0xxx Ransomware là gì? Phát hiện, phòng ngừa và khôi phục
0xxx là một loại phần mềm tống tiền lần đầu xuất hiện vào đầu năm 2021 và từ đó đến nay đã gây ra thiệt hại nghiêm trọng cho các tổ chức trên toàn thế giới. Về cơ bản, 0xxx là một cuộc tấn công bằng phần mềm tống tiền mã hóa các tệp trên máy tính của người dùng bằng cách thêm .0XXX vào các phần mở rộng tệp phổ biến như .txt, .docx, .xlsx. Sau khi bị nhiễm, người dùng sẽ không thể truy cập được vào các tệp đã bị đổi tên này. Để lấy lại quyền truy cập vào dữ liệu bị khóa, nạn nhân được yêu cầu trả tiền chuộc bằng bitcoin. Sau đó, các tội phạm mạng đứng sau cuộc tấn công 0xxx tuyên bố rằng họ sẽ cung cấp công cụ giải mã để đổi lại.
Sau phần giới thiệu ngắn gọn về ransomware và hai loại chính của nó, bài viết này sẽ đề cập đến ransomware 0xxx , các phương pháp bảo vệ dữ liệu và cách khôi phục dữ liệu nếu hệ thống của bạn bị nhiễm.
Ransomware là gì?
Ransomware là một loại phần mềm độc hại thường tự cài đặt vào thiết bị mà người dùng không hay biết hoặc không đồng ý. Trong hầu hết các trường hợp, một khi thiết bị bị nhiễm, ransomware sẽ mã hóa một số hoặc toàn bộ tệp tin, và bọn tội phạm mạng sẽ yêu cầu thanh toán để đổi lấy công cụ giải mã (công cụ này có thể được cung cấp hoặc không, ngay cả sau khi tiền chuộc đã được thanh toán). Ransomware thường được cài đặt thông qua việc nhấp vào các liên kết trong email lừa đảo hoặc mở các tệp đính kèm độc hại từ người gửi không rõ danh tính.
Không chỉ chặn truy cập vào các tệp, ransomware còn có thể lây lan từ thiết bị này sang thiết bị khác trong mạng bằng cách sao chép chính nó vào các thiết bị lưu trữ mạng hoặc tài khoản lưu trữ đám mây. Điều này đủ để xếp ransomware vào một trong những hình thức phần mềm độc hại và mối đe dọa mạng nguy hiểm nhất.
Mục đích của ransomware là làm cho việc khôi phục dữ liệu của nạn nhân trở nên khó khăn nhất có thể. Một số biến thể ransomware làm hỏng tính toàn vẹn của dữ liệu sau khi mã hóa hoặc thậm chí cho phép hacker thay đổi hoặc xóa tệp tin. Điều này khiến việc khôi phục dữ liệu trở nên cực kỳ khó khăn và có thể dẫn đến mất dữ liệu vĩnh viễn nếu không có bản sao lưu để khôi phục tại một thời điểm cụ thể.
Các loại ransomware
Ransomware có thể được phân loại thành hai loại chính: không mã hóa và mã hóa.
Ransomware không mã hóa không mã hóa tệp tin. Thay vào đó, nó chiếm quyền kiểm soát hệ thống của bạn. Loại ransomware này hiển thị một thông báo khi khởi động hệ điều hành hoặc khi mở trình duyệt, cho biết thiết bị đang sử dụng đã bị chính phủ (hoặc một cơ quan chính phủ) chiếm quyền kiểm soát do các hoạt động bất hợp pháp. Một khoản tiền chuộc được yêu cầu để đổi lấy việc hủy bỏ các cáo buộc được cho là chống lại bạn và mở khóa thiết bị của bạn. Nói chung, ransomware không mã hóa không ảnh hưởng đến tính toàn vẹn dữ liệu của bạn và có thể được gỡ bỏ khỏi thiết bị.
Mặt khác, ransomware mã hóa xâm nhập vào thiết bị của bạn, thường thông qua tệp đính kèm email độc hại hoặc liên kết lừa đảo, và chặn quyền truy cập vào các tệp và chương trình trên thiết bị đó cho đến khi bạn trả khoản tiền chuộc được chỉ định. Tuy nhiên, ngay cả sau khi trả tiền chuộc, bạn cũng không được đảm bảo sẽ nhận được công cụ giải mã để lấy lại quyền truy cập vào các tệp của mình. Trong một số trường hợp, những kẻ tấn công còn có thể đe dọa sẽ công khai một số dữ liệu nhạy cảm.
Phần mềm tống tiền mã hóa là loại phần mềm tống tiền gây hại nhất và có thể nói là một trong những mối đe dọa mạng nguy hiểm nhất xuất hiện trong những năm gần đây. Các công ty chi trả số tiền lớn để lấy lại dữ liệu của mình đang khuyến khích tội phạm mạng mở rộng hoạt động và nhắm mục tiêu vào nhiều nạn nhân hơn.
0xxxlà gì?
0xxx là một loại ransomware mã hóa sử dụng các thuật toán AES và RSA để mã hóa tệp tin. AES và RSA là các tiêu chuẩn bảo mật mã hóa mạnh mẽ được các chính phủ và tổ chức sở hữu dữ liệu nhạy cảm áp dụng. Trong những năm qua, các tiêu chuẩn AES và RSA đã dần trở thành một phần không thể thiếu trong thế giới ransomware, vì cả hai thuật toán này đều được coi là động lực chính đằng sau một số chủng ransomware khét tiếng nhất, như Cryptolocker và Teslacrypt.
Giống như các ransomware khác trong cùng loại, chẳng hạn như Redeemer, Ouelezin Zebi và Iqll, 0xxx từ chối quyền truy cập vào các tệp bằng cách mã hóa chúng, đổi tên phần mở rộng của chúng và tạo một tệp văn bản trong từng thư mục trên ổ đĩa bị nhiễm chứa thông điệp yêu cầu tiền chuộc.
Tệp “!0XXX_DECRYPTION_README.TXT” được tạo ra bao gồm một bộ hướng dẫn mà nạn nhân phải tuân theo để giải mã dữ liệu của họ. Nhưng trước tiên, nạn nhân được thông báo rằng tất cả tệp của họ đã bị mã hóa bằng virus 0xxx và rằng công cụ giải mã có thể được mua bằng bitcoin.
Sau đó, nạn nhân được yêu cầu gửi email ID duy nhất (mã hex 32 chữ số viết hoa) được gán cho họ cùng với ba tệp đã mã hóa đến địa chỉ được cung cấp. Như một minh chứng, các nạn nhân sẽ nhận được email trả lời kèm theo ba tệp đã gửi trước đó, đã được giải mã hoàn toàn và không còn virus. Trong cùng email đó, các nạn nhân sẽ nhận được địa chỉ ví Bitcoin mà số tiền chuộc quy định phải được chuyển vào. Cuối cùng, các tội phạm mạng đứng sau virus 0xxx cam kết sẽ gửi công cụ giải mã ngay sau khi thanh toán được thực hiện.
Dưới đây là ảnh chụp màn hình của tệp văn bản ransomware 0xxx hướng dẫn nạn nhân cách thanh toán tiền chuộc:
Làm thế nào 0xxx lây nhiễm vào máy tính?
Mặc dù ransomware dựa vào nhiều phương thức lây nhiễm để lan truyền, hai cách phổ biến nhất mà tội phạm mạng hiện nay sử dụng để phát tán 0xxx là email lừa đảo và phần mềm độc hại Trojan.
Trong số tất cả các phương thức lây nhiễm, lừa đảo qua email đã trở nên tinh vi và nguy hiểm hơn bao giờ hết. Email lừa đảo là một loại email lừa đảo nhằm dụ dỗ người nhận nhấp vào liên kết hoặc tải xuống nội dung độc hại có thể dẫn đến một cuộc tấn công ransomware. Các email lừa đảo được thiết kế để trông giống như được gửi từ một nguồn đáng tin cậy, ví dụ như một ngân hàng hoặc công ty thẻ tín dụng. Những email này có thể chứa các tệp hoạt động như phương tiện truyền tải ransomware. 0xxx Sau khi được tải xuống và cài đặt, các tệp độc hại có thể ngay lập tức lây nhiễm hệ thống bằng phần mềm tống tiền Google Chrome .
Trojan là một loại phần mềm độc hại, bề ngoài trông giống như một phần mềm hợp pháp nhưng thực chất được lập trình để gây hại cho dữ liệu trên hệ thống hoặc mạng. Trojan thường được tải xuống vô tình từ các trang web đáng ngờ tuyên bố cung cấp các công cụ kích hoạt bất hợp pháp (còn gọi là “crack”) và các bản cập nhật giả mạo cho các ứng dụng như Microsoft Office. Khi được cài đặt, phần mềm độc hại Trojan có thể mở một lỗ hổng cho kẻ tấn công, cho phép chúng xem và thao túng dữ liệu trên hệ thống chủ. Nếu kẻ tấn công thành công trong việc chiếm quyền truy cập đầy đủ vào hệ thống, việc tiêm ransomware như 0xxxcó thể được thực hiện một cách dễ dàng.
Làm thế nào để phát hiện phần mềm tống tiền 0xxx ?
Có một số dấu hiệu có thể giúp bạn phát hiện phần mềm tống tiền 0xxx trên thiết bị của mình:
- Những thay đổi đáng ngờ đối với phần mở rộng tên tệp : Hành động đầu tiên của phần mềm tống tiền
0xxxlà thêm.0XXXvào tất cả các phần mở rộng tệp. Loại phần mềm tống tiền này giữ nguyên tên tệp gốc. Ví dụ,document.pdfsẽ trở thànhdocument.pdf.0XXX. Đây không phải là việc đổi tên phần mở rộng tệp đơn thuần mà là dấu hiệu cho thấy tệp đã bị mã hóa. - Hoạt động CPU cao : Phần mềm tống tiền
0xxxtiêu tốn nhiều tài nguyên, do đó các chương trình có thể chạy và tải chậm hơn đáng kể. Việc mã hóa và đổi tên hàng nghìn tệp là tác vụ tiêu tốn nhiều tài nguyên CPU và có thể làm chậm hệ thống đến mức không phản hồi. - Không thể truy cập tệp tin : Mục tiêu chính của ransomware 0xxx là ngăn chặn bạn truy cập vào các tệp tin. Khi bị mã hóa, các tệp tin và tài liệu không thể mở được và cần công cụ giải mã để khôi phục về trạng thái ban đầu. Công cụ giải mã chỉ được cung cấp khi khoản tiền chuộc quy định đã được thanh toán.
- Giao tiếp mạng bất thường : Nếu hệ thống của bạn bị nhiễm ransomware
0xxx, bạn có thể gặp phải tình trạng mạng chậm. Các tội phạm mạng đứng sau các cuộc tấn công ransomware có thể thiết lập hệ thống liên lạc giữa máy chủ của chúng và các máy tính bị nhiễm để thao túng các tệp tin. Điều này có thể dẫn đến các vấn đề kết nối liên tục.
Làm thế nào để bảo vệ hệ thống khỏi ransomware?
Các tổ chức thuộc mọi quy mô không được đánh giá thấp mối đe dọa từ ransomware. Dù hệ thống bảo mật của bạn có mạnh mẽ đến đâu, ransomware vẫn có thể xâm nhập vào máy tính của bạn hoặc của nhân viên. Không có tổ chức nào hoàn toàn miễn nhiễm với mối đe dọa từ ransomware. Do đó, để bảo vệ dữ liệu của tổ chức trước mọi hình thức ransomware, bạn cần áp dụng phương pháp bảo vệ nhiều lớp.
Tuyên truyền cho đồng nghiệp
Xây dựng chương trình đào tạo nhân viên hiệu quả về ransomware nhằm giúp đồng nghiệp hiểu rõ ransomware là gì và cách thức hoạt động của nó. Bạn cũng nên đề cập đến cách phòng tránh bị nhiễm phần mềm độc hại và cách ứng phó với cuộc tấn công ransomware nếu và khi nó xảy ra.
Gửi email định kỳ cho nhân viên về tin tức ransomware và các nguy cơ liên quan đến mối đe dọa mạng là một thực hành tốt, đặc biệt nếu quy trình làm việc của tổ chức bạn phụ thuộc vào các công cụ năng suất và hợp tác dựa trên đám mây như Microsoft Office 365.
Tổ chức các buổi đào tạo nhận thức về ransomware định kỳ có thể giúp nhân viên phân biệt giữa nội dung lừa đảo và hợp pháp trong email, tệp đính kèm và trang web. Do đó, khả năng thực hiện các hành động sai lầm như mở liên kết lừa đảo hoặc tải xuống phần mềm độc hại có thể giảm đáng kể.
Cấu hình bộ lọc email
Hầu hết các dịch vụ email lớn đều có bộ lọc có thể bảo vệ bạn hoặc đồng nghiệp khỏi các mối đe dọa mạng, bao gồm ransomware. Một số dịch vụ cung cấp các biện pháp bảo mật nâng cao như tự động phát hiện và từ chối các email đáng ngờ từ các nguồn không đáng tin cậy hoặc không xác định. Trước đây tôi đã đề cập đến Cách cấu hình các chính sách chống lừa đảo và chống mạo danh trong Microsoft Defender cho Office 365 và liệt kê tất cả các bước cần thiết để tối ưu hóa bảo mật email.
Quét và giám sát hệ thống
Việc chạy các cuộc quét toàn bộ hệ thống theo lịch trình thông qua phần mềm chống virus hoặc chống phần mềm độc hại được cập nhật có thể giúp phát hiện các hoạt động đáng ngờ như việc đổi tên hàng loạt các phần mở rộng tệp hoặc sử dụng đĩa bất thường. Một phần mềm chống virus với định nghĩa mới nhất có thể vô hiệu hóa mối đe dọa ransomware bằng cách cách ly phần mềm độc hại đã tải xuống, từ đó hạn chế sự lây lan của nhiễm trùng trên hệ thống và mạng của bạn. Ngoài ra, hãy đảm bảo cài đặt các bản vá bảo mật mới nhất cho hệ điều hành ngay khi chúng có sẵn.
Sao lưu dữ liệu
Thực hiện sao lưu định kỳ theo quy tắc sao lưu 3-2-1 đảm bảo dữ liệu của bạn có thể tồn tại sau một cuộc tấn công ransomware với thiệt hại tối thiểu. Quy tắc 3-2-1 là một phương pháp sao lưu dữ liệu phổ biến và hiệu quả. Quy tắc này quy định rằng bạn nên giữ ít nhất 3 bản sao dữ liệu và lưu trữ chúng trên 2 loại phương tiện lưu trữ khác nhau, đồng thời giữ 1 bản sao tại một địa điểm ngoài cơ sở.
Ngoài ra, bạn có thể cân nhắc áp dụng các công nghệ sao lưu mới, như sao lưu không thể thay đổi (immutable backups), để bảo vệ tài sản dữ liệu của mình khỏi ransomware. Với các bản sao lưu không thể thay đổi (immutable backups), dựa trên mô hình lưu trữ chỉ ghi một lần ( WORM (Write Once Read Many) ), dữ liệu của bạn sẽ được sao lưu vào một khối lưu trữ chỉ cho phép ghi dữ liệu một lần. Dữ liệu trên khối lưu trữ đó có thể được truy cập nhiều lần nhưng không thể bị ghi đè, thay đổi hoặc xóa trong một khoảng thời gian nhất định.
Làm thế nào để khôi phục tệp sau một cuộc tấn công ransomware? 0xxx
Nếu máy tính của bạn bị nhiễm ransomware 0xxx, bạn không thể khôi phục bất kỳ dữ liệu nào trừ khi trả tiền chuộc, hoặc ít nhất đó là điều mà các tội phạm mạng muốn bạn tin. Mặc dù phần mềm chống virus hoặc chống phần mềm độc hại có thể loại bỏ phần mềm độc hại và hạn chế sự lây lan của nó, nhưng chúng không cung cấp cho bạn tùy chọn khôi phục các tệp đã bị nhiễm. Giải pháp duy nhất là khôi phục các tệp từ bản sao lưu, nếu bản sao lưu đó được tạo ra trước khi bị nhiễm và được lưu trữ ở một vị trí khác.
Nếu bạn đang tìm kiếm một giải pháp bảo vệ dữ liệu toàn diện, hãy xem xét triển khai NAKIVO Backup & Replication. NAKIVO Backup & Replication có thể đảm bảo mức độ bảo vệ cao nhất cho tất cả các môi trường, bao gồm môi trường ảo, vật lý, đám mây và SaaS. Sử dụng giải pháp này để bảo vệ dữ liệu trên VMware vSphere, Microsoft Hyper-V, Nutanix AHV, Amazon EC2, máy tính Windows/Linux và Microsoft 365.
NAKIVO Backup & Replication cung cấp cho dữ liệu sao lưu của bạn một lớp bảo vệ bổ sung chống lại ransomware. Giải pháp này cho phép bạn làm cho dữ liệu sao lưu của mình không thể thay đổi trong thời gian bạn cần, cả trong bộ nhớ cục bộ của hệ điều hành Linux hoặc trong các thùng Amazon S3. Bằng cách này, các bản sao lưu của bạn không thể bị sửa đổi, ghi đè hoặc xóa cho đến khi thời hạn đó hết hiệu lực. Với các bản sao lưu bị khóa, dữ liệu sao lưu được bảo vệ khỏi việc mã hóa bởi ransomware và bạn có thể nhanh chóng khôi phục lại nếu một cuộc tấn công độc hại như 0XXX tấn công vào hệ thống của bạn.
