Có thể ‘bẻ khoá’ mã độc tống tiền hay không?

Cuộc tấn công ransomware đầu tiên được ghi nhận vào năm 1989, sau hơn 30 năm, mã độc tống tiền trở nên tinh vi hơn nhờ vào sự bùng nổ của Internet, chuyển đổi số và sự ra đời của tiền mã hoá.

• 4 con đường lây nhiễm virus máy tính phổ biến tại Việt Nam

Theo thống kê của Statista, cứ mỗi 11 giây lại có một tổ chức trở thành mục tiêu của mã độc tống tiền. Trong năm 2022, toàn cầu có hơn 493 triệu cuộc tấn công của ransomware. Những con số không chỉ là lời cảnh báo về sự phổ biến của loại hình tấn công trực tuyến này mà còn nhấn mạnh mức độ tổn thất có thể gây ra cho cá nhân và tổ chức.

Tuy nhiên, chỉ 27% tổ chức bị tấn công chọn cách trả tiền chuộc. Số còn lại chọn cách tìm đến những chuyên gia IT để “phá khoá”, hay còn gọi là giải mã tệp dữ liệu bị mã hoá. Câu hỏi đặt ra, liệu có thể giải mã tất cả những mã độc tống tiền hay không?

Bản chất của ransomware

Mã độc tống tiền là phần mềm độc hại thực hiện mã hoá các tệp trên thiết bị bị nhiễm. Khi thiết bị nhiễm ransomware, chủ sở hữu thường nhận được thông báo thông qua cửa sổ bật lên, hoặc trong một số trường hợp là hình nền máy tính, yêu cầu thực hiện các bước gửi tiền chuộc để nhận lại “khoá” (key) giải mã.

Đôi khi tội phạm mạng cung cấp cho nạn nhân khoá giải mã sau khi tiền chuộc được trả. Nhưng cũng có trường hợp chúng cao chạy xa bay bỏ mặc nạn nhân với tệp tin mã hoá.

Mặc dù ransomware có thể nhắm vào cá nhân, nhưng các băng nhóm tin tặc thường hướng đến những công ty, nơi chúng có thể kiếm được khoản tiền chuộc lớn hơn.

Ransomware được giải mã như thế nào?

Ransomware được “bẻ khoá” bằng cách sử dụng công cụ giải mã - phần mềm được thiết kế cho từng loại mã độc tống tiền nhất định để giải mã những tệp bị nhiễm. Khi một tệp được giải mã, mã ngẫu nhiên thực thi ban đầu sẽ bị hoá giải và chuyển đổi dữ liệu ban đầu sang dạng văn bản. Có nhiều công cụ giải mã ransomware khác nhau, cả miễn phí và trả phí.

Về mặt kỹ thuật, tất cả các loại ransomware đều có thể được giải mã, nhưng mỗi mã độc cần có bộ giải mã riêng. Không thể sử dụng một bộ công cụ để áp dụng với tất cả ransomware. Đây chính là lý do rất khó để hoá giải mã độc tống tiền, nạn nhân phải biết đó là loại ransomware nào để tìm công cụ phù hợp.

Tiếp đó, quá trình giải mã cũng tiêu tốn thời gian và tài nguyên điện toán khổng lồ, tuỳ thuộc vào thuật toán của mã độc. Chẳng hạn, với khoá theo chuẩn RSA 2048 bit, một chiếc máy tính để bàn cấu hình trung bình sẽ cần 5 triệu triệu năm để “dò” mật khẩu.

Nói cách khác, nạn nhân sẽ cần đến những siêu máy tính lượng tử để gia tăng thành công và rút ngắn thời gian lấy lại dữ liệu của mình. Đáng tiếc, những cỗ máy lượng tử chưa thể xuất hiện đại trà trong thời gian ngắn trước mắt.

Năm 2019, Google công bố con chip máy tính lượng tử có khả năng giải quyết tính toán thử nghiệm trong khoảng 200 giây đối với tác vụ mà siêu máy tính truyền thống cần 10.000 năm để thực hiện.

Bởi vậy, với công nghệ hiện tại, người dùng Internet cần thực hiện các biện pháp “phòng tránh” ransomware bằng chiến lược bảo mật toàn diện, hơn là tìm cách bẻ khoá khi thiết bị đã nhiễm mã độc hoặc trả tiền chuộc và chờ đợi vào “thiện chí” của những tin tặc.

(Tổng hợp)

• IIJ Global Solutions phát triển phần mềm chống mã độc tống tiền
• Hoạt động của hơn 60 tổ chức tín dụng ở Mỹ bị đình trệ do tấn công mã độc
• Mã độc tống tiền được hacker rao bán, lấy hoa hồng như kinh doanh đa cấp