Tôi nên làm gì nếu máy tính của tôi bị nhiễm ransomware? 2023

Tôi nên làm gì nếu máy tính của tôi bị nhiễm ransomware?

Thời gian gần đây, khi lên Facebook tìm hiểu nhiều group về an ninh mạng thì thấy có nhiều bạn đăng tin cầu cứu ban quản trị vì các tài liệu quan trọng trên máy tính đã bị mã hóa.

Phần mở rộng tệp đã được thay đổi thành .rontok, .brrr, .fair, .mado, …, tương ứng với các loại phần mềm độc hại B0r0nt0k, Dharma Brrr, FAIR, MADO, …

Vậy làm cách nào để khôi phục dữ liệu bị virus mã hóa và làm thế nào để bạn có thể chủ động hơn trong trường hợp bị tấn công trong tương lai? Mời các bạn cùng chúng tôi nghiên cứu qua bài viết này nhé!

NHẬN XÉT:

Có thể bạn đã biết Ransomwar là gì. Một loại phần mềm gián điệp cực kỳ tinh vi, ransomware, đã xuất hiện từ năm 2015 và không ngừng phát triển trong những năm qua.

Áp dụng cho cả máy tính cá nhân và máy chủ công ty!

#Ngày thứ nhất. Cô lập các hệ thống quan trọng

doc-lam-gi-khi-may-tinh-binhiem-ma-doc-ransomware (2)

Đây là điều tốt nhất mà người gác cổng có thể làm, đó là tắt nguồn ngay lập tức máy chủ / cụm máy chủ ngay khi nhận ra dấu hiệu bị tấn công.

Đây là bản chất của mã hóa tệp: bạn giữ kích hoạt nó càng lâu, thì càng nhiều tệp được mã hóa.

Vì vậy, khi bạn tắt nguồn ngay lập tức và đúng giờ, nếu các tập tin quan trọng không được mã hóa, vấn đề lớn nhất được đảm bảo.

Sau đó là vấn đề cách ly mạng: các máy chủ thường có thể kết nối với nhau trực tiếp hoặc thông qua các vùng. Một đặc điểm của ransomware là nó luôn tìm cách phát tán trên mạng cục bộ và phá hủy các tập tin công khai trên mạng cục bộ đó.

Chỉ cần tưởng tượng vụ khóa Covid trong đời thực: tránh lây nhiễm chéo, tránh ảnh hưởng đến cả cộng đồng!

# 2: Đảm bảo hệ thống sao lưu của bạn vẫn hoạt động

Người nước ngoài có các tiêu chuẩn nghiêm ngặt (mà công ty không có, họ sẽ bị phạt ngay lập tức và vĩnh viễn) quản lý quá trình duy trì hoạt động kinh doanh, cũng như khôi phục hệ thống trong trường hợp có sự cố (một thành phần của kế hoạch phục hồi liên tục / thảm họa của doanh nghiệp).

Nói một cách đơn giản, khi một máy chủ bị tấn công bởi ransomware, cần phải có một máy khác thay thế nó (cả về mặt vật lý và chức năng) để đảm bảo hoạt động kinh doanh vẫn có thể tiếp tục.

Máy chủ thường có nhiều chức năng hơn, vì vậy bạn luôn cần ít nhất 2 máy chịu trách nhiệm cân bằng tải hoạt động để trong trường hợp có sự cố, một trong số chúng tiếp tục hoạt động (máy chủ web, thư / tệp). máy chủ, máy chủ in, v.v.).

# 3: Báo cáo Sự cố cho các Bên liên quan

doc-lam-gi-khi-may-tinh-binhiem-ma-doc-ransomware (1)

Một số công ty thường chọn cách “che giấu” sự thật này để không làm mất uy tín của công ty, nhưng đây là cách nghĩ rất hời hợt.

Vì khi sự việc được công khai, khách hàng có thể thu thập thông tin, cập nhật thông tin bảo mật kịp thời (đặc biệt trong trường hợp để lộ mật khẩu của khách hàng, khả năng cao kẻ gian sẽ móc nối và thực hiện chuyển khoản), và tại đồng thời tránh hoang mang trước những tờ báo lá cải. làm tổn hại đến uy tín của công ty.

Ngoài ra, bạn sẽ được cơ quan chức năng hoặc công ty bảo vệ tích cực tìm kiếm: họ sẽ giúp điều tra hung thủ, hỗ trợ khắc phục hậu quả, …

Ở nước ngoài, theo GDPR, các công ty có 72 giờ để báo cáo các vụ hack liên quan đến dữ liệu người dùng.

# 4: Khôi phục bản sao lưu

Thay vì chờ đợi các quy trình phức tạp để giải mã dữ liệu đã mã hóa, bạn có thể tìm thấy nó trực tiếp trong các bản sao lưu hệ thống (mà tôi chắc chắn rằng tất cả các công ty đều có).

Một ví dụ đơn giản: bạn có một tập tin PowerPoint báo cáo thu nhập vô tình bị xóa, nhưng may mắn là nó được lưu trên đám mây nên có thể dễ dàng khôi phục lại ngay, thay vì phải tải phần mềm khôi phục dữ liệu lớn trên ổ cứng.

Bước thứ 4 này có liên quan chặt chẽ với bước 1 ở trên vì ổ cứng + tốc độ mạng thường là hai thành phần chậm nhất trong hệ thống, do đó việc khôi phục từ bản sao lưu thường tốn thời gian (đặc biệt nếu bạn không có quyền truy cập vào nó). truy cập). biết phục hồi cái gì => dẫn đến khôi phục hoàn toàn).

Do đó, ở giai đoạn đầu, với việc cô lập / tắt sớm máy chủ bị nhiễm, việc phát hiện / khôi phục các mất mát dữ liệu tiềm ẩn sẽ mất ít thời gian hơn.

# 5. Tìm các lỗ bảo mật, sửa chữa và theo dõi

Xin chia buồn với những bạn không có bản sao lưu hoặc có hệ thống sao lưu tự động nhưng quá trình sao lưu vẫn không bắt đầu khi bị tấn công.

Lúc này, bạn phải chấp nhận việc mất dữ liệu hoặc mở tập tin README do hacker để lại và giao nộp tiền chuộc.

Đáng chú ý: Các công cụ khôi phục thường không khôi phục được mọi thứ, hoặc tệ hơn là tệp khôi phục không thể đọc được, quá lộn xộn!

doc-lam-gi-khi-may-tinh-binhiem-ma-doc-ransomware (3)

Sau khi khôi phục dữ liệu (đắt nhất), bạn vẫn không thể rung đùi ăn uống cho vui. Bởi vì, rất có thể, ransomware vẫn tiếp tục lây lan bên trong mạng nội bộ, vẫn âm thầm mã hóa dữ liệu mà bạn không hề hay biết.

Do đó, việc phòng ngừa hay điều trị là rất quan trọng, bạn cần tìm ra nguyên nhân của sự cố, tại sao virus có thể xâm nhập vào hệ thống, do sơ suất của người dùng hay do lỗi của hacker sử dụng lỗ hổng bảo mật.

Từ đó cài đặt các bản vá lỗi phần mềm, giáo dục nhân viên bảo mật và chủ động hơn với việc vá lỗi.

Phần thưởng bổ sung cho bạn:
Nguyên nhân phổ biến nhất thường là do nhân viên để lộ thông tin đăng nhập hoặc đơn giản là mật khẩu quá dễ đoán và dễ bẻ khóa để hacker bẻ khóa và triển khai ransomware / virus.

Về vấn đề này, đặc biệt là trong môi trường Windows sử dụng Active Directory, chúng tôi xin giới thiệu giải pháp phần mềm Specops Password Policy: Giúp ngăn nhân viên đặt mật khẩu yếu, không cho phép đặt mật khẩu đã trình bày, v.v.

Một số lưu ý cho bạn khi sử dụng máy tính cá nhân

Đối với máy tính cá nhân, nên hạn chế những điều sau để tránh bị tấn công bởi ransomware:

  1. Không truy cập các trang web nguy hiểm, trang web đáng ngờ. Xem chi tiết!
  2. Không mở hoặc tải xuống tệp đính kèm vào email hoặc từ bất kỳ nơi nào khác từ những người bạn không biết hoặc không biết.
  3. Không click vào các liên kết mồi chài trên Facebook, Zalo, Instagram, TikTok … và các mạng xã hội khác.
  4. Cập nhật hệ điều hành Windows, cập nhật phần mềm máy tính, cập nhật trình duyệt web thường xuyên khi có phiên bản mới.
  5. Cần sử dụng phần mềm diệt virus nếu bạn đang sử dụng Windows 10, Windows 11. Không nên tắt tính năng bảo mật của Windows.
  6. Sao lưu các dữ liệu quan trọng thường xuyên, nên sử dụng dịch vụ lưu trữ đám mây để sao lưu các dữ liệu quan trọng.
  7. Khởi động lại máy tính của bạn ít nhất một lần một tuần. Mục đích là giữ cho các ứng dụng và hệ điều hành luôn cập nhật và có thể sử dụng được.

Số 6. Kết thúc

Như vậy, bạn đã biết phải làm gì khi máy tính của mình bị ransomware tấn công rồi phải không?

Vì vậy, chúng ta nên chuẩn bị tốt 5 bước sau để ngăn chặn và khôi phục dữ liệu trong trường hợp bị tấn công bằng ransomware:

  1. Cô lập các hệ thống quan trọng
  2. Đảm bảo rằng hệ thống sao lưu vẫn đang chạy.
  3. Báo cáo sự việc cho các bên thích hợp.
  4. Khôi phục bản sao lưu.
  5. Tìm lỗ hổng bảo mật, sửa chữa và theo dõi.

Theo công ty bảo mật và an ninh mạng nổi tiếng Group-IB, chỉ tính riêng trong năm 2020, tỷ lệ các cuộc tấn công ransomware đã tăng gấp đôi và tiếp tục tăng.

Một số hoạt động khác dành cho bạn:

  • Maze và hậu duệ của nó là Egregor đứng sau 35% các cuộc tấn công bằng ransomware.
  • Phần mềm độc hại không còn yêu cầu hàng nghìn đô la, nhưng ước tính cao nhất mà chúng yêu cầu là hàng triệu đô la. Nhưng tất nhiên mục tiêu của hacker không hề nhỏ
  • Ngoại trừ các cá nhân, các cuộc tấn công ransomware xảy ra cứ sau 11 giây và nhắm mục tiêu vào các doanh nghiệp lớn và nhỏ. (Theo Cybersecurity Ventures)
  • Mã độc hại không chừa một ai, từ “cô gái máy tính xách tay màu hồng” đến sinh viên đại học nghèo đang tìm kiếm crack, đến các công ty lớn như Garmin, Canon, Campari, Capcom, Foxconn, v.v., tất cả mọi người đều đã có một năm 2020 tuyệt vời. Dì.
  • Ransomware là vũ khí chính của các quốc gia có tham vọng chiến tranh mạng, vì nó vừa có thể tiêu diệt kẻ thù, vừa có thể kiếm tiền xây nhà!

Đọc thêm:

  • Bảo vệ ransomware với Kaspersky Anti-ransomware Tool
  • Tìm hiểu thêm về ransomware: 6 ransomware trên máy tính
  • Cập nhật cách ngăn chặn WannaCry Ransomware
  • [Tips] Cách ngăn chặn NotPetya ransomware lây nhiễm vào máy tính của bạn

CTV: Dương Minh Thắng – Blogchiasekinthuc.com
Biến đổi Kiên Nguyễn

Trả lời

Email của bạn sẽ không được hiển thị công khai.