Có thể phá huỷ mã độc tống tiền hay không?

Lần đầu tiên, thế giới chứng kiến một vụ tấn công ransomware vào năm 1989. Qua hơn ba thập kỷ tiếp theo, loại tội phạm mạng này ngày càng trở nên phức tạp hơn do sự phát triển mạnh mẽ của Internet, quá trình chuyển đổi số, và sự xuất hiện của tiền điện tử.

Báo cáo từ Statista cho biết, mỗi 11 giây lại có một tổ chức bị tấn công bởi ransomware, với tổng cộng hơn 493 triệu vụ tấn công trên toàn cầu trong năm 2022. Con số này không chỉ báo động về tính phổ biến của loại hình tấn công này mà còn chỉ ra sự nguy hiểm và thiệt hại mà nó có thể gây ra cho cá nhân và tổ chức.

Tuy nhiên, chỉ có 27% trong số những tổ chức bị tấn công quyết định chi trả tiền chuộc. Phần lớn lựa chọn tìm kiếm sự giúp đỡ từ các chuyên gia công nghệ thông tin để khôi phục dữ liệu bằng cách giải mã. Điều này đặt ra câu hỏi về khả năng giải mã toàn bộ các loại ransomware.

“Giải mã" về ransomware

Ransomware là loại phần mềm độc hại có khả năng mã hóa dữ liệu trên các thiết bị nhiễm. Người dùng thường được thông báo về vụ nhiễm virus qua một cửa sổ pop-up hoặc thông điệp trên màn hình máy tính, yêu cầu họ thực hiện việc thanh toán tiền chuộc để lấy lại khóa giải mã dữ liệu.

Dù đôi khi kẻ gian cung cấp khóa giải mã sau khi nhận được tiền, không ít trường hợp họ lại biến mất sau khi nhận tiền mà không giải quyết vấn đề. Dù ransomware có thể nhắm vào cá nhân, nhưng chủ yếu các nhóm hacker tập trung vào doanh nghiệp để đòi tiền chuộc cao hơn.

Bên cạnh đó, Các mã độc ransomware thường hoạt động theo một trong hai cơ chế sau đây:

Lừa đảo phi kỹ thuật: Kẻ xấu sẽ cài mã độc vào file hoặc link rồi gửi cho nạn nhân dưới dạng mail, tin nhắn, thông báo khiến họ sợ hãi và nhấn vào. Lúc này, mã độc sẽ tự động được cài vào thiết bị.

Do có người điều khiển: Kẻ xấu sẽ đánh cắp quyền truy cập vào hệ thống và mã hóa những dữ liệu, thông tin quan trọng. Sau đó, chúng sẽ yêu cầu nạn nhân phải trả tiền chuộc mới cung cấp key để giải mã.

Hiện nay, không chỉ các hacker hoạt động riêng lẻ mà còn có cả những tổ chức, nhóm tội phạm phối hợp với nhau để thực hiện các vụ tống tiền. Theo đó, một bên sẽ cung cấp mã độc, một bên khác sẽ tiến hành cài mã độc vào các hệ thống.

Cách “khắc chế" ransomware

“Khắc chế" ransomware đòi hỏi việc sử dụng công cụ giải mã đặc biệt, được thiết kế cho từng loại ransomware cụ thể, giúp khôi phục dữ liệu bị mã hóa. Mặc dù lý thuyết cho rằng mọi loại ransomware đều có thể giải mã, thực tế việc này phụ thuộc vào việc tìm ra công cụ phù hợp cho từng loại mã độc.

Quá trình giải mã không chỉ tốn thời gian mà còn đòi hỏi sức mạnh tính toán lớn, phụ thuộc vào phức tạp của thuật toán mã hóa. Ví dụ, một máy tính cá nhân có cấu hình trung bình sẽ mất hàng triệu năm để giải mã một khoá mã hóa RSA 2048 bit.

Công nghệ máy tính lượng tử có thể giúp rút ngắn thời gian giải mã, nhưng công nghệ này vẫn chưa sẵn sàng để được áp dụng rộng rãi. Google từng công bố vào năm 2019, thành tựu về chip máy tính lượng tử có thể thực hiện tính toán trong 200 giây cho công việc mà máy tính truyền thống cần 10.000 năm để hoàn thành.

Do đó, phòng tránh ransomware qua các biện pháp bảo mật toàn diện là cách tiếp cận khôn ngoan hơn so với việc tìm cách giải mã sau khi đã nhiễm mã độc, hoặc hy vọng vào sự thiện chí của hacker sau khi trả tiền chuộc.

Ngoài ra, khi hệ thống máy tính bị nhiễm mã độc tống tiền ransomware, các quản trị viên cần phải ngay lập tức thực hiện những việc sau: Cách ly dữ liệu bị mã độc tấn công để ngăn chặn mã độc lây lan sang các vùng dữ liệu khác; Sử dụng các phần mềm chống mã độc, virus, chương trình độc hại; Báo cáo cơ quan an ninh mạng để tiến hành theo dõi và truy quét các hacker; Không nên trả tiền chuộc để ngăn chặn hacker tiếp tục đòi thêm tiền.