Nhược điểm của 'gỡ lỗi' ransomware

Ransomware - tai họa bảo mật của thế giới kỹ thuật số hiện đại - ngày càng trở nên nguy hiểm hơn. Là giáo dục người dùng về những gì cần làm, nhưng thật khó để vượt qua mã hóa sát thủ được rải xung quanh các lớp theo dõi kỹ thuật số bị xáo trộn để che giấu hành vi của kẻ xấu và tệp của bạn. Trong khi đó, việc thu phí chôn vùi các doanh nghiệp và trói tay các nhà lập pháp cầu xin một giải pháp. Nhưng nếu chúng ta bẻ khóa mở ransomware, chẳng phải chúng ta chỉ giúp kẻ xấu làm cho nó tốt hơn vào lần sau sao?

Đầu tháng này tại một kỹ thuật số hội thảo ở trung tâm Cộng hòa Séc, các nhà phát triển bộ giải mã ransomware đã chia sẻ với những người tham dự cách họ bẻ khóa một số mã và lấy lại dữ liệu của người dùng. Thông qua phân tích cẩn thận, đôi khi họ sẽ tìm thấy lỗi trong quá trình triển khai hoặc hoạt động của kẻ xấu, điều này cho phép họ đảo ngược quá trình mã hóa và khôi phục các tệp bị xáo trộn.

Nhưng khi những kẻ tốt thông báo công cụ này cho công chúng, những kẻ lừa đảo nhanh chóng định cấu hình lại sản phẩm của họ bằng các chiến thuật 'hoàn toàn không thể đánh cắp được', ngăn cản các nhà nghiên cứu bẻ khóa mở loạt tệp tiếp theo. Về cơ bản, các nhà nghiên cứu đang gỡ lỗi những kẻ lừa đảo dành cho họ trong một chu kỳ phi đạo đức.

Vì vậy, chúng tôi không sửa chữa nó, chúng tôi đang theo đuổi nó, phản ứng lại nó, sơn lại những thiệt hại. Nhưng bất kỳ thành công nào cũng có thể chỉ là tạm thời, vì việc phục hồi sau phần lớn sự tàn phá vẫn là điều không thể đối với các doanh nghiệp nhỏ cảm thấy họ phải trả tiền để ở lại kinh doanh.

Các chính phủ - vì tất cả mục đích tốt của họ - cũng phản ứng. Họ có thể đề xuất, hỗ trợ quá trình ứng phó sự cố và có thể gửi hỗ trợ của họ, nhưng điều đó cũng mang tính phản ứng và mang lại ít sự thoải mái cho một doanh nghiệp mới ra đời.

Vì vậy, họ chuyển sang theo dõi tài chính. Nhưng những kẻ xấu thường giỏi che giấu - chúng có thể mua được tất cả các công cụ tốt bằng cách trả những khoản tiền lớn mà chúng vừa đánh cắp. Và, khá thẳng thắn, họ có thể biết nhiều hơn nhiều thành viên chính phủ. Nó giống như đuổi theo một chiếc xe đua F1 với một con ngựa chạy nhanh.

Dù bằng cách nào, các nhà nghiên cứu cần phải là những người thử nghiệm beta cho những kẻ xấu.

Bạn không thể chỉ phát hiện các công cụ của tội phạm mạng và chặn chúng, vì chúng có thể tận dụng các công cụ hệ thống tiêu chuẩn được sử dụng cho hoạt động hàng ngày của máy tính của bạn; chúng thậm chí có thể xuất xưởng như một phần của hệ điều hành. Các công cụ mã nguồn mở là chất keo giữ toàn bộ hệ thống lại với nhau, nhưng cũng có thể là chất keo kết dính quá trình mã hóa ransomware khóa hệ thống lại với nhau.

Vì vậy, sau đó bạn còn lại với việc xác định tội phạm hành động như thế nào. Có một chiếc búa trong tay trong cửa hàng thợ máy không tệ cho đến khi bạn vung vào cửa sổ để làm gãy nó. Tương tự, phát hiện một hành động đáng ngờ có thể phát hiện ra sự khởi đầu của một cuộc tấn công. Nhưng làm điều này với tốc độ của các biến thể tấn công mới là rất khó.

Ở châu Âu, có nỗ lực đáng kể về việc triệu tập các chính phủ từ các quốc gia khác nhau để chia sẻ thông tin về xu hướng ransomware, nhưng các nhóm dẫn đầu việc này không trực tiếp thực thi pháp luật; họ chỉ có thể hy vọng các cơ quan tài phán thực thi pháp luật hành động nhanh chóng. Nhưng điều đó không xảy ra với tốc độ của phần mềm độc hại.

Đám mây chắc chắn đã giúp ích, vì các giải pháp bảo mật có thể tận dụng nó để đẩy ra các tình huống tấn công trước từng phút mà máy tính của bạn sẽ kích hoạt để ngăn chặn một cuộc tấn công.

Và nó làm giảm tuổi thọ của các công cụ và kỹ thuật ransomware hiệu quả để chúng không kiếm được nhiều tiền. Những kẻ xấu phải trả tiền để phát triển ransomware tốt và họ muốn được hoàn vốn. Nếu trọng tải của họ chỉ hoạt động một hoặc hai lần, điều đó không có lợi. Nếu nó không trả, họ sẽ đi làm một cái gì đó khác và có thể các tổ chức có thể quay trở lại hoạt động kinh doanh.

Sao lưu ổ đĩa

Một mẹo chuyên nghiệp từ hội nghị: Sao lưu dữ liệu được mã hóa của bạn nếu bạn bị ransomware tấn công. Trong trường hợp trình giải mã cuối cùng được phát hành, bạn vẫn có cơ hội khôi phục các tệp bị mất trong tương lai. Không phải là nó giúp bạn ngay bây giờ.

Tất nhiên, thời điểm tốt nhất để sao lưu mọi thứ là khi bạn không bị tống tiền bởi ransomware, nhưng không bao giờ là quá muộn để bắt đầu. Mặc dù tính đến thời điểm này đã hơn một thập kỷ, hướng dẫn của WeLiveSecurity để Kiến thức cơ bản về sao lưu vẫn cung cấp thông tin thực tế cung cấp thông tin thực tế về cách tiếp cận vấn đề và phát triển một giải pháp phù hợp cho gia đình hoặc doanh nghiệp nhỏ của bạn.

ESET so với ransomware

Trong trường hợp bạn đang thắc mắc ESET đứng ở đâu trong việc tạo trình giải mã ransomware, chúng tôi thực hiện một cách tiếp cận hỗn hợp: chúng tôi muốn bảo vệ mọi người chống lại ransomware (chúng tôi thường phân loại là phần mềm độc hại Diskcoder hoặc Filecoder), cũng như cung cấp các cách để khôi phục dữ liệu. Đồng thời, chúng tôi không muốn cảnh báo các băng nhóm tội phạm đằng sau tai họa này rằng chúng tôi đã thực hiện công nghệ tương đương với việc mở cánh cửa bị khóa của chúng bằng một bộ khóa kỹ thuật số.

Trong một số trường hợp, một trình giải mã có thể được xuất bản và cung cấp cho công chúng thông qua bài viết ESET Knowledgebase Các công cụ loại bỏ phần mềm độc hại độc lập. Tại thời điểm xuất bản, chúng tôi có khoảng nửa tá công cụ giải mã hiện có sẵn ở đó. Các công cụ như vậy khác có sẵn trên trang web của sáng kiến ​​No More Ransom, mà ESET đã là đối tác liên kết từ năm 2018. Mặc dù vậy, trong các trường hợp khác, chúng tôi viết bộ giải mã nhưng không đăng công khai thông tin về chúng.

Tiêu chí về việc có thông báo rằng bộ giải mã đã được phát hành hay không sẽ khác nhau tùy theo từng phần mềm ransomware. Những quyết định này dựa trên sự đánh giá cẩn thận về nhiều yếu tố, chẳng hạn như mức độ phát triển của ransomware, mức độ nghiêm trọng của nó, tốc độ mà tác giả ransomware vá các lỗi mã hóa và sai sót trong phần mềm của họ, v.v.

Ngay cả khi các bên liên hệ với ESET để nhận hỗ trợ giải mã dữ liệu của họ, thông tin cụ thể về cách thực hiện quá trình giải mã sẽ không được chia sẻ công khai để cho phép quá trình giải mã hoạt động lâu nhất có thể. Chúng tôi cảm thấy rằng điều này mang lại sự cân bằng tốt nhất giữa việc bảo vệ khách hàng khỏi phần mềm tống tiền trong khi vẫn có thể hỗ trợ giải mã các tệp bị ransomware trong khoảng thời gian dài nhất có thể. Một khi bọn tội phạm biết có lỗ hổng trong mã hóa của chúng, chúng có thể sửa chúng và có thể phải mất một thời gian dài nữa mới có thể tìm thấy các lỗ hổng khác cho phép khôi phục dữ liệu mà không bị tống tiền.

Đối phó với ransomware, cả người điều hành nó và bản thân mã ransomware, là một quá trình phức tạp và nó thường là một ván cờ có thể mất vài tuần, vài tháng hoặc thậm chí nhiều năm để diễn ra khi người tốt chiến đấu với kẻ xấu. Nhiệm vụ của ESET là cố gắng làm việc tốt nhất có thể, nghĩa là giúp được càng nhiều người càng tốt trong thời gian dài nhất có thể. Điều đó cũng có nghĩa là nếu bạn gặp phải hệ thống bị ảnh hưởng bởi ransomware, đừng từ bỏ hy vọng, vẫn có cơ hội bên ngoài là ESET có thể hỗ trợ bạn lấy lại dữ liệu của mình.

Ransomware có thể là một vấn đề sẽ không sớm biến mất, nhưng ESET luôn sẵn sàng bảo vệ bạn chống lại nó. Tuy nhiên, ngăn chặn nó ngay từ đầu vẫn tốt hơn nhiều so với việc chữa khỏi nó.