáo độc hại trên các trang web uy tín. Ngay cả việc xem quảng cáo mà không nhấp vào cũng có thể cài đặt phần mềm độc hại. Đôi khi, ngay cả những trang web nổi tiếng nhất cũng có thể bị nhiễm phần mềm độc hại.

Lầm tưởng 3 : Các thiết bị Apple an toàn trước virus.

Sự thật: Đây là một quan niệm sai lầm đã ăn sâu vì bất kỳ thiết bị nào cũng có thể bị nhiễm, dù chạy macOS hay hệ điều hành khác. Tin tặc cải tiến các chương trình của họ để xâm nhập vào bất kỳ hệ thống và môi trường nào.

Lầm tưởng 4 : Email từ các nguồn đáng tin cậy không thể bị nhiễm virus. Luôn an toàn khi mở tệp đính kèm email từ các nguồn đáng tin cậy.

Sự thật: Ngay cả khi email đến từ một nguồn đáng tin cậy (đồng nghiệp, bạn bè, v.v.), cũng không có gì đảm bảo rằng nó an toàn. Một số loại virus lén lút xâm nhập vào danh bạ và lây nhiễm vào các email. Vì vậy, nếu một tệp đính kèm trong email có vẻ đáng ngờ, tốt nhất là không nên mở nó.

Lầm tưởng 5 : Khi không có dữ liệu quan trọng nào trên máy tính, phần mềm độc hại sẽ không phải là mối đe dọa.

Sự thật: Ngay cả khi một thiết bị không lưu trữ bất kỳ dữ liệu quan trọng nào, phần mềm độc hại vẫn là mối đe dọa đối với an ninh mạng. Phần mềm độc hại hiếm khi tìm kiếm dữ liệu. Thay vào đó, nó truy cập danh bạ để gửi email spam hoặc sử dụng bộ nhớ và sức mạnh của máy tính, và do đó, của cả mạng.

Lầm tưởng 6 : Tường lửa cung cấp bảo vệ hoàn toàn khỏi virus.

Sự thật: Tường lửa cung cấp nhiều loại bảo vệ, chủ yếu là lọc lưu lượng và hạn chế truy cập trái phép vào dữ liệu. Tuy nhiên, phần mềm độc hại vẫn có thể xâm nhập vào thiết bị và lây lan qua mạng.

Virus tống tiền là gì?

Nói chính xác, không có thuật ngữ nào gọi là “virus ransomware”. Không giống như virus, ransomware không phải là một loại nhiễm trùng tự nhân bản, nhưng tội phạm có thể sử dụng virus như một phần của các cuộc tấn công ransomware phức tạp hơn. Ransomware hoạt động dựa trên mã hóa, một trong những công nghệ bảo mật hiệu quả nhất ban đầu được tạo ra để bảo vệ máy tính. Mã hóa biến dữ liệu thành một mã bí mật chỉ có thể được giải mã bằng cách sử dụng khóa giải mã.

Hacker yêu cầu nạn nhân trả tiền chuộc, thường bằng Bitcoin, để nhận được khóa giải mã và lấy lại quyền truy cập vào các tệp tin của họ. Tuy nhiên, không phải tất cả các cuộc tấn công ransomware đều nhằm mục đích thu lợi tài chính. Trong một số trường hợp như với ransomware wipers (ví dụ: NotPetya), mục tiêu của hacker là gây gián đoạn hoặc xóa dữ liệu, do đó tội phạm có thể tạo ra các địa chỉ ví tiền điện tử giả mạo hoặc yêu cầu nạn nhân trả số tiền chuộc không thực tế.

Tất nhiên, các doanh nghiệp lo ngại về việc mất niềm tin và tổn hại danh tiếng. Vì vậy, việc trả tiền chuộc dường như là giải pháp nhanh chóng để giải quyết tình huống. Tuy nhiên, việc trả tiền chuộc không bao giờ đảm bảo bạn sẽ lấy lại quyền truy cập vào hệ thống của mình.

Thay vì tài trợ cho hacker và lo lắng liệu có thể lấy lại dữ liệu hay không, giải pháp tốt hơn nhiều là sao lưu các khối lượng công việc của bạn. Cách tiếp cận tốt nhất để bảo vệ chống lại ransomware là có một kế hoạch sao lưu 3-2-1 bao gồm các bản sao lưu không thể thay đổi và cách ly hoàn toàn. Kế hoạch này có nghĩa là bạn nên có ít nhất ba (3) bản sao lưu, lưu trữ hai (2) trong số đó trên các phương tiện lưu trữ khác nhau và giữ một (1) bản sao lưu tại một địa điểm khác. Với kế hoạch sao lưu này, quá trình khôi phục của bạn sẽ nhanh chóng và đơn giản, ngay cả sau một cuộc tấn công ransomware.

Ransomware lây lan như thế nào?

Một số cách phổ biến nhất mà ransomware lây lan bao gồm:

  • Thư lừa đảo (phishing) là những email rác chứa tệp đính kèm hoặc liên kết độc hại. Ngay khi tệp đính kèm hoặc liên kết được mở, ransomware sẽ được tải xuống máy tính. Đôi khi người gửi email có thể là một người trong danh bạ của bạn.
  • Các liên kết trong tin nhắn trên mạng xã hội có thể chứa liên kết độc hại có thể kích hoạt ransomware trên thiết bị.
  • Các trang web độc hại có thể dẫn đến việc triển khai ransomware sau khi bạn truy cập chúng. Điều này thường xảy ra trên các nền tảng phát video trực tuyến và các trang web nội dung miễn phí khác.
  • Phần mềm độc hại bổ sung tấn công các thiết bị đã thuộc về một botnet (một mạng lưới các máy tính bị hack). Trong trường hợp này, thiết bị sẽ bị nhiễm thêm phần mềm độc hại.

Ransomware: những quan niệm sai lầm và sự thật

Quan niệm sai lầm 1: Ransomware tấn công doanh nghiệp chứ không phải cá nhân.

Sự thật: Ransomware không phân biệt đối tượng. Cả cá nhân và doanh nghiệp đều có thể là mục tiêu của các cuộc tấn công ransomware.

Quan niệm sai lầm 2: Bạn luôn lấy lại được dữ liệu sau khi trả tiền chuộc.

Sự thật: Trong đa số trường hợp, những người trả tiền chuộc không lấy lại được quyền truy cập vào dữ liệu của mình. Việc trả tiền chuộc có vẻ như là một giải pháp dễ dàng và nhanh chóng để giải quyết vấn đề. Tuy nhiên, việc trả tiền chuộc đồng nghĩa với việc tài trợ cho tội phạm mạng và khuyến khích tin tặc thực hiện thêm nhiều cuộc tấn công mà không có bất kỳ đảm bảo nào về việc nhận được khóa giải mã.

Lầm tưởng 3: Phần mềm tống tiền không thể mã hóa các bản sao lưu.

Sự thật: Mặc dù sao lưu thường xuyên là cách tốt nhất để bảo vệ dữ liệu của bạn, nhưng vẫn có rủi ro là các bản sao lưu này có thể chứa các tác vụ bị nhiễm hoặc bị bên thứ ba làm hỏng. Để giảm thiểu những rủi ro này, điều cần thiết là phải quét phần mềm độc hại thường xuyên, tuân thủ Quy tắc sao lưu 3-2-1, và triển khai các biện pháp bảo mật như mã hóa, tính bất biến và kiểm soát truy cập dựa trên vai trò đối với dữ liệu sao lưu. Các giải pháp toàn diện như NAKIVO Backup & Replication cho phép bạn khắc phục những rủi ro này với các tính năng sao lưu, khôi phục thảm họa và bảo vệ chống ransomware, tất cả từ một giao diện duy nhất.

Ransomware so với phần mềm độc hại so với Virus

Phần mềm độc hại Ransomware Virus
Phân loại Phần mềm độc hại là thuật ngữ chung để chỉ bất kỳ phần mềm độc hại nào. Ransomware là một loại phần mềm độc hại. Virus là một loại phần mềm độc hại.
Mục tiêu của kẻ tấn công Phần mềm độc hại được thiết kế để gây ra nhiều loại thiệt hại khác nhau cho máy tính, tùy thuộc vào loại phần mềm độc hại. Ransomware được thiết kế để chặn quyền truy cập vào dữ liệu cho đến khi người dùng trả tiền chuộc. Virus là mã độc được đính kèm vào một tệp riêng biệt. Virus có thể định dạng ổ cứng hoặc có thể vô hại.
Tác động đến hệ thống Phần mềm độc hại có thể kiểm soát và đánh cắp dữ liệu, sử dụng tài nguyên của máy tính, phá hủy hệ thống, v.v. Ransomware khóa hệ thống và mã hóa tất cả dữ liệu. Virus có thể làm hỏng thiết bị, làm hỏng dữ liệu, làm giảm hiệu suất của thiết bị, v.v.
Sự đa dạng Có nhiều loại phần mềm độc hại: sâu máy tính, phần mềm gián điệp, rootkit, trojan, ransomware, v.v. Có ba loại phổ biến nhất: locker, doxware và crypto. Virus có nhiều dạng khác nhau: file infector, macro virus, polymorphic virus, v.v.
Phương thức lây lan Tùy thuộc vào loại, phần mềm độc hại có thể lây lan qua email, cài đặt dữ liệu, lướt web, khai thác lỗ hổng hệ thống, v.v. Một số loại phần mềm độc hại chỉ có thể được kích hoạt bởi người dùng, trong khi những loại khác có thể lây nhiễm hệ thống mà không cần bất kỳ thao tác nào từ người dùng. Ransomware chủ yếu lây lan dưới dạng tệp đính kèm độc hại trong email lừa đảo hoặc dưới dạng liên kết trong các bài đăng trên mạng xã hội. Virus lây lan khi tải xuống hoặc trao đổi tệp, truy cập các trang web độc hại, v.v. và được kích hoạt bởi người dùng.
Dễ dàng gỡ bỏ Tuân thủ các quy tắc an ninh mạng và sao lưu dữ liệu là giải pháp tốt nhất để ngăn ngừa nhiễm phần mềm độc hại và bảo vệ dữ liệu. Ransomware là một trong những loại phần mềm độc hại khó đối phó nhất. “Phương thuốc” tốt nhất cho ransomware là phòng ngừa và sao lưu. Một trong những cách phổ biến và hiệu quả nhất để bảo vệ thiết bị khỏi virus là phần mềm diệt virus.

Làm thế nào để tránh ransomware, virus và các phần mềm độc hại khác?

Sau khi tìm hiểu sự khác biệt giữa các loại phần mềm độc hại, câu hỏi đầu tiên nảy sinh là: Liệu có thể ngăn chặn một cuộc tấn công phần mềm độc hại không? Có nhiều cách để người dùng bảo vệ thiết bị khỏi bị nhiễm virus. Giải pháp tốt nhất là tuân thủ các quy tắc an ninh mạng cơ bản:

  • Cài đặt phần mềm diệt virus, chống phần mềm gián điệp và tường lửa, đồng thời luôn cập nhật chúng.
  • Cập nhật hệ điều hành và ứng dụng thường xuyên.
  • Cải thiện cài đặt bảo mật trình duyệt và chặn các cửa sổ pop-up.
  • Tránh mở các tin nhắn và email từ người gửi không rõ nguồn gốc.
  • Không mở các tệp đính kèm, liên kết và trang web đáng ngờ.
  • Kiểm tra kỹ các chương trình, tệp và phần mềm miễn phí trước khi tải xuống.
  • Đặt mật khẩu mạnh và thay đổi thông tin đăng nhập thường xuyên.

Tuân thủ các quy tắc này sẽ giảm thiểu rủi ro bị phần mềm độc hại lây nhiễm vào thiết bị. Tuy nhiên, không có gì có thể đảm bảo an toàn 100%. Đó là lý do tại sao việc sao lưu dữ liệu ở nhiều vị trí là rất quan trọng, tốt nhất là tuân thủ kế hoạch sao lưu 3-2-1 bao gồm các bản sao lưu không thể thay đổi, được mã hóa và cách ly hoàn toàn. Như vậy, ngay cả trong trường hợp bị tấn công ransomware, bạn vẫn có thể khôi phục dữ liệu chỉ với vài cú nhấp chuột.

Làm thế nào để phát hiện phần mềm độc hại?

Một câu hỏi thường gặp khác là làm thế nào để xác định xem máy tính hoặc mạng có bị nhiễm hay không. Máy tính có thể bị nhiễm nếu bạn gặp một số vấn đề sau:

  • Hiệu suất máy tính chậm và thường xuyên bị treo
  • Hành vi máy tính không ổn định (máy tính gửi tin nhắn hoặc email spam mà không có sự can thiệp của người dùng, hoặc tự động mở/đóng các chương trình, v.v.)
  • Mất dữ liệu không rõ nguyên nhân
  • Các cửa sổ pop-up và thông báo khác hiển thị trên màn hình
  • Màn hình xanh chết chóc (BSOD)

Tuy nhiên, cách tốt nhất là sử dụng phần mềm phát hiện phần mềm độc hại toàn diện kết hợp nhiều phương pháp phát hiện với học máy. Các giải pháp này có thể quét hệ thống của bạn để tìm các dấu hiệu virus đã biết hoặc xác định các mẫu mã tương tự, giám sát hệ thống để phát hiện các hoạt động bất thường và chạy các thử nghiệm trong môi trường cách ly với các tệp đáng ngờ.

Làm thế nào để loại bỏ phần mềm độc hại?

Việc phát hiện và loại bỏ phần mềm độc hại có thể là một nhiệm vụ phức tạp. Trừ khi bạn là chuyên gia, việc bỏ sót một số chi tiết và thực hiện sai là điều dễ xảy ra. Hơn nữa, rất khó để xác định liệu phần mềm độc hại có làm thay đổi hệ thống đến mức không thể khắc phục được thiệt hại hay không. Quy trình tiêu chuẩn để loại bỏ phần mềm độc hại như sau:

  • Chạy phần mềm chống phần mềm độc hại để quét các mối đe dọa tiềm ẩn.
  • Khi phát hiện phần mềm độc hại, hãy xóa các tệp bị nhiễm.
  • Nếu không thể thực hiện tự động, hãy liên hệ với kỹ thuật viên của nhà cung cấp giải pháp bảo mật để được hỗ trợ.
  • Sau khi định dạng ổ đĩa, khôi phục dữ liệu từ bản sao lưu (một số giải pháp sao lưu, bao gồm NAKIVO Backup & Replication, cho phép bạn quét bản sao lưu để tìm phần mềm độc hại trước khi thực hiện khôi phục) và cài đặt lại các chương trình nếu cần.
  • Phân tích cách máy tính bị nhiễm để ngăn chặn các cuộc tấn công phần mềm độc hại trong tương lai.
  • Dành thời gian để thông báo cho tất cả người dùng về các quy tắc an ninh mạng.

Nếu một số tệp của bạn bị mã hóa do tấn công ransomware, hãy thực hiện các bước sau:

  • Không bao giờ trả tiền chuộc.
  • Nếu máy tính bị nhiễm được kết nối với mạng, hãy ngắt kết nối hoặc tắt điểm truy cập (trong trường hợp kết nối Wi-Fi).
  • Chụp ảnh màn hình khóa hiển thị trên màn hình. Điều này có thể giúp xác định loại ransomware.
  • Sử dụng bất kỳ phương tiện chỉ đọc nào có phần mềm chống phần mềm độc hại, quét tất cả các đĩa của máy tính và xóa phần mềm độc hại.
  • Nếu có sự cố xảy ra, hãy liên hệ với kỹ thuật viên chuyên môn.

Phần mềm độc hại gây thiệt hại nặng nề nhất

MyDoom

Các cuộc tấn công mạng không chỉ dẫn đến hỏng dữ liệu và hư hỏng máy tính mà còn gây ra những tổn thất tài chính đáng kể. Một trong những cuộc tấn công mạng tốn kém nhất là do phần mềm độc hại MyDoomgây ra, ước tính gây thiệt hại khoảng 38 tỷ đô la. Về mặt kỹ thuật, MyDoom, còn được gọi là Novarg, là một loại sâu máy tính lây lan qua email lừa đảo.

Mức độ nghiêm trọng của cuộc tấn công là do số lượng email được gửi đi quá lớn. Vào một thời điểm năm 2004, MyDoom đã chịu trách nhiệm gửi đi một phần tư tổng số email. Sau khi lây nhiễm vào máy tính, MyDoom đã lấy tất cả danh sách email và gửi các bản sao của chính nó đi khắp nơi. Các máy tính bị nhiễm sau đó đã hình thành một mạng botnet để thực hiện các cuộc tấn công DDoS.

MyDoom vẫn đang lưu hành. Ngay cả 16 năm sau khi được tạo ra, MyDoom vẫn gửi hơn một tỷ email kèm theo bản sao của chính nó. Tác giả của con sâu máy tính này chưa bao giờ được tìm thấy, mặc dù đã có phần thưởng 250.000 đô la được treo cho việc tìm ra kẻ tấn công.

ILOVEYOU

Sự ra đời của phần mềm độc hại này là một bước ngoặt, hay nói đúng hơn, là điểm không thể quay đầu. ILOVEYOU là một trong những cuộc tấn công mạng đầu tiên được thực hiện qua email. Con sâu máy tính này đã lây nhiễm thành công 50 triệu máy tính chỉ trong 10 ngày, gây thiệt hại tổng cộng 15 tỷ đô la. Đầu tiên, nó gửi một email trông giống như một lá thư tình. Và sau khi được cài đặt, nó gửi thêm 50 email độc hại khác đến danh bạ của nạn nhân.

Con sâu máy tính này được phát triển bởi Onel de Guzman, một sinh viên đại học đến từ Philippines. Vì không có đủ tiền, anh ta đã lập trình con sâu máy tính này để đăng nhập vào các dịch vụ trực tuyến có thu phí. Anh ta không thể tưởng tượng được nó sẽ trở nên lớn đến mức nào. Vào thời điểm đó, Philippines chưa có bất kỳ luật nào chống lại tội phạm mạng, vì vậy Onel de Guzman chưa bao giờ bị truy tố. Hiện 44 tuổi, hacker này sống tại Manila và hối hận vì đã tạo ra ILOVEYOU.

WannaCry

WannaCry lần đầu xuất hiện vào năm 2017. Loại ransomware này đã lây nhiễm hơn 200.000 máy tính tại khoảng 150 quốc gia, gây thiệt hại hơn $4 tỷ. WannaCry đã gây ra những tổn thất khổng lồ không chỉ cho các doanh nghiệp và cá nhân mà còn cho các cơ quan chính phủ và bệnh viện. Các hacker yêu cầu tiền chuộc 300 USD bằng bitcoin. Sau đó, số tiền chuộc được tăng lên 600 USD.

Hóa ra, phần mềm độc hại đã lợi dụng lỗ hổng của Microsoft trong giao thức Server Message Block (SMB). Hai tháng trước cuộc tấn công ransomware, Microsoft đã phát hành bản vá bảo mật để bảo vệ hệ thống của người dùng. Tuy nhiên, những người không cập nhật hệ điều hành của mình đã bị tấn công bởi WannaCry .

NotPetya (ExPetr)

Cuộc tấn công mạng của Nga năm 2017 được biết đến với tên gọi NotPetya được coi là một trong những cuộc tấn công ransomware tàn phá nhất từ trước đến nay. Chỉ mất 45 giây để làm sập toàn bộ mạng lưới ngân hàng, NotPetya đã ảnh hưởng đến hơn 2.000 tổ chức trên toàn thế giới, bao gồm các tập đoàn lớn như Maersk, Merck, TNT Express (công ty con của FedEx) và Mondelez. Chi phí thiệt hại ước tính vượt quá $10 tỷ, nhưng tổn thất thực tế còn cao hơn con số này rất nhiều. Ví dụ, Maersk cần 10 ngày và 600 nhân viên để xây dựng lại mạng lưới, trong khi việc phục hồi hoàn toàn mất nhiều tháng.

Được cho là nhằm vào chính phủ Ukraine, NotPetya là một phần mềm tống tiền loại wiper được thiết kế để gây gián đoạn và phá hủy thay vì thu lợi tài chính. Phần mềm tống tiền này đã khai thác công cụ xâm nhập EternalBlue của Mỹ (bị rò rỉ trong một vụ vi phạm dữ liệu trước đó), cũng được sử dụng trong cuộc tấn công WannaCry vào đầu năm đó, và Mimikatz, một lỗ hổng bảo mật đã được biết đến từ năm 2011. Khác với các phiên bản trước đó của Petya cần sự tương tác của người dùng để lây nhiễm vào hệ thống, NotPetya có thể lây lan qua mạng chỉ trong vài giây bằng cách ngụy trang thành bản cập nhật phần mềm kế toán thông thường.

Ryuk

Cuộc tấn công đầu tiên của Ryuk vào Tribune Publishing vào năm 2018 đã gây gián đoạn hoạt động tại New York Times và Wall Street Journal, khiến việc in ấn của hai tờ báo này bị trì hoãn trong vài ngày. Sau đó, nhóm hacker Wizard Spider đã sử dụng Ryuk để nhắm mục tiêu vào các tổ chức lớn trong lĩnh vực chính phủ, y tế, giáo dục và sản xuất trên toàn cầu. Ryuk Ransomware đã liên quan đến các khoản tiền chuộc lớn nhất lên đến $12,5 triệu, trong khi tổng thu nhập của hacker đạt $150 triệu vào năm 2021.

Ryuk thường xâm nhập hệ thống qua email spam chứa mã độc TrickBot . Ryuk cũng là một trong những phần mềm ransomware as a service (RaaS) phổ biến nhất trên darknet. Các nhà phát triển bán nó cho các hacker khác, nhận một phần trăm từ khoản tiền chuộc thành công.

ShrinkLocker

Tổng quan về ShrinkLocker

ShrinkLocker là một biến thể ransomware mới được Kaspersky phát hiện vào tháng 5 năm 2024. Loại ransomware này khai thác tính năng mã hóa BitLocker của Windows để khóa người dùng khỏi thiết bị của họ mà không có bất kỳ tùy chọn khôi phục nào.

Cách ShrinkLocker khai thác Windows BitLocker

ShrinkLocker dựa trên ngôn ngữ lập trình đã bị loại bỏ cho Windows – VBScript. Sau khi xâm nhập vào hệ thống, nó trước tiên xác định hệ điều hành Windows và hoặc tắt máy (2000, 2003, XP, Vista) hoặc chạy các phần mã tương ứng với hệ điều hành cụ thể.

ShrinkLocker lợi dụng BitLocker để mã hóa dữ liệu và sau đó xóa các biện pháp bảo vệ mặc định như mã PIN, khóa khởi động, khóa khôi phục, v.v., khiến nạn nhân không có cách nào để khôi phục dữ liệu đã bị mã hóa. Các tội phạm sau đó truy cập khóa mã hóa BitLocker thông qua TryCloudflare— công cụ hợp pháp của CloudFlare dành cho nhà phát triển. Sau khi tấn công thành công, ShrinkLocker xóa tất cả tệp tin của mình và xóa nhật ký PowerShell để tránh bị phát hiện.

Đây không phải là lần đầu tiên ransomware sử dụng BitLocker để mã hóa dữ liệu, tuy nhiên, biến thể mới này đã đi xa hơn để tối đa hóa thiệt hại và làm cho việc phát hiện trở nên khó khăn hơn. Microsoft đã thông báo rằng BitLocker sẽ được kích hoạt tự động trong Windows 11 24H2, điều này làm tăng phạm vi tiềm năng của các nạn nhân.

Ví dụ về các cuộc tấn công ShrinkLocker

Cho đến nay, ransomware này đã tấn công các nhà sản xuất thép và vắc-xin tại Mexico, Jordan và Indonesia. Những kẻ tấn công không để lại tệp yêu cầu tiền chuộc và cố tình làm cho địa chỉ email liên hệ của chúng khó nhận ra, điều này cho thấy mục tiêu của chúng là gây gián đoạn hoạt động hơn là tiền chuộc.

Kết luận:

An ninh mạng là một trong những thách thức quan trọng nhất hiện nay. Virus và ransomware, cùng với các loại phần mềm độc hại khác, gây ra mối đe dọa nghiêm trọng đối với tính toàn vẹn và bảo mật dữ liệu. Giải pháp tốt nhất để tránh các cuộc tấn công là tuân thủ các quy tắc chung về an ninh mạng. Để tránh quá trình khôi phục và xây dựng lại hệ thống từ đầu kéo dài, hãy sao lưu dữ liệu của bạn.

Các tính năng tiên tiến của giải pháp NAKIVO giúp bạn thiết lập một phương pháp toàn diện cho việc sao lưu, khôi phục và bảo mật dữ liệu. Tìm giải pháp phù hợp nhất với nhu cầu của bạn cùng NAKIVO Backup & Replication.

Hãy thử NAKIVO Backup & Replication

Hãy thử NAKIVO Backup & Replication

Đăng ký dùng thử miễn phí để khám phá toàn bộ các tính năng bảo vệ dữ liệu của giải pháp. 15 ngày miễn phí. Không có bất kỳ giới hạn nào về tính năng hay dung lượng. Không cần thẻ tín dụng.

Dùng thử miễn phí

People also read

Picture
Lỗi “503 Service Unavailable” trên vSphere Web Client: Bạn nên làm gì?
Picture
Cách tắt Hyper-V trong Windows
Picture
Giải thích về ảo hóa lồng nhau của VMware: Các trường hợp ứng dụng và hướng dẫn