Cách thức khôi phục dữ liệu bị mã hoá bởi Ransomware
Trong kỷ nguyên số hiện nay, ransomware đã trở thành một trong những mối đe dọa nghiêm trọng đối với người dùng và tổ chức. Chỉ với một cú nhấp chuột vào tệp đính kèm độc hại hoặc liên kết giả mạo, toàn bộ dữ liệu cá nhân hoặc hệ thống mạng của doanh nghiệp có thể bị mã hóa, đi kèm yêu cầu tiền chuộc để giải mã. Tình huống này đặt ra câu hỏi cấp thiết: khi dữ liệu đã bị mã hóa, liệu có thể khôi phục được không? Nên bắt đầu từ đâu?
Câu hỏi trên đã đặt ra bài toán phức tạp cho công tác ứng phó sự cố an toàn thông tin. Người dùng cá nhân thường thiếu kỹ năng chuyên sâu và nguồn lực để phân tích, trong khi các tổ chức, doanh nghiệp lại có thể triển khai đồng bộ với sự tham gia của các phòng/ban hoặc phối hợp với các công ty bảo mật, cơ quan chức năng trong việc phân tích, dịch ngược, phục hồi hệ thống. Bài viết này tập trung hướng dẫn quy trình khôi phục dữ liệu bị mã hóa bởi ransomware dưới hai góc độ: Cách xử lý cơ bản dành cho người dùng không chuyên và Cách tiếp cận nâng cao dành cho tổ chức có đội ngũ kỹ thuật. Qua đó, cung cấp tới độc giả một góc nhìn cụ thể, các bước nên thực hiện nếu bị ransomware tấn công, từ các công cụ có sẵn cho đến những biện pháp khuyến nghị nhằm giảm thiểu thiệt hại và tăng khả năng phục hồi.
Hướng dẫn khôi phục dữ liệu cho người dùng phổ thông
Trong hầu hết các trường hợp, tấn công ransomware thường mã hóa dữ liệu và yêu cầu nạn nhân thanh toán tiền chuộc (thường bằng tiền điện tử) để nhận lại khóa giải mã. Tuy nhiên, theo khuyến cáo của Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (Cybersecurity and Infrastructure Security Agency - CISA), hành động trả tiền chuộc không đảm bảo dữ liệu sẽ được phục hồi và còn tạo điều kiện cho các nhóm tấn công tiếp tục hoạt động [1]. Do đó, việc xây dựng và phổ biến một quy trình xử lý sự cố cơ bản dành cho người dùng không chuyên là cần thiết để giảm thiểu thiệt hại và tăng cơ hội phục hồi dữ liệu bị mã hóa.
Dựa trên các tài liệu chính thức do CISA [1], Cơ quan Cảnh sát Liên minh châu Âu (Europol) thông qua dự án No More Ransom [2] và Khung khuyến nghị kỹ thuật của Viện Tiêu chuẩn và Công nghệ Hoa Kỳ (NIST) [3], người dùng có thể áp dụng quy trình gồm các bước cơ bản dưới đây để xử lý kịp thời khi bị tấn công ransomware. Các bước này không yêu cầu kiến thức chuyên sâu và có thể thực hiện trên môi trường cá nhân.
Bước 1: Nhận diện sớm hành vi tấn công
Một số dấu hiệu phổ biến cho thấy máy tính đã bị ransomware tấn công bao gồm:
- Các tệp dữ liệu bị thay đổi phần mở rộng (ví dụ: .locked, .crypted, .djvu) hoặc không thể mở bằng phần mềm thông thường.
- Xuất hiện các tệp thông báo đòi tiền chuộc như README[.]txt, DECRYPT_FILES[.]html, hoặc thông báo chiếm quyền điều khiển màn hình.
- Máy tính chạy chậm bất thường, xuất hiện tiến trình lạ hoặc có kết nối mạng không rõ nguồn.
CISA khuyến cáo rằng việc nhận diện sớm các biểu hiện bất thường có thể giúp giảm khả năng mã độc tiếp tục lây lan hoặc xóa dữ liệu sao lưu .
Bước 2: Cách ly thiết bị và sao lưu dữ liệu bị ảnh hưởng
Ngay khi phát hiện dấu hiệu bất thường, người dùng nên ngắt kết nối mạng Internet để tránh việc mã độc lây nhiễm trong mạng nội bộ hoặc kết nối với máy chủ điều khiển và ra lệnh từ xa (C2). Đồng thời, nếu hệ thống vẫn còn hoạt động ổn định, cần tiến hành sao lưu toàn bộ dữ liệu hiện có, bao gồm cả tệp đã bị mã hóa và tệp hệ thống sang thiết bị lưu trữ ngoài (USB, ổ cứng rời) để phục vụ cho quá trình phân tích và khôi phục sau này.
CISA và NIST đều nhấn mạnh việc cô lập và bảo toàn dữ liệu ban đầu là bước quan trọng để phục vụ công tác giám định và điều tra nguyên nhân tấn công [1] [3] .
Bước 3: Kiểm tra khả năng giải mã bằng công cụ công khai
Người dùng phổ thông có thể tận dụng các nền tảng hỗ trợ giải mã miễn phí do cộng đồng bảo mật phát triển. Nổi bật nhất là No More Ransom do Europol phối hợp cùng các hãng bảo mật triển khai. Trang web này cung cấp công cụ "Crypto Sheriff" cho phép người dùng tải lên một tệp bị mã hóa và tệp yêu cầu chuộc tiền, từ đó xác định loại ransomware và đề xuất công cụ giải mã phù hợp nếu có [2] .
Tương tự, nền tảng Emsisoft Decryption Tools duy trì danh sách hơn 100 công cụ giải mã cho các dòng ransomware phổ biến như STOP/DJVU, Mr.Dec, hoặc Makop [4] . Mỗi công cụ đi kèm hướng dẫn chi tiết về điều kiện sử dụng, ví dụ: cần có bản gốc và bản mã hóa của cùng một tệp, hoặc tệp chưa bị ghi đè sau khi mã hóa.
Việc sử dụng công cụ giải mã có thể giúp người dùng phục hồi dữ liệu mà không cần can thiệp chuyên sâu, tuy nhiên tỷ lệ thành công phụ thuộc vào loại ransomware và mức độ hoàn thiện của công cụ.
Bước 4: Khôi phục dữ liệu từ bản sao hệ thống
Trong trường hợp ransomware không thực hiện việc xóa shadow copy, một tính năng sao lưu mặc định của hệ điều hành Windows, người dùng có thể tận dụng công cụ như Shadow Explorer để truy xuất các phiên bản cũ của tệp tin. Shadow Explorer cho phép người dùng duyệt qua các bản sao hệ thống trước thời điểm bị tấn công và khôi phục dữ liệu về trạng thái trước đó một cách trực quan [5] .
Mặc dù kỹ thuật này không phải lúc nào cũng khả thi (đặc biệt với các dòng ransomware có chức năng xóa shadow copy), đây vẫn là một lựa chọn có giá trị đối với người dùng không chuyên.
Bước 5: Liên hệ với các chuyên gia bảo mật
Trong các tình huống sau, người dùng nên cân nhắc tìm đến sự hỗ trợ từ chuyên gia bảo mật hoặc trung tâm phục hồi dữ liệu chuyên nghiệp:
- Dữ liệu bị mã hóa có giá trị đặc biệt (về pháp lý, học tập, tài chính,...).
- Không có công cụ giải mã phù hợp với loại ransomware bị nhiễm.
- Thiết bị có dấu hiệu bị kiểm soát từ xa hoặc mã độc tiếp tục hoạt động.
Các tổ chức như Trung tâm ứng cứu sự cố (CERT), Nhóm ứng phó sự cố an ninh máy tính (CSIRT) hoặc các đơn vị an ninh nội bộ cũng có thể được liên hệ nếu người dùng làm việc trong môi trường doanh nghiệp hoặc tổ chức công.
Hướng dẫn khôi phục dữ liệu cho tổ chức/cơ quan
So với người dùng phổ thông, các tổ chức khi bị tấn công bởi ransomware đối mặt với rủi ro ở quy mô lớn hơn: Không chỉ là mất mát dữ liệu mà còn ảnh hưởng đến vận hành hệ thống, chuỗi cung ứng, danh tiếng thương hiệu và trách nhiệm pháp lý. Chính vì vậy, việc khôi phục dữ liệu trong môi trường tổ chức đòi hỏi phải tuân thủ quy trình nghiêm ngặt, có sự phối hợp giữa các bộ phận kỹ thuật, quản trị rủi ro và pháp chế. Các nội dung trình bày dưới đây được tổng hợp từ khuyến nghị kỹ thuật của CISA [1], NIST [3], Trung tâm An ninh mạng quốc gia Vương quốc Anh (NCSC UK) [4] và các nền tảng hỗ trợ giải mã như No More Ransom [2].
Bước 1: Kích hoạt quy trình phản ứng sự cố
Một trong những khuyến nghị quan trọng từ các tổ chức an ninh mạng quốc tế là doanh nghiệp cần kích hoạt ngay quy trình ứng phó sự cố (Incident Response Plan) khi phát hiện hệ thống bị tấn công [1], [4]. Quy trình này bao gồm: (1) Cô lập các thiết bị bị ảnh hưởng khỏi mạng nội bộ và Internet; (2) Phân loại mức độ ảnh hưởng, ưu tiên xử lý các hệ thống vận hành trọng yếu; (3) Huy động nhóm kỹ thuật, bảo mật, truyền thông và pháp lý để phối hợp phản ứng.
Lưu ý, các tổ chức cần phải xây dựng quy trình ứng phó sự cố để khắc phục và xử lý trong các trường hợp bị tấn công mạng, trong đó có việc bị lây nhiễm ransomware. Nếu chưa có kế hoạch ứng phó từ trước, tổ chức có thể tham khảo các mẫu IRP công khai được cung cấp bởi CISA hoặc NCSC [1], [4] .
Bước 2: Thu thập mẫu mã độc và nhận diện biến thể ransomware
Việc xác định loại ransomware là bước nền tảng trong quy trình xử lý. Các công cụ như ID Ransomware hoặc Crypto Sheriff (nền tảng No More Ransom) cho phép phân tích tệp bị mã hóa hoặc ransom note để nhận diện biến thể và gợi ý công cụ giải mã tương ứng (nếu có) [2].
Tuy nhiên, theo thống kê của công ty bảo mật Emsisoft (New Zealand), chỉ khoảng 20 -30% biến thể ransomware phổ biến hiện nay có công cụ giải mã công khai [5]. Nếu không xác định được biến thể, việc phân tích tiếp theo sẽ đòi hỏi can thiệp kỹ thuật sâu hơn.
Bước 3: Khôi phục dữ liệu từ bản sao ngoại tuyến
NIST SP 1800-26 khuyến nghị các tổ chức cần duy trì hệ thống sao lưu độc lập, ngoại tuyến (offline backup) như một phương pháp khôi phục chính và ưu tiên [3]. Việc phục hồi từ bản sao lưu cần đảm bảo: Quá trình sao lưu không bị mã độc xâm nhập; Được kiểm tra tính toàn vẹn trước khi phục hồi vào môi trường sản xuất; Thực hiện trên môi trường thử nghiệm trước khi vận hành chính thức.
Đối với hệ thống ảo hóa (VMware, Hyper-V,…), có thể sử dụng tính năng snapshot để khôi phục nhanh theo thời gian điểm.
Bước 4: Phân tích mã độc và kỹ thuật ngược
Khi không có bản sao lưu và không tồn tại công cụ giải mã công khai, tổ chức có thể cân nhắc sử dụng các kỹ thuật phân tích ngược (reverse engineering) để tìm khóa giải mã hoặc hiểu cơ chế mã hóa. Có ba cách để phân tích ransomware:
- Phân tích tĩnh sử dụng các công cụ như Ghidra, IDA Pro, PEStudio,… để kiểm tra mã nhị phân.
- Phân tích động thực hiện thực thi mẫu ransomware trong sandbox (Cuckoo, AnyRun,…) để theo dõi hành vi.
- Phân tích bộ nhớ sử dụng Volatility hoặc FTK Imager để truy xuất khóa còn lưu tại RAM trong quá trình thực thi. Phương pháp này đòi hỏi kỹ năng chuyên sâu và không đảm bảo thành công, nhưng vẫn là lựa chọn cuối cùng trong các trường hợp đặc biệt [3], [5].
Bước 5: Báo cáo và phối hợp với cơ quan chức năng
CISA và NCSC đều nhấn mạnh rằng các tổ chức nên chủ động báo cáo sự cố ransomware cho các cơ quan có thẩm quyền, như CERT quốc gia hoặc các đơn vị điều tra tội phạm mạng [1], [4] . Việc chậm trễ trong báo cáo có thể vi phạm các quy định về bảo vệ dữ liệu cá nhân (GDPR, HIPAA....).
Ngoài ra, việc phối hợp với chuyên gia phục hồi hoặc các đơn vị điều tra số cũng giúp tăng khả năng khôi phục và giảm rủi ro tái nhiễm.
Khuyến nghị và biện pháp phòng ngừa
Mặc dù nhiều công cụ và phương pháp đã được phát triển để hỗ trợ khôi phục dữ liệu bị mã hóa bởi ransomware, tuy nhiên thực tế triển khai cho thấy việc khôi phục hoàn toàn là điều khó khăn và không có gì đảm bảo tuyệt đối, đặc biệt đối với các chủng ransomware hiện đại có khả năng xóa khóa sau khi mã hóa hoặc sử dụng thuật toán mã hóa bất đối xứng phức tạp. Dựa trên tổng hợp kinh nghiệm từ cộng đồng an ninh mạng quốc tế và các nghiên cứu gần đây, phần này đưa ra một số khuyến nghị kỹ thuật quan trọng nhằm giảm thiểu rủi ro và tăng khả năng phục hồi sau sự cố.
Nhận thức đúng về giới hạn kỹ thuật của khôi phục dữ liệu
Khả năng khôi phục dữ liệu bị mã hóa bởi ransomware phụ thuộc vào nhiều yếu tố:
- Loại ransomware: Một số biến thể cũ hoặc viết sai thuật toán mã hóa có thể được giải mã, trong khi hầu hết các biến thể mới sử dụng thuật toán mạnh như RSA-2048, AES-256 gần như không thể phá vỡ trong thời gian hợp lý nếu không có khóa.
- Tình trạng của hệ thống sau tấn công: nếu shadow copy bị xóa, khóa giải mã bị ghi đè hoặc bộ nhớ đã bị làm sạch, cơ hội khôi phục hầu như không còn.
- Thời điểm phản ứng: càng phản ứng sớm, khả năng phục hồi dữ liệu hoặc lấy mẫu phục vụ điều tra càng cao[1], [3] .
Do đó, việc kỳ vọng vào một phương pháp "giải cứu hoàn toàn" trong mọi tình huống là không thực tế. Ngay cả khi có sẵn công cụ giải mã, tỷ lệ thành công cũng có thể phụ thuộc vào định dạng tệp, phiên bản ransomware hoặc mức độ tổn hại của dữ liệu [5].
Đề xuất biện pháp phòng ngừa
Dựa trên các khuyến nghị từ CISA [1], NCSC [4] và NIST [3], các biện pháp phòng ngừa và chuẩn bị sau đây được xem là có hiệu quả cao nhất:
- Đối với người dùng cá nhân: (1) Thực hiện sao lưu định kỳ dữ liệu ra ổ cứng ngoài hoặc dịch vụ lưu trữ đám mây có chức năng phiên bản hóa (versioning); (2) Không mở email, đường dẫn hoặc tệp đính kèm từ nguồn không xác minh được; (3) Cài đặt phần mềm chống mã độc có khả năng chống ransomware theo thời gian thực.
- Đối với tổ chức: (1) Xây dựng và thử nghiệm định kỳ kế hoạch ứng phó sự cố; (2) Duy trì hệ thống sao lưu phân tách vật lý khỏi hệ thống mạng vận hành chính; (3) Triển khai cơ chế Zero Trust Architecture, hạn chế quyền truy cập không cần thiết; (4) Sử dụng hệ thống phát hiện xâm nhập (IDS/IPS), phân tích hành vi (UEBA) và giải pháp SIEM để phát hiện sớm các hành vi mã hóa bất thường; (5) Đào tạo định kỳ nhân viên về an toàn thông tin và mô phỏng tấn công giả định (ransomware simulation).
Khuyến nghị về phối hợp và chia sẻ thông tin
Bên cạnh đó, việc tổ chức chủ động báo cáo các sự cố ransomware cho các cơ quan chức năng, trung tâm CERT hoặc CSIRT địa phương sẽ góp phần quan trọng vào việc nâng cao năng lực phòng thủ cộng đồng và thúc đẩy việc phát triển các công cụ giải mã mới.
Ngoài ra, việc chia sẻ thông tin về dấu vết tấn công (Indicators of Compromise - IOC), mẫu mã độc và kỹ thuật tấn công cũng là nguồn dữ liệu quý giá để cộng đồng an ninh mạng quốc tế nhanh chóng xây dựng cơ sở dữ liệu ứng phó.
Kết luận
Việc khôi phục dữ liệu bị mã hóa bởi ransomware là một thách thức kỹ thuật phức tạp, không có giải pháp “một chiều” phù hợp cho tất cả trường hợp. Trong khi người dùng cá nhân có thể thử các công cụ giải mã miễn phí, thì các tổ chức cần triển khai các biện pháp có hệ thống, từ sao lưu chủ động đến phản ứng sự cố chuyên nghiệp. Bên cạnh năng lực kỹ thuật, yếu tố quyết định thành công còn nằm ở khả năng nhận diện sớm, chuẩn bị kỹ lưỡng, và phản ứng có tổ chức.
Đầu tư vào phòng ngừa, thay vì chỉ tập trung vào khôi phục sau sự cố vẫn là chiến lược hiệu quả và bền vững nhất để giảm thiểu tổn thất từ ransomware trong môi trường số hiện nay.
Tài liệu tham khảo
[1]. CISA & MS-ISAC. (2020). Ransomware Guide. Cybersecurity & Infrastructure Security Agency. [Online]. Available: https://www.cisa.gov/sites/default/files/publications/CISA_MSISAC_Ransomware%20Guide_S508C.pdf
[2]. Europol. (2022). No More Ransom Project. [Online]. Available: https://www.nomoreransom.org/
[3]. NIST. (2020). SP 1800-26: Detecting and Responding to Ransomware. [Online]. Available: https://csrc.nist.gov/publications/detail/sp/1800-26/final
[4]. NCSC UK. (2021). Mitigating malware and ransomware attacks. [Online]. Available: https://www.ncsc.gov.uk/guidance/mitigating-malware-and-ransomware-attacks
[5]. Emsisoft. (2023). Ransomware Recovery Tools and Limitations. [Online]. Available: https://www.emsisoft.com/en/blog/40335/
Hướng dẫn khôi phục dữ liệu cho người dùng phổ thông
Trong hầu hết các trường hợp, tấn công ransomware thường mã hóa dữ liệu và yêu cầu nạn nhân thanh toán tiền chuộc (thường bằng tiền điện tử) để nhận lại khóa giải mã. Tuy nhiên, theo khuyến cáo của Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (Cybersecurity and Infrastructure Security Agency - CISA), hành động trả tiền chuộc không đảm bảo dữ liệu sẽ được phục hồi và còn tạo điều kiện cho các nhóm tấn công tiếp tục hoạt động [1]. Do đó, việc xây dựng và phổ biến một quy trình xử lý sự cố cơ bản dành cho người dùng không chuyên là cần thiết để giảm thiểu thiệt hại và tăng cơ hội phục hồi dữ liệu bị mã hóa.
Dựa trên các tài liệu chính thức do CISA [1], Cơ quan Cảnh sát Liên minh châu Âu (Europol) thông qua dự án No More Ransom [2] và Khung khuyến nghị kỹ thuật của Viện Tiêu chuẩn và Công nghệ Hoa Kỳ (NIST) [3], người dùng có thể áp dụng quy trình gồm các bước cơ bản dưới đây để xử lý kịp thời khi bị tấn công ransomware. Các bước này không yêu cầu kiến thức chuyên sâu và có thể thực hiện trên môi trường cá nhân.
Bước 1: Nhận diện sớm hành vi tấn công
Một số dấu hiệu phổ biến cho thấy máy tính đã bị ransomware tấn công bao gồm:
- Các tệp dữ liệu bị thay đổi phần mở rộng (ví dụ: .locked, .crypted, .djvu) hoặc không thể mở bằng phần mềm thông thường.
- Xuất hiện các tệp thông báo đòi tiền chuộc như README[.]txt, DECRYPT_FILES[.]html, hoặc thông báo chiếm quyền điều khiển màn hình.
- Máy tính chạy chậm bất thường, xuất hiện tiến trình lạ hoặc có kết nối mạng không rõ nguồn.
CISA khuyến cáo rằng việc nhận diện sớm các biểu hiện bất thường có thể giúp giảm khả năng mã độc tiếp tục lây lan hoặc xóa dữ liệu sao lưu .
Bước 2: Cách ly thiết bị và sao lưu dữ liệu bị ảnh hưởng
Ngay khi phát hiện dấu hiệu bất thường, người dùng nên ngắt kết nối mạng Internet để tránh việc mã độc lây nhiễm trong mạng nội bộ hoặc kết nối với máy chủ điều khiển và ra lệnh từ xa (C2). Đồng thời, nếu hệ thống vẫn còn hoạt động ổn định, cần tiến hành sao lưu toàn bộ dữ liệu hiện có, bao gồm cả tệp đã bị mã hóa và tệp hệ thống sang thiết bị lưu trữ ngoài (USB, ổ cứng rời) để phục vụ cho quá trình phân tích và khôi phục sau này.
CISA và NIST đều nhấn mạnh việc cô lập và bảo toàn dữ liệu ban đầu là bước quan trọng để phục vụ công tác giám định và điều tra nguyên nhân tấn công [1] [3] .
Bước 3: Kiểm tra khả năng giải mã bằng công cụ công khai
Người dùng phổ thông có thể tận dụng các nền tảng hỗ trợ giải mã miễn phí do cộng đồng bảo mật phát triển. Nổi bật nhất là No More Ransom do Europol phối hợp cùng các hãng bảo mật triển khai. Trang web này cung cấp công cụ "Crypto Sheriff" cho phép người dùng tải lên một tệp bị mã hóa và tệp yêu cầu chuộc tiền, từ đó xác định loại ransomware và đề xuất công cụ giải mã phù hợp nếu có [2] .
Tương tự, nền tảng Emsisoft Decryption Tools duy trì danh sách hơn 100 công cụ giải mã cho các dòng ransomware phổ biến như STOP/DJVU, Mr.Dec, hoặc Makop [4] . Mỗi công cụ đi kèm hướng dẫn chi tiết về điều kiện sử dụng, ví dụ: cần có bản gốc và bản mã hóa của cùng một tệp, hoặc tệp chưa bị ghi đè sau khi mã hóa.
Việc sử dụng công cụ giải mã có thể giúp người dùng phục hồi dữ liệu mà không cần can thiệp chuyên sâu, tuy nhiên tỷ lệ thành công phụ thuộc vào loại ransomware và mức độ hoàn thiện của công cụ.
Bước 4: Khôi phục dữ liệu từ bản sao hệ thống
Trong trường hợp ransomware không thực hiện việc xóa shadow copy, một tính năng sao lưu mặc định của hệ điều hành Windows, người dùng có thể tận dụng công cụ như Shadow Explorer để truy xuất các phiên bản cũ của tệp tin. Shadow Explorer cho phép người dùng duyệt qua các bản sao hệ thống trước thời điểm bị tấn công và khôi phục dữ liệu về trạng thái trước đó một cách trực quan [5] .
Mặc dù kỹ thuật này không phải lúc nào cũng khả thi (đặc biệt với các dòng ransomware có chức năng xóa shadow copy), đây vẫn là một lựa chọn có giá trị đối với người dùng không chuyên.
Bước 5: Liên hệ với các chuyên gia bảo mật
Trong các tình huống sau, người dùng nên cân nhắc tìm đến sự hỗ trợ từ chuyên gia bảo mật hoặc trung tâm phục hồi dữ liệu chuyên nghiệp:
- Dữ liệu bị mã hóa có giá trị đặc biệt (về pháp lý, học tập, tài chính,...).
- Không có công cụ giải mã phù hợp với loại ransomware bị nhiễm.
- Thiết bị có dấu hiệu bị kiểm soát từ xa hoặc mã độc tiếp tục hoạt động.
Các tổ chức như Trung tâm ứng cứu sự cố (CERT), Nhóm ứng phó sự cố an ninh máy tính (CSIRT) hoặc các đơn vị an ninh nội bộ cũng có thể được liên hệ nếu người dùng làm việc trong môi trường doanh nghiệp hoặc tổ chức công.
Hướng dẫn khôi phục dữ liệu cho tổ chức/cơ quan
So với người dùng phổ thông, các tổ chức khi bị tấn công bởi ransomware đối mặt với rủi ro ở quy mô lớn hơn: Không chỉ là mất mát dữ liệu mà còn ảnh hưởng đến vận hành hệ thống, chuỗi cung ứng, danh tiếng thương hiệu và trách nhiệm pháp lý. Chính vì vậy, việc khôi phục dữ liệu trong môi trường tổ chức đòi hỏi phải tuân thủ quy trình nghiêm ngặt, có sự phối hợp giữa các bộ phận kỹ thuật, quản trị rủi ro và pháp chế. Các nội dung trình bày dưới đây được tổng hợp từ khuyến nghị kỹ thuật của CISA [1], NIST [3], Trung tâm An ninh mạng quốc gia Vương quốc Anh (NCSC UK) [4] và các nền tảng hỗ trợ giải mã như No More Ransom [2].
Bước 1: Kích hoạt quy trình phản ứng sự cố
Một trong những khuyến nghị quan trọng từ các tổ chức an ninh mạng quốc tế là doanh nghiệp cần kích hoạt ngay quy trình ứng phó sự cố (Incident Response Plan) khi phát hiện hệ thống bị tấn công [1], [4]. Quy trình này bao gồm: (1) Cô lập các thiết bị bị ảnh hưởng khỏi mạng nội bộ và Internet; (2) Phân loại mức độ ảnh hưởng, ưu tiên xử lý các hệ thống vận hành trọng yếu; (3) Huy động nhóm kỹ thuật, bảo mật, truyền thông và pháp lý để phối hợp phản ứng.
Lưu ý, các tổ chức cần phải xây dựng quy trình ứng phó sự cố để khắc phục và xử lý trong các trường hợp bị tấn công mạng, trong đó có việc bị lây nhiễm ransomware. Nếu chưa có kế hoạch ứng phó từ trước, tổ chức có thể tham khảo các mẫu IRP công khai được cung cấp bởi CISA hoặc NCSC [1], [4] .
Bước 2: Thu thập mẫu mã độc và nhận diện biến thể ransomware
Việc xác định loại ransomware là bước nền tảng trong quy trình xử lý. Các công cụ như ID Ransomware hoặc Crypto Sheriff (nền tảng No More Ransom) cho phép phân tích tệp bị mã hóa hoặc ransom note để nhận diện biến thể và gợi ý công cụ giải mã tương ứng (nếu có) [2].
Tuy nhiên, theo thống kê của công ty bảo mật Emsisoft (New Zealand), chỉ khoảng 20 -30% biến thể ransomware phổ biến hiện nay có công cụ giải mã công khai [5]. Nếu không xác định được biến thể, việc phân tích tiếp theo sẽ đòi hỏi can thiệp kỹ thuật sâu hơn.
Bước 3: Khôi phục dữ liệu từ bản sao ngoại tuyến
NIST SP 1800-26 khuyến nghị các tổ chức cần duy trì hệ thống sao lưu độc lập, ngoại tuyến (offline backup) như một phương pháp khôi phục chính và ưu tiên [3]. Việc phục hồi từ bản sao lưu cần đảm bảo: Quá trình sao lưu không bị mã độc xâm nhập; Được kiểm tra tính toàn vẹn trước khi phục hồi vào môi trường sản xuất; Thực hiện trên môi trường thử nghiệm trước khi vận hành chính thức.
Đối với hệ thống ảo hóa (VMware, Hyper-V,…), có thể sử dụng tính năng snapshot để khôi phục nhanh theo thời gian điểm.
Bước 4: Phân tích mã độc và kỹ thuật ngược
Khi không có bản sao lưu và không tồn tại công cụ giải mã công khai, tổ chức có thể cân nhắc sử dụng các kỹ thuật phân tích ngược (reverse engineering) để tìm khóa giải mã hoặc hiểu cơ chế mã hóa. Có ba cách để phân tích ransomware:
- Phân tích tĩnh sử dụng các công cụ như Ghidra, IDA Pro, PEStudio,… để kiểm tra mã nhị phân.
- Phân tích động thực hiện thực thi mẫu ransomware trong sandbox (Cuckoo, AnyRun,…) để theo dõi hành vi.
- Phân tích bộ nhớ sử dụng Volatility hoặc FTK Imager để truy xuất khóa còn lưu tại RAM trong quá trình thực thi. Phương pháp này đòi hỏi kỹ năng chuyên sâu và không đảm bảo thành công, nhưng vẫn là lựa chọn cuối cùng trong các trường hợp đặc biệt [3], [5].
Bước 5: Báo cáo và phối hợp với cơ quan chức năng
CISA và NCSC đều nhấn mạnh rằng các tổ chức nên chủ động báo cáo sự cố ransomware cho các cơ quan có thẩm quyền, như CERT quốc gia hoặc các đơn vị điều tra tội phạm mạng [1], [4] . Việc chậm trễ trong báo cáo có thể vi phạm các quy định về bảo vệ dữ liệu cá nhân (GDPR, HIPAA....).
Ngoài ra, việc phối hợp với chuyên gia phục hồi hoặc các đơn vị điều tra số cũng giúp tăng khả năng khôi phục và giảm rủi ro tái nhiễm.
Khuyến nghị và biện pháp phòng ngừa
Mặc dù nhiều công cụ và phương pháp đã được phát triển để hỗ trợ khôi phục dữ liệu bị mã hóa bởi ransomware, tuy nhiên thực tế triển khai cho thấy việc khôi phục hoàn toàn là điều khó khăn và không có gì đảm bảo tuyệt đối, đặc biệt đối với các chủng ransomware hiện đại có khả năng xóa khóa sau khi mã hóa hoặc sử dụng thuật toán mã hóa bất đối xứng phức tạp. Dựa trên tổng hợp kinh nghiệm từ cộng đồng an ninh mạng quốc tế và các nghiên cứu gần đây, phần này đưa ra một số khuyến nghị kỹ thuật quan trọng nhằm giảm thiểu rủi ro và tăng khả năng phục hồi sau sự cố.
Nhận thức đúng về giới hạn kỹ thuật của khôi phục dữ liệu
Khả năng khôi phục dữ liệu bị mã hóa bởi ransomware phụ thuộc vào nhiều yếu tố:
- Loại ransomware: Một số biến thể cũ hoặc viết sai thuật toán mã hóa có thể được giải mã, trong khi hầu hết các biến thể mới sử dụng thuật toán mạnh như RSA-2048, AES-256 gần như không thể phá vỡ trong thời gian hợp lý nếu không có khóa.
- Tình trạng của hệ thống sau tấn công: nếu shadow copy bị xóa, khóa giải mã bị ghi đè hoặc bộ nhớ đã bị làm sạch, cơ hội khôi phục hầu như không còn.
- Thời điểm phản ứng: càng phản ứng sớm, khả năng phục hồi dữ liệu hoặc lấy mẫu phục vụ điều tra càng cao[1], [3] .
Do đó, việc kỳ vọng vào một phương pháp "giải cứu hoàn toàn" trong mọi tình huống là không thực tế. Ngay cả khi có sẵn công cụ giải mã, tỷ lệ thành công cũng có thể phụ thuộc vào định dạng tệp, phiên bản ransomware hoặc mức độ tổn hại của dữ liệu [5].
Đề xuất biện pháp phòng ngừa
Dựa trên các khuyến nghị từ CISA [1], NCSC [4] và NIST [3], các biện pháp phòng ngừa và chuẩn bị sau đây được xem là có hiệu quả cao nhất:
- Đối với người dùng cá nhân: (1) Thực hiện sao lưu định kỳ dữ liệu ra ổ cứng ngoài hoặc dịch vụ lưu trữ đám mây có chức năng phiên bản hóa (versioning); (2) Không mở email, đường dẫn hoặc tệp đính kèm từ nguồn không xác minh được; (3) Cài đặt phần mềm chống mã độc có khả năng chống ransomware theo thời gian thực.
- Đối với tổ chức: (1) Xây dựng và thử nghiệm định kỳ kế hoạch ứng phó sự cố; (2) Duy trì hệ thống sao lưu phân tách vật lý khỏi hệ thống mạng vận hành chính; (3) Triển khai cơ chế Zero Trust Architecture, hạn chế quyền truy cập không cần thiết; (4) Sử dụng hệ thống phát hiện xâm nhập (IDS/IPS), phân tích hành vi (UEBA) và giải pháp SIEM để phát hiện sớm các hành vi mã hóa bất thường; (5) Đào tạo định kỳ nhân viên về an toàn thông tin và mô phỏng tấn công giả định (ransomware simulation).
Khuyến nghị về phối hợp và chia sẻ thông tin
Bên cạnh đó, việc tổ chức chủ động báo cáo các sự cố ransomware cho các cơ quan chức năng, trung tâm CERT hoặc CSIRT địa phương sẽ góp phần quan trọng vào việc nâng cao năng lực phòng thủ cộng đồng và thúc đẩy việc phát triển các công cụ giải mã mới.
Ngoài ra, việc chia sẻ thông tin về dấu vết tấn công (Indicators of Compromise - IOC), mẫu mã độc và kỹ thuật tấn công cũng là nguồn dữ liệu quý giá để cộng đồng an ninh mạng quốc tế nhanh chóng xây dựng cơ sở dữ liệu ứng phó.
Kết luận
Việc khôi phục dữ liệu bị mã hóa bởi ransomware là một thách thức kỹ thuật phức tạp, không có giải pháp “một chiều” phù hợp cho tất cả trường hợp. Trong khi người dùng cá nhân có thể thử các công cụ giải mã miễn phí, thì các tổ chức cần triển khai các biện pháp có hệ thống, từ sao lưu chủ động đến phản ứng sự cố chuyên nghiệp. Bên cạnh năng lực kỹ thuật, yếu tố quyết định thành công còn nằm ở khả năng nhận diện sớm, chuẩn bị kỹ lưỡng, và phản ứng có tổ chức.
Đầu tư vào phòng ngừa, thay vì chỉ tập trung vào khôi phục sau sự cố vẫn là chiến lược hiệu quả và bền vững nhất để giảm thiểu tổn thất từ ransomware trong môi trường số hiện nay.
Tài liệu tham khảo
[1]. CISA & MS-ISAC. (2020). Ransomware Guide. Cybersecurity & Infrastructure Security Agency. [Online]. Available: https://www.cisa.gov/sites/default/files/publications/CISA_MSISAC_Ransomware%20Guide_S508C.pdf
[2]. Europol. (2022). No More Ransom Project. [Online]. Available: https://www.nomoreransom.org/
[3]. NIST. (2020). SP 1800-26: Detecting and Responding to Ransomware. [Online]. Available: https://csrc.nist.gov/publications/detail/sp/1800-26/final
[4]. NCSC UK. (2021). Mitigating malware and ransomware attacks. [Online]. Available: https://www.ncsc.gov.uk/guidance/mitigating-malware-and-ransomware-attacks
[5]. Emsisoft. (2023). Ransomware Recovery Tools and Limitations. [Online]. Available: https://www.emsisoft.com/en/blog/40335/
Tác giả: ThS. Đồng Thị Thùy Linh (Học viện Kỹ thuật mật mã)
Nguồn tin: Tạp chí An toàn thông tin
Tin đọc nhiều nhất
-
24 ứng dụng AI tiên tiến năm 2024
-
Những mặt trái của ứng dụng trí tuệ nhân tạo và giải pháp khắc phục
-
Những tính năng mới trên phiên bản Windows 11 24H2
-
Một số kỹ thuật và công cụ phát hiện Deepfake
-
Đổi mới thể chế đưa Việt Nam trở thành quốc gia số
-
Chuyển đổi số tại Việt Nam - 4 năm nhìn lại và triển vọng
-
Những thách thức và giải pháp an toàn trong lĩnh vực thương mại điện tử hiện nay
