Hãy tưởng tượng bạn đang làm việc trên thiết bị của mình và đột nhiên thấy rằng bạn không thể truy cập các tệp của mình. Bạn có thể là nạn nhân của một cuộc tấn công ransomware Bad Rabbit.
Mặc dù trường hợp đầu tiên của cuộc tấn công này là nhằm vào các tổ chức ở Ukraine và Nga, phần mềm tống tiền Bad Rabbit đã trở nên khá phổ biến, ảnh hưởng đến các cá nhân trên toàn cầu.
Một cuộc tấn công ransomware Bad Rabbit là gì?
Bad Rabbit ransomware là một loại phần mềm độc hại mà tin tặc sử dụng để mã hóa dữ liệu trên máy tính hoặc mạng để chúng có thể yêu cầu nạn nhân chuộc để mở khóa. Nó được phát hiện lần đầu tiên vào năm 2017 và được cho là một biến thể của Petya ransomware, một cuộc tấn công phần mềm độc hại khét tiếng.
Mặc dù mã bẻ khóa cho phần mềm tống tiền Petya đã được phát triển, nhưng những kẻ đe dọa đã điều chỉnh chiến thuật của chúng và ngày càng sử dụng phần mềm tống tiền Bad Rabbit.
Những kẻ tấn công Bad Rabbit thường yêu cầu thanh toán Bitcoin để đổi lấy khóa giải mã để mở khóa các tệp. Lưu ý rằng chỉ Windows 7 chưa được vá và hệ điều hành Windows mới hơn mới dễ bị tấn công bằng phần mềm tống tiền Bad Rabbit.
Phần mềm tống tiền này không sử dụng các phương pháp truyền thống, tức là lây lan qua email lừa đảo. Thay vào đó, người sáng tạo—người bị ám ảnh một cách kỳ lạ bởi Game of Thrones và phản ánh điều này bằng các tham chiếu trong mã của phần mềm độc hại—nhúng phần mềm tống tiền của họ vào các trang web, sử dụng JavaScript được truyền vào mã HTML của trang web.
Chủ sở hữu của các trang web chứa ransomware này có thể không biết rằng Bad Rabbit đang ẩn trên dịch vụ của họ.
Bad Rabbit Ransomware hoạt động như thế nào?
Phần mềm tống tiền này sử dụng khai thác EternalBlue, do NSA tạo ra và bị rò rỉ vào năm 2017. Khai thác này nhắm vào các lỗ hổng trong giao thức Khối tin nhắn máy chủ (SMB) của Microsoft, được sử dụng để chia sẻ tệp và máy in.
Khi một máy tính đang chạy phiên bản bị xâm nhập của giao thức SMB, kẻ tấn công có thể sử dụng giao thức này để quét các chia sẻ mở và truyền chúng sang các máy tính khác.
Hơn nữa, phần mềm tống tiền Bad Rabbit có thể lây lan bằng cách đưa mã vào tiến trình explorer.exe, điều này cũng khiến phần mềm độc hại di chuyển từ máy này sang máy khác qua kết nối mạng.
Theo PCrisk, nạn nhân của phần mềm tống tiền Bad Rabbit thường nhận được một phiên bản tương tự của văn bản này:
Ối! Các tập tin của bạn đã được mã hóa.
Nếu bạn thấy dòng chữ này, thì các tệp của bạn không thể truy cập được nữa. Bạn có thể đang tìm cách khôi phục các tệp của mình. Đừng lãng phí thời gian của bạn. Không ai có thể khôi phục chúng nếu không có dịch vụ giải mã của chúng tôi. Chúng tôi đảm bảo rằng bạn có thể khôi phục tất cả các tệp của mình một cách an toàn. Tất cả những gì bạn cần làm là gửi thanh toán và lấy mật khẩu giải mã… Nếu bạn đã có mật khẩu, vui lòng nhập mật khẩu vào bên dưới.
Mật khẩu số 1: –
Nó bao gồm một địa chỉ trang web nơi bạn cũng có thể thực hiện thanh toán.
Khi bạn cố gắng truy cập máy chủ hoặc tệp trên PC và văn bản như bên trên bật lên, máy tính của bạn đã bị nhiễm virus. Bạn có thể sẽ được yêu cầu trả một khoản phí cụ thể trước thời hạn. Nhưng nhiều nạn nhân đã báo cáo rằng các tệp của họ vẫn không thể truy cập được ngay cả sau khi trả tiền chuộc.
Vì vậy, ngay cả khi bạn trả tiền, bạn có thể không lấy lại được dữ liệu của mình.
Nếu bạn vô tình tải xuống phần mềm tống tiền này, nó sẽ không tự động cài đặt; bạn phải khởi chạy bản cập nhật Adobe để Bad Rabbit bắt đầu hoạt động. Khi lây lan trên các máy tính trong mạng, phần mềm độc hại sử dụng kết hợp tên người dùng và mật khẩu đơn giản để lây nhiễm máy.
Cách khôi phục tệp sau khi tấn công Bad Rabbit Ransomware
Một cuộc tấn công của Bad Rabbit rất nguy hiểm và việc khôi phục tệp có thể rất tẻ nhạt và tốn thời gian.
Bạn có thể thực hiện nhiều bước để khôi phục dữ liệu của mình. Nhưng trước khi thực hiện những điều này, hãy đảm bảo máy tính của bạn bị ngắt kết nối Internet để ngăn phần mềm tống tiền mã hóa thêm các tệp của bạn.
Khôi phục từ bản sao lưu
Nếu bạn có phiên bản gần đây của tệp trong hệ thống sao lưu, thì tất cả những gì bạn cần làm là khôi phục chúng càng sớm càng tốt. Nhưng trước khi làm như vậy, hãy đảm bảo rằng bạn đã loại bỏ phần mềm tống tiền khỏi máy tính của mình. Điều này có thể được thực hiện bằng cách đặt lại hệ thống của bạn về cài đặt mặc định. Sau khi đặt lại, bạn có thể tải lên các bản sao lưu của mình một cách an toàn.
Công cụ giải mã ransomware
Các chuyên gia bảo mật đã phát triển nhiều công cụ giải mã ransomware khác nhau. Chúng giúp phá vỡ quá trình giải mã các tệp của bạn bằng các thuật toán phức tạp đã được thử nghiệm trên các phiên bản phần mềm tống tiền khác nhau.
Tuy nhiên, trước khi sử dụng bất kỳ công cụ nào, hãy đảm bảo rằng bạn tin tưởng vào nguồn đó, vì phần mềm tống tiền cũng có thể được ngụy trang thành một công cụ giải mã. Nếu bạn không chắc chắn, hãy đến gặp một chuyên gia CNTT.
Khôi phục hệ thống Windows
Khôi phục Hệ thống, một tính năng trong Microsoft Windows, cho phép bạn đưa máy tính của mình trở lại thời điểm trước đó, được gọi là điểm khôi phục. Bạn có thể khôi phục các tệp hệ thống, ứng dụng đã cài đặt, Windows Registry và thậm chí cả cài đặt hệ thống.
Tính năng này có thể hữu ích khi xử lý phần mềm độc hại hoặc cài đặt phần mềm bị lỗi.
Dưới đây là các bước để sử dụng công cụ Khôi phục Hệ thống trên máy tính Windows:
- Đi tới menu Bắt đầu và nhập “Bảng điều khiển” vào hộp tìm kiếm.
- Sau khi điều hướng đến ứng dụng, hãy tìm kiếm và nhấp vào Sự hồi phục.
- Sau đó, chạm vào Mở khôi phục hệ thống cái nút.
- Bấm vào Kế tiếp để khởi chạy quá trình khôi phục.
- Chọn điểm khôi phục ưa thích của bạn và nhấp vào điểm khôi phục tương ứng Kế tiếp cái nút.
- Xác nhận điểm khôi phục bạn đã chọn và nhấp vào Hoàn thành cái nút.
- Đợi quá trình khôi phục hoàn tất và khởi động lại máy tính của bạn.
Cách ngăn chặn cuộc tấn công của Bad Rabbit Ransomware
Các cuộc tấn công của Bad Rabbit tràn lan như vậy, nhưng chúng có thể được ngăn chặn bằng cách tuân thủ nghiêm ngặt một số thực hành đơn giản.
Cập nhật hệ điều hành của bạn
Những kẻ tấn công khai thác lỗ hổng phần mềm để giành quyền truy cập vào hệ thống hoặc mạng. Bằng cách cập nhật hệ điều hành và phần mềm của bạn bằng các bản vá và cập nhật bảo mật mới nhất, bạn có thể loại bỏ các lỗ hổng này và giảm nguy cơ bị mã độc tống tiền tấn công.
Tránh nhấp vào các liên kết và tệp đính kèm không xác định
Ransomware thường được gửi qua các liên kết hoặc tệp đính kèm độc hại trong email hoặc các tin nhắn khác. Tránh tải xuống tệp đính kèm hoặc nhấp vào liên kết từ các nguồn không xác định, vì điều này làm giảm nguy cơ trở thành nạn nhân của một cuộc tấn công.
Sao lưu và Tường lửa
Phần mềm tống tiền Bad Rabbit mã hóa các tệp của bạn và giữ chúng làm con tin cho đến khi bạn trả tiền chuộc. Bằng cách thường xuyên sao lưu dữ liệu quan trọng của bạn và lưu trữ dữ liệu đó một cách an toàn (nghĩa là ngắt kết nối dữ liệu khỏi máy của bạn), bạn có thể khôi phục các tệp của mình nếu chúng bị mã hóa bởi phần mềm tống tiền.
Ngoài ra, tường lửa và hệ thống phát hiện xâm nhập có thể giúp ngăn chặn các bên trái phép truy cập vào mạng của bạn. Bằng cách bật các tính năng bảo mật này trên tất cả các thiết bị của mình, bạn có thể giảm nguy cơ bị mã độc tống tiền tấn công.
Mật khẩu và 2FA
Sử dụng mật khẩu mạnh và xác thực hai yếu tố khi có thể. Chúng có thể giúp ngăn chặn truy cập trái phép vào hệ thống của bạn và giảm nguy cơ bị mã độc tống tiền tấn công. Lưu ý rằng phần mềm độc hại có thể gây ra hoạt động mạng bất thường. Hãy chú ý đến điều này, và bạn sẽ có thể phản ứng nhanh chóng với một cuộc tấn công.
Bad Rabbit Ransomware: Phòng ngừa được ưu tiên
Phần mềm tống tiền Bad Rabbit có thể xâm nhập vào máy tính của bạn và mã hóa các tệp của bạn nếu bạn truy cập các trang web không đáng tin cậy.
Việc phòng ngừa nên được ưu tiên, nhưng việc chuẩn bị một kế hoạch ứng phó sự cố có thể giúp bạn ứng phó nhanh chóng và hiệu quả nếu một cuộc tấn công xảy ra. Kế hoạch ứng phó sự cố nên phác thảo các bước cần thực hiện trong một cuộc tấn công bằng mã độc tống tiền, bao gồm cách ngăn chặn cuộc tấn công và khôi phục dữ liệu nếu việc ngăn chặn không thành công.