Ransomware.
Đó là một từ gây ra nỗi sợ hãi trong tâm trí của nhiều người dùng máy tính, đặc biệt là với các tiêu đề gần như hàng ngày về các công ty bị ảnh hưởng. Nó khiến chúng tôi tự hỏi tại sao điều này vẫn tiếp tục xảy ra với người dùng và các doanh nghiệp lớn nhỏ.
Nhưng có rất nhiều điều bạn có thể làm để bảo vệ bản thân hoặc doanh nghiệp của mình.
Hãy cảnh giác với những gì bạn nhấp vào
Hầu hết thời gian, ransomware ảnh hưởng đến một cá nhân xảy ra sau khi ai đó nhấp vào thứ mà họ không nên – có thể là email liên quan đến lừa đảo hoặc trang web cài đặt các tệp độc hại. Trong môi trường kinh doanh, các cuộc tấn công thường đến từ kẻ tấn công theo sau giao thức truy cập từ xa mở, sử dụng vũ lực hoặc thông tin xác thực đã thu thập được. Khi vào trong mạng, chúng có thể vô hiệu hóa các bản sao lưu và nằm chờ cho đến thời điểm tốt nhất để tấn công.
Ransomware không phải là mới. Lịch sử của nó bắt đầu từ năm 1989. Hồi đó, vật dụ là một đĩa mềm có cài virus, đến ngày thứ ba nó đã đòi tiền để lấy lại thông tin máy tính. Gần đây hơn, nó đã được sử dụng để chống lại Colonial Pipeline, một công ty cung cấp đường ống dẫn khí đốt ở Bờ Đông. Cuộc tấn công đó đã dẫn đến việc đổ xăng, đóng cửa các trạm xăng, tài xế giận dữ và dư luận xấu (và khoản thanh toán được báo cáo lên tới hàng triệu đô la) cho công ty đường ống. Đó là một ví dụ thực tế về những gì ransomware có thể gây ra cho các doanh nghiệp.
Sao lưu, sao lưu, sao lưu
Tôi đồng kiểm duyệt một nhóm Facebook về chủ đề bảo mật và ransomware. Thông thường, khi người dùng đến với chúng tôi để hỏi cách khôi phục sau cuộc tấn công bằng ransomware, khuyến nghị duy nhất của chúng tôi là hỏi xem họ có bản sao lưu tốt hay không. Theo đó, ý tôi là một ổ đĩa được chạy thường xuyên và được lưu trữ trên ổ cứng gắn ngoài được “air gapped” từ máy tính của bạn. Nếu bạn có thể truy cập vào ổ đĩa mà bản sao lưu của bạn được lưu trữ, thì kẻ tấn công cũng vậy. Vì vậy, hãy đảm bảo rằng bạn xoay phương tiện sao lưu và luôn có một bản sao ngoại tuyến và không được kết nối với hệ thống của bạn.
Cũng tốt để điều tra xem phần mềm sao lưu của bạn có tính năng chống ransomware để đảm bảo rằng ổ đĩa không thể bị truy cập bởi bất kỳ ai khác ngoài các quá trình sao lưu hay không.
Không có bản sửa lỗi kỳ diệu nào để hoàn tác ransomware, mặc dù nomoreransom.org theo dõi các cuộc tấn công đã biết; nếu những kẻ tấn công tiết lộ khóa mã hóa cho công chúng hoặc một số cơ quan có thẩm quyền đã chiếm quyền điều khiển máy chủ – và do đó có được quyền truy cập vào các công cụ mã hóa – công cụ giải mã sẽ được lưu trữ trên trang web đó.
Lừa kẻ tấn công
Nếu bạn thích phiêu lưu hơn một chút, bạn có thể xem xét thêm một công cụ như Raccine, công cụ này sẽ ngăn ransomware xóa tất cả các bản sao bóng bằng vssadmin. Nó chạy trên Windows 7 trở lên và chặn yêu cầu và giết quá trình gọi. Việc âm thầm xóa các bản sao lưu và dừng quá trình sao lưu thường là dấu hiệu đầu tiên cho thấy kẻ tấn công đang theo dõi hệ thống của bạn.
Luôn đảm bảo rằng bạn theo dõi sự thành công hay thất bại của quá trình sao lưu. Cá nhân tôi đã thiết lập cảnh báo với phần mềm sao lưu của mình để tôi được thông báo về cả thành công và thất bại liên quan đến cơ sở hạ tầng quan trọng của tôi. Theo dõi quá trình hoàn thành các bản sao lưu là một cách quan trọng để theo dõi tình trạng hệ thống của bạn.
Một thủ thuật khác mà bạn có thể sử dụng để cố gắng chống lại những kẻ tấn công là cài đặt Bàn phím tiếng Nga trên hệ thống của bạn. Mặc dù phần mềm ransomware Darkside không kiểm tra cụ thể ví dụ của nó, nhưng phần mềm độc hại có nguồn gốc từ Nga thường sẽ kiểm tra xem nó đang được cài đặt ở đâu và tránh các hệ thống dựa trên Nga. (Bạn không cần phải sử dụng bàn phím và bạn sẽ kết thúc bằng “EN” trên khay hệ thống của mình. Nhưng nó có thể chỉ lừa những kẻ tấn công đi ngang qua bạn.)
Một công cụ bảo mật khác khiến những kẻ tấn công sợ hãi trong một cuộc tấn công gần đây là Sysmon. Đây là một công cụ miễn phí của Microsoft giúp tăng cường các bản ghi sự kiện bảo mật trên các máy Windows. Khi những kẻ tấn công sử dụng lỗ hổng Solarwinds xem xét những công ty chúng muốn tấn công, nếu Sysmon, Procmon, Procexp hoặc Autoruns được cài đặt trên hệ thống, những kẻ tấn công sẽ không theo đuổi công ty bởi vì họ không muốn bị phát hiện. Đặc biệt đối với các doanh nghiệp nhỏ, tôi khuyên bạn nên sử dụng Sysmon để nâng cao các tệp nhật ký trên hệ thống của bạn.
Bạn có thể làm gì
Điểm mấu chốt, đừng khiến kẻ tấn công dễ dàng biến bạn thành một số liệu thống kê ransomware khác. Đây là những gì bạn có thể làm để giảm nguy cơ bị tấn công ”
- Đảm bảo bạn thực hiện sao lưu tốt thường xuyên và có nhiều ổ cứng bên ngoài mà bạn xoay để đảm bảo ít nhất một bản sao tệp của bạn luôn ngoại tuyến.
- Luôn cập nhật các trình duyệt của bạn và đảm bảo rằng chúng cập nhật độc lập với hệ điều hành.
- Đảm bảo email của bạn có khả năng lọc tốt, từ ISP của bạn (nếu nó cung cấp email của bạn) hoặc bằng cách sử dụng Gmail hoặc Outlook.com.
- Cân nhắc thêm Xác thực Duo làm xác thực hai yếu tố để truy cập từ xa nếu bạn sử dụng giao thức máy tính từ xa trong một doanh nghiệp nhỏ. Và không cho phép chỉ đơn thuần là mật khẩu giữa bạn và thế giới bên ngoài khi truy cập từ xa.
Những điều này có thể không đảm bảo bạn hoàn toàn an toàn trước ransomware, nhưng ít nhất chúng sẽ khiến bạn ít bị tấn công hơn.
Bản quyền © 2021 IDG Communications, Inc.