Những tin tặc đứng sau phần mềm tống tiền (ransomware) đang không ngừng cải tiến thuật toán mã hóa file và phương pháp lây nhiễm của chương trình, đồng thời nhắm đến cùng lúc cả Windows lẫn Android để người dùng khó bề chống đỡ.

{keywords}

Cảnh báo trên PCWorld, các chuyên gia bảo mật cho biết phần mềm ransomware đáng sợ nhất đối với người dùng Windows hiện nay là CryptoWall, một mã độc cực kỳ tinh vi có khả năng mã hóa nhiều dạng file khác nhau và đòi hỏi nạn nhân phải trả tiền chuộc dưới dạng Bitcoin nếu muốn khôi phục file. Sự nguy hiểm của CryptoWall là nó sử dụng những thuật toán mã hóa không thể bẻ vỡ và giấu máy chủ điều khiển trên các mạng ẩn danh Tor hay I2P, khiến cho giới bảo mật và lực lượng tư pháp rất khó chặn đứng dịch vụ.

Phiên bản mới nhất - CryptoWall 3.0 được tung ra hồi tháng 1 vừa qua sau 2 tháng "tác giả" của nó tạm nghỉ. Một sự thay đổi đáng chú ý là nó không còn đính kèm các tệp tin khai thác đặc quyền nội bộ nữa, Cisco Systems phân tích. Khai thác đặc quyền leo thang cho phép kẻ tấn công chạy các mã độc với quyền của Admin hoặc ngang cấp hệ thống thay vì chỉ sử dụng tài khoản người dùng của nạn nhân. CryptoWall cần cấp độ tiếp cận rất cao này để vô hiệu hóa các tính năng bảo mật trên những hệ thống bị nhiễm, do đó, việc loại bỏ tính năng này thoạt đầu có vẻ gây bất ngờ.

Tuy nhiên, trong thực tế, có thể suy đoán là các tác giả của CryptoWall muốn dựa vào các vụ tấn công download trên nền web để lây nhiễm hệ thống hơn, Cisco phân tích. Những cuộc tấn công kiểu này khởi phát từ các website bị đoạt quyền kiểm soát, hoặc thông qua các quảng cáo độc hại. Chúng thường khai thác những lỗ hổng bên trong plug-in trình duyệt như Flash Player, Java, Adobe Reader hay Silverlight. Những công cụ được sử dụng cho những vụ tấn công kiểu này được gọi là exploit kits và chúng đã có sẵn chức năng leo thang đặc quyền rồi.

Không những có thể tấn công diện rộng mà exploit kits còn rất khó ngăn ngừa, giới bảo mật cảnh báo. Chúng có tỷ lệ thành công cao hơn nhiều so với các phương pháp phát tán mã độc khác như đính kèm theo email.

Nhưng điều đó không có nghĩa là ransomware đã từ bỏ hẳn con đường lây nhiễm qua email. Các hãng bảo mật cho biết, họ đã ghi nhận được sự gia tăng đáng kể của số lượng máy tính bị lây nhiễm một ransomware khác là CTB-Locker.

Trên thực tế, CTB-Locker là ransomware phát tán qua email phổ biến nhất thế giới hiện nay, PCWorld cho hay. Chúng thường ẩn trong file đính kèm hiểm độc dạng zip, bên trong có chứa file .scr hoặc .cab. Chỉ cần chạy bất cứ file exe nào trong số này cũng sẽ khiến cho máy bị nhiễm ransomware.

Cũng giống như CryptoWall, CTB sử dụng thuật toán mã hóa rất mạnh, khiến cho nạn nhân không thể khôi phục file mà không trả tiền chuộc, trừ phi họ có file dự phòng không bị ảnh hưởng bởi sự cố. Khoản tiền chuộc phải nộp lên tới 3 Bitcoin, tương đương 650 USD, cao hơn rất nhiều so với khoản tiền 500 USD mà tác giả của CryptoWall đòi hỏi.

Một nguy cơ cần cảnh báo là người dùng Android không hề miễn nhiễm trước những nguy cơ này. Sau khi tung ra ransoware đầu tiên dành cho Android, các tác giả của Simplocker đã tái xuất "lợi hại" hơn xưa nhiều lần. Nếu như trước đây, chúng sử dụng cùng một thuật toán mã hóa cho tất cả các thiết bị bị lây nhiễm, khiến cho việc khôi phục file khá dễ dàng thì giờ đây, chúng đã sửa sai bằng một phiên bản mới tinh vi hơn nhiều. Hậu quả là hơn 5000 người dùng đã bị nhiễm chỉ sau vài ngày Simplocker xuất hiện.

Simplocker phát tán thông qua những quảng cáo độc hại trên các website khiêu dâm luôn đòi hỏi người dùng phải cài Flash Player nếu muốn xem video. Ứng dụng Flash Player mà những quảng cáo này cho cài chính là Simplocker.

Ở chế độ mặc định, Android chặn không cho cài đặt những ứng dụng không được tải từ Google Play. Tuy nhiên, kẻ tấn công thường dùng các thủ thuật để thuyết phục người dùng vô hiệu hóa cơ chế bảo mật này, cho phép chạy các ứng dụng từ nguồn không uy tín. Một khi cài đặt xong, Simplocker sẽ hiển thị thông điệp giả mạo từ FBI và đòi người dùng phải nộp 200 USD nếu muốn điện thoại được mở khóa.

Các hãng bảo mật khuyến cáo người dùng không nên trả tiền chuộc cho bọn tội phạm mạng, vì không có gì đảm bảo rằng chúng sẽ trao cho họ chìa khóa mã hóa sau đó, đồng thời càng khuyến khích chúng tấn công nhiều người hơn nữa. Do đó, bên cạnh việc cài đặt các phần mềm diệt virus, mã độc mới nhất, người dùng cần luôn xây dựng kế hoạch backup dữ liệu và file quan trọng trên những ổ đĩa hoặc mạng mà chỉ có thể truy cập thông qua mật khẩu/username. Bạn cũng nên thận trọng với việc mở email từ những nguồn xa lạ và không nên click vào quảng cáo trên các website "đen".

Trọng Cầm