Các cuộc tấn công ransomware đã gây ra thiệt hại hàng tỷ đô la và là mối đe dọa lớn đối với tất cả chúng ta. Khi việc sử dụng ransomware tăng lên, sẽ có nhiều chủng phần mềm độc hại nguy hiểm này phát sinh, bao gồm cả Jigsaw. Vậy, Jigsaw ransomware đến từ đâu, nó hoạt động như thế nào và làm thế nào bạn có thể tránh xa nó?
Nguồn gốc của Jigsaw Ransomware
Jigsaw ransomware (được đặt theo tên của nhân vật phản diện nhượng quyền thương mại SAW nổi tiếng) được tạo ra vào tháng 4 năm 2016 và phát hành chỉ một tuần sau đó. Kể từ khi ra mắt, dòng ransomware này đã được sử dụng để nhắm mục tiêu vào nhiều nạn nhân và đã tự khẳng định mình là một trong những loại ransomware nổi bật nhất hiện nay. Nhiều biến thể của Jigsaw ransomware cũng đã được phát triển kể từ khi phát hành.
Nhưng Jigsaw không chỉ là một chương trình ransomware. Nó cũng là một nền tảng Ransomware-as-a-Service (RaaS). Những nền tảng như vậy cung cấp cho người dùng mã ransomware có tính phí. Trong trường hợp của Jigsaw, nó có giá khoảng 140 đô la để mua, khiến nó khá dễ tiếp cận đối với hầu hết các tác nhân độc hại. Jigsaw ransomware có thể được mua trên dark web, một điểm nóng cho tin tặc tìm kiếm phần mềm độc hại, thông tin nhạy cảm và các dữ liệu có giá trị khác.
Jigsaw Ransomware hoạt động như thế nào?
Jigsaw ransomware thường lây lan qua thư rác. Trong thư như vậy, phần mềm tống tiền Jigsaw được đặt trong một tệp đính kèm độc hại. Các hình thức khác của Jigsaw ransomware cũng đã được tìm thấy trong phần mềm quảng cáo, một chương trình độc hại nguy hiểm và khó chịu khác. Sau khi phần mềm độc hại lây nhiễm vào thiết bị, thiết bị sẽ khởi động vào lần tiếp theo bạn bật thiết bị. Sau đó, Jigsaw có thể bắt đầu mã hóa tất cả các tệp trên máy tính của bạn, cũng như bản ghi khởi động chính.
Jigsaw ransomware có khả năng mã hóa hơn 220 loại tệp khác nhau, làm cho nó trở thành một tùy chọn rất linh hoạt cho những kẻ tấn công. Nhưng điều đáng chú ý là Jigsaw không thể mã hóa các tệp thực thi (tức là các tệp kết thúc bằng “.exe”). Khi ransomware được triển khai thành công và mã hóa các tệp, một cửa sổ sẽ bật lên trên thiết bị của nạn nhân liệt kê tất cả các tệp đã bị khóa.
Theo chủ đề SAW, cửa sổ thông báo nạn nhân bị nhiễm ransomware có nhân vật đáng sợ, Jigsaw (còn được gọi là Billy the Puppet). Trong cửa sổ, mối đe dọa xóa tệp sẽ được đưa vào, cho nạn nhân biết những gì đang bị đe dọa. Cùng với đó, một đồng hồ đếm ngược được đặt dưới ghi chú đe dọa. Kiểu thực hiện tấn công hẹn giờ tích tắc này khiến mọi thứ trở nên đáng sợ hơn nhiều đối với nạn nhân, điều này có thể giúp người điều hành nhận được tiền chuộc.
Jigsaw không chỉ có thể mã hóa các tệp mà dữ liệu bị khóa có thể bị xóa hàng loạt nếu mục tiêu không tuân thủ. Trên thực tế, Jigsaw ransomware đe dọa xóa tới 1.000 tệp khỏi máy tính được nhắm mục tiêu trong tích tắc nếu nạn nhân cố gắng xóa hoàn toàn chương trình. Mỗi giờ trôi qua mà nạn nhân không trả tiền chuộc, Jigsaw sẽ tự động xóa một tệp khác. Sau 72 giờ, nhà điều hành tuyên bố rằng họ sẽ xóa tất cả các tệp nếu yêu cầu của họ không được đáp ứng.
Chỉ các thiết bị chạy Windows mới có nguy cơ trở thành mục tiêu của Jigsaw, nhưng điều này vẫn để lại một khu vực lưu vực rộng lớn cho tội phạm mạng. Theo báo cáo của Statista, Windows chiếm hơn 70% thị phần trong thị trường hệ điều hành toàn cầu, vì vậy những kẻ điều hành Jigsaw không thiếu nạn nhân để lựa chọn.
Jigsaw còn được gọi là Bitcoin Blackmailer vì các nhà khai thác thường yêu cầu trả tiền chuộc bằng Bitcoin. Tiền điện tử phổ biến với tội phạm mạng vì nó cung cấp cho chúng thêm một lớp ẩn danh, cho phép chúng trốn tránh cơ quan thực thi pháp luật hiệu quả hơn.
Những người điều hành Jigsaw có xu hướng yêu cầu trả 150 đô la bằng Bitcoin để mở khóa các tệp của nạn nhân. So với các cuộc tấn công ransomware khác, đây không phải là số tiền quá lớn, nhưng vẫn có thể gây bất tiện lớn cho nạn nhân, đặc biệt là những người gặp khó khăn về tài chính hoặc những người không rành về thanh toán bằng tiền điện tử.
Điểm yếu của Jigsaw là gì?
Mặc dù Jigsaw ransomware gây nguy hiểm nhưng nó cũng có một lỗ hổng đáng kể: nó được viết bằng .NET. Do đó, mã của Jigsaw có thể được sử dụng để giải mã các tệp bị khóa bởi người vận hành.
Trên thực tế, Bleeping Computer cung cấp công cụ giải mã Jigsaw cho những người bị nhiễm ransomware này.
Các công ty an ninh mạng khác cũng cung cấp công cụ giải mã Jigsaw, bao gồm cả EMSISOFT. Vì vậy, nếu bạn thấy mình ở vị trí này, hãy thử một trong những công cụ này, vì chúng có thể giúp bạn tiết kiệm tiền và giữ an toàn cho dữ liệu của bạn.
Hơn nữa, lời đe dọa xóa 1.000 tệp ngay lập tức khỏi một thiết bị bị nhiễm của Jigsaw dường như là vô nghĩa. Không có bằng chứng nào cho thấy chương trình có thể làm được điều này và cùng với khả năng giải mã dễ dàng, Jigsaw không quá nguy hiểm như một số chương trình ransomware khác hiện có. Cũng có ý kiến cho rằng Jigsaw được tạo ra bởi các tin tặc cấp thấp đến trung bình, do dễ giải mã.
Mặc dù có công cụ giải mã nhưng phòng bệnh hơn chữa bệnh. Vì vậy, làm thế nào bạn có thể tránh Jigsaw ransomware?
Cách tránh Jigsaw Ransomware
Bước đầu tiên bạn nên thực hiện để tránh tất cả các loại phần mềm độc hại là cài đặt chương trình chống vi-rút đáng tin cậy, chẳng hạn như Norton, BitDefender hoặc McAfee. Điều này hoạt động như một tuyến phòng thủ đầu tiên chống lại phần mềm độc hại và vi rút và nên được mọi người sử dụng.
Khi sử dụng chương trình chống vi-rút, bạn cũng nên đảm bảo rằng bạn đang cập nhật chương trình đó thường xuyên. Việc làm này sẽ giải quyết các lỗi và lỗ hổng bảo mật mà tội phạm mạng khai thác để phát tán phần mềm độc hại và tấn công thiết bị. Các bản cập nhật có thể gây khó chịu, nhưng tốt hơn hết là bạn nên hoàn thành chúng càng sớm càng tốt.
Vì Jigsaw ransomware thường lây lan qua thư rác, bạn cũng nên theo dõi các email bạn nhận được. Việc mở bất kỳ tệp đính kèm cũ nào, bất kể người gửi là ai, đều có thể nguy hiểm vì tội phạm mạng thường phát tán phần mềm độc hại qua các liên kết và tệp đính kèm.
Sao lưu các tệp của bạn cũng là một ý tưởng hay khi xử lý bất kỳ dạng phần mềm tống tiền nào, vì phương thức tấn công chính của phần mềm độc hại này là mã hóa và xóa các tệp của bạn. Có sẵn một bản sao lưu phần cứng có thể là vô giá khi đối phó với sự lây nhiễm ransomware.
Phần mềm độc hại Jigsaw có điểm yếu nhưng vẫn có thể nguy hiểm
Mặc dù Jigsaw ransomware có thể được giải mã, nhưng nó vẫn gây rủi ro cho những người ít hiểu biết về công nghệ. Nếu một người không biết về bộ giải mã Jigsaw, phần mềm tống tiền này có thể khiến họ mất dữ liệu và tiền bạc. Vì vậy, tốt nhất bạn nên làm những gì có thể để tránh lây nhiễm ransomware ngay từ đầu, thay vì phải xử lý nó sau khi nó làm hỏng máy tính của bạn.
