10 bước cần thực hiện khi bị nhiễm Ransomware mã hóa dữ liệu
Hãy tưởng tượng bạn đang hoàn thành những bước cuối cùng cho một báo cáo công việc quan trọng thì đột nhiên bạn mất quyền truy cập vào tất cả các tệp. Hoặc bạn nhận được một thông báo lỗi kỳ lạ yêu cầu bạn gửi Bitcoin để mở khóa máy tính của bạn.
Bất kể kịch bản là gì, một cuộc tấn công bằng ransomware có thể tàn phá máy tính của bạn. Hãy cùng tìm hiểu thêm về ransomware và các bước bạn có thể thực hiện sau khi bị dính ransomware.
Ransomware là gì?
Ransomware là một cuộc tấn công độc hại khiến dữ liệu của bạn bị khóa hoặc mã hóa bởi tội phạm mạng ẩn danh. Những kẻ tấn công sẽ cung cấp hướng dẫn về cách giải mã các tệp và cuối cùng nạn nhân có thể lấy lại tệp của họ sau khi trả trước một khoản “tiền chuộc” khổng lồ.
Một số hoạt động nhất định có thể dẫn đến một cuộc tấn công bằng ransomware. Ở một mức độ lớn, hai chiến thuật độc hại, được gọi là “social engineering” và “lateral movement“, có thể là thủ phạm.
Trong một số trường hợp, tội phạm mạng có thể tiến hành một cuộc tấn công ransomware trước và thực hiện việc đòi tiền chuộc sau đó, do đó cuộc tấn công thực sự có thể xảy ra vài ngày sau khi xâm nhập mạng.
Các bước cần thực hiện sau khi bị Ransomware tấn công
Phòng ngừa là hình thức phòng thủ tốt nhất khi nói đến ransomware. Nếu bạn hoặc công ty của bạn không có các biện pháp bảo mật mạnh mẽ, thì bạn rất dễ bị dính ransomware.
Một cuộc tấn công ransomware có thể rất nguy hiểm. Nhưng nếu bạn hành động kịp thời ngay lập tức sau khi dính ransomware, bạn có thể giảm thiểu một số thiệt hại. Dưới đây là 10 bước bạn nên thực hiện sau khi bị tấn công bằng ransomware.
1. Giữ bình tĩnh và thu thập thông tin
Thật khó để giữ bình tĩnh khi bạn không thể truy cập các tệp quan trọng trên máy tính của mình. Nhưng bước đầu tiên bạn cần làm sau khi bị tấn công bởi ransomware là không hoảng sợ và giữ thái độ bình tĩnh.
Hầu hết mọi người sẽ lao vào trả tiền chuộc trước khi phân tích mức độ nghiêm trọng của tình huống họ đang gặp phải. Giữ bình tĩnh và lùi lại một bước đôi khi có thể mở ra cơ hội đàm phán với kẻ tấn công.
2. Chụp ảnh Ghi chú Ransomware
Bước thứ hai là ngay lập tức chụp ảnh ghi chú ransomware trên màn hình của bạn thông qua điện thoại hoặc máy ảnh. Nếu có thể, hãy chụp ảnh màn hình trên máy bị ảnh hưởng.
Điều này sẽ giúp bạn báo cảnh sát và sẽ đẩy nhanh quá trình khắc phục sự cố.
3. Cô lập máy bị ảnh hưởng
Điều quan trọng là phải cô lập các hệ thống bị ảnh hưởng càng sớm càng tốt. Ransomware thường quét mạng mục tiêu và lây truyền sang các hệ thống khác.
Tốt nhất là tách các hệ thống bị ảnh hưởng khỏi mạng để ngăn chặn sự lây nhiễm và ngăn chặn ransomware lây lan.
4. Tìm công cụ giải mã
May mắn thay, có rất nhiều công cụ giải mã có sẵn trên mạng, ở những nơi chẳng hạn như No More Ransom.
Nếu bạn đã biết tên chủng ransomware của mình, thì bạn có thể chỉ cần nhập tên nó vào trang web và tìm kiếm công cụ giải mã phù hợp.
5. Vô hiệu hóa các nhiệm vụ bảo trì
Bạn nên tắt ngay các tác vụ bảo trì tự động, chẳng hạn như xóa tệp tạm thời và sao lưu nhật ký, trên các hệ thống bị ảnh hưởng. Điều này sẽ ngăn những tác vụ này can thiệp vào các tệp có thể hữu ích cho việc phân tích pháp y và điều tra.
6. Ngắt kết nối sao lưu
Hầu hết các chủng ransomware hiện đại ngay lập tức vô hiệu hóa quá trình sao lưu để ngăn cản các nỗ lực khôi phục.
Do đó, bạn hoặc tổ chức của bạn bắt buộc phải bảo mật các bản sao lưu của mình bằng cách tách chúng khỏi phần còn lại của mạng. Bạn cũng nên khóa quyền truy cập vào các hệ thống sao lưu cho đến khi giải quyết được vấn đề.
7. Xác định biến thể tấn công
Để xác định chủng loại ransomware, bạn có thể sử dụng các dịch vụ miễn phí như công cụ nhận dạng ransomware trực tuyến của Emsisoft hoặc ID Ransomware.
Các dịch vụ này cho phép người dùng tải lên một mẫu tệp được mã hóa, bất kỳ ghi chú đòi tiền chuộc nào bị bỏ lại và thông tin liên hệ của kẻ tấn công, nếu có. Việc phân tích thông tin này có thể xác định loại phần mềm tống tiền đã tấn công người dùng.
8. Đặt lại mật khẩu
Thay đổi tất cả mật khẩu trực tuyến và mật khẩu tài khoản khi bạn đã ngắt kết nối các hệ thống bị ảnh hưởng khỏi mạng. Sau khi loại bỏ ransomware, bạn nên đổi tất cả các mật khẩu hệ thống một lần nữa.
9. Báo cáo Ransomware
Thời điểm bạn nhận thấy mình bị tấn công bằng ransomware, hãy nhớ liên hệ với cơ quan pháp luật. Ngay cả khi cơ quan thực thi pháp luật không thể giúp giải mã các tệp của bạn, thì ít nhất họ cũng có thể giúp những người khác tránh được số phận tương tự.
10. Quyết định trả tiền chuộc hay không
Quyết định trả tiền cho ransomware không phải là một quyết định dễ dàng và đi kèm với những ưu và nhược điểm của nó. Chỉ trả tiền cho ransomware nếu bạn đã dùng hết các cáchkhác và việc mất dữ liệu gây thiệt hại cho bạn hoặc công ty của bạn nhiều hơn là trả tiền chuộc.
Mẹo để giảm thiểu các cuộc tấn công bằng Ransomware
Sự gia tăng của tội phạm mạng đang thúc đẩy các tổ chức phải suy nghĩ lại về các chiến lược bảo mật của họ. Dưới đây là một số mẹo có thể giúp bạn giảm thiểu các cuộc tấn công ransomware.
- Hạn chế đặc quyền quản trị: Hãy thận trọng khi cung cấp đặc quyền quản trị vì tài khoản quản trị viên có quyền truy cập vào mọi thứ, bao gồm cả việc thay đổi cấu hình hoặc bỏ qua các cài đặt bảo mật quan trọng. Luôn sử dụng Nguyên tắc Đặc quyền Ít nhất (PLOP) khi cấp bất kỳ loại quyền truy cập nào.
- Vá các ứng dụng: Nếu bạn phát hiện ra một lỗ hổng bảo mật, hãy vá nó càng sớm càng tốt để ngăn chặn tin tặc lợi dụn nó.
- Sử dụng danh sách cho phép ứng dụng: Danh sách cho phép ứng dụng là một kỹ thuật giảm thiểu mối đe dọa chủ động cho phép các chương trình được ủy quyền trước chạy trong khi tất cả các chương trình khác vẫn bị chặn theo mặc định. Nó giúp xác định các nỗ lực thực thi mã độc hại và cũng ngăn chặn các cài đặt trái phép.
- Cảnh giác với email: Email dễ bị tấn công bởi ransomware nhất, do đó, bắt buộc phải tăng cường bảo mật email. Cổng email an toàn đảm bảo tất cả các liên lạc qua email được lọc cùng với việc kích hoạt tính năng bảo vệ URL và sandbox để chủ động xác định các mối đe dọa. Cũng như các mưu đồ lừa đảo qua email cần được ngăn chặn, bạn cũng cần chú ý đến việc bảo vệ sau khi gửi.
- Đào tạo nhận thức bảo mật: Vì hành vi của con người bắt đầu tất cả các cuộc tấn công ransomware, nên việc đào tạo nhận thức về bảo mật là điều bắt buộc đối với tất cả nhân viên. Khóa đào tạo này là bắt buộc vì nó dạy người dùng phân biệt các mối đe dọa thực sự với dữ liệu hợp pháp.
- Sử dụng MFA: Xác thực đa yếu tố (MFA) bổ sung thêm một lớp bảo mật vì nó yêu cầu hai hoặc nhiều bằng chứng để đăng nhập vào các giải pháp truy cập từ xa, như ngân hàng trực tuyến hoặc các hành động đặc quyền khác, cần thông tin nhạy cảm.
- Sao lưu hàng ngày: Sao lưu dữ liệu thường xuyên là một phần không thể thiếu của kế hoạch khôi phục sau sự cố. Trong trường hợp bị tấn công bởi ransomware, bạn có thể khôi phục và truy cập vào dữ liệu đã sao lưu. Bạn luôn có thể giải mã dữ liệu gốc của mình bằng cách khôi phục các bản sao lưu trước đó.
Bên cạnh việc hết sức cẩn thận, hãy luôn nhớ rằng các cuộc tấn công bằng phần mềm độc hại, bao gồm cả ransomware, đều nhắm vào phần mềm chưa được vá lỗi và lỗi thời. Vì vậy, điều quan trọng nhất là tất cả phần mềm chạy trên máy của bạn phải được cập nhật.