Jigsaw Ransomware: Nguồn Gốc, Cách Thức Hoạt Động và Cách Phòng Tránh

Nguồn Gốc của Jigsaw Ransomware

Jigsaw ransomware, được đặt tên theo nhân vật phản diện nổi tiếng trong loạt phim SAW, được tạo ra vào tháng 4 năm 2016 và được phát hành chỉ một tuần sau đó. Kể từ khi ra mắt, biến thể ransomware này đã được sử dụng để nhắm vào nhiều nạn nhân và đã trở thành một trong những loại ransomware nổi bật nhất hiện nay. Kể từ khi phát hành, nhiều biến thể của Jigsaw ransomware cũng đã được phát triển.

Nhưng Jigsaw không chỉ là một chương trình ransomware. Nó còn là một nền tảng Ransomware-as-a-Service (RaaS). Các nền tảng này cung cấp mã ransomware cho người dùng với một khoản phí. Trong trường hợp của Jigsaw, giá mua là khoảng 140 đô la, khiến nó trở nên khá dễ tiếp cận với hầu hết các tác nhân độc hại. Jigsaw ransomware có thể được mua trên dark web, một điểm nóng cho các hacker tìm kiếm phần mềm độc hại, thông tin nhạy cảm và các dữ liệu có giá trị khác.

Cách Thức Hoạt Động của Jigsaw Ransomware

Hình ảnh của đồng tiền Bitcoin và tờ tiền 100 đô la

Jigsaw ransomware thường được lan truyền qua thư rác. Trong loại thư này, Jigsaw ransomware được đặt trong tệp đính kèm độc hại. Các dạng khác của Jigsaw ransomware cũng đã được tìm thấy trong adware, một chương trình độc hại khác nguy hiểm và gây phiền toái. Khi phần mềm độc hại lây nhiễm vào thiết bị, nó sẽ khởi động lại khi bạn bật thiết bị lần tiếp theo. Sau đó, Jigsaw có thể bắt đầu mã hóa tất cả các tệp trên máy tính của bạn, cũng như bản ghi khởi động chính.

Jigsaw ransomware có khả năng mã hóa hơn 220 loại tệp khác nhau, khiến nó trở thành một lựa chọn rất linh hoạt cho kẻ tấn công. Tuy nhiên, cần lưu ý rằng Jigsaw không thể mã hóa các tệp thực thi (tức là các tệp kết thúc bằng “.exe”). Khi ransomware được triển khai thành công và mã hóa các tệp, một cửa sổ sẽ xuất hiện trên thiết bị của nạn nhân liệt kê tất cả các tệp đã bị khóa.

Theo chủ đề SAW, cửa sổ thông báo cho nạn nhân về sự lây nhiễm ransomware có nhân vật đáng sợ, Jigsaw (còn được gọi là Billy the Puppet). Trong cửa sổ này, mối đe dọa xóa tệp sẽ được đưa vào, cho nạn nhân biết điều gì đang bị đe dọa. Cùng với đó, một bộ đếm thời gian được đặt dưới thông báo đe dọa. Phong cách tấn công với bộ đếm thời gian này làm tăng thêm sự đáng sợ cho nạn nhân, điều này có thể giúp kẻ điều hành nhận được tiền chuộc.

Không chỉ có khả năng mã hóa các tệp, dữ liệu bị khóa cũng có thể bị xóa hàng loạt nếu mục tiêu không tuân thủ. Thực tế, Jigsaw ransomware đe dọa sẽ xóa tới 1.000 tệp từ máy tính bị nhắm đến trong một giây nếu nạn nhân cố gắng xóa chương trình ngay lập tức. Mỗi giờ trôi qua mà nạn nhân không trả tiền chuộc, Jigsaw sẽ tự động xóa thêm một tệp. Sau 72 giờ, kẻ điều hành tuyên bố rằng họ sẽ xóa tất cả các tệp nếu yêu cầu của họ không được đáp ứng.

Chỉ có các thiết bị dựa trên Windows mới có nguy cơ bị nhắm đến bởi Jigsaw, nhưng điều này vẫn để lại một khu vực rộng lớn cho các tội phạm mạng. Theo báo cáo của Statista, Windows chiếm hơn 70% thị phần hệ điều hành toàn cầu, vì vậy các kẻ điều hành Jigsaw không thiếu nạn nhân để lựa chọn.

Jigsaw còn được biết đến với tên gọi BitcoinBlackmailer vì các kẻ điều hành thường yêu cầu tiền chuộc được trả bằng Bitcoin. Tiền điện tử được ưa chuộng bởi các tội phạm mạng, vì nó cung cấp cho họ thêm một lớp ẩn danh, cho phép họ tránh được sự truy tìm của pháp luật một cách hiệu quả hơn.

Các kẻ điều hành Jigsaw thường yêu cầu trả 150 đô la bằng Bitcoin để mở khóa các tệp của nạn nhân. So với các cuộc tấn công ransomware khác, đây không phải là một số tiền lớn, nhưng vẫn có thể gây ra sự bất tiện lớn cho nạn nhân, đặc biệt là những người gặp khó khăn tài chính hoặc những người không rành về thanh toán bằng tiền điện tử.

Điểm Yếu của Jigsaw

Hai bàn tay cầm từng mảnh ghép của một câu đố

Mặc dù Jigsaw ransomware gây ra nguy hiểm, nhưng nó cũng có một điểm yếu đáng kể: nó được viết bằng .NET. Vì vậy, mã của Jigsaw có thể được sử dụng để giải mã các tệp bị khóa bởi các kẻ điều hành.

Thực tế, Bleeping Computer cung cấp một công cụ giải mã Jigsaw cho những người bị nhiễm ransomware này.

Các công ty bảo mật mạng khác cũng cung cấp công cụ giải mã Jigsaw, bao gồm EMSISOFT. Vì vậy, nếu bạn gặp phải tình huống này, hãy thử một trong những công cụ này, vì chúng có thể giúp bạn tiết kiệm tiền và giữ an toàn cho dữ liệu của mình.

Hơn nữa, mối đe dọa của Jigsaw về việc xóa 1.000 tệp ngay lập tức từ thiết bị bị nhiễm có vẻ là rỗng. Không có bằng chứng nào cho thấy chương trình này có thể làm điều này, và cùng với việc giải mã dễ dàng, Jigsaw không phải là mối nguy hiểm lớn như một số chương trình ransomware khác. Cũng đã có gợi ý rằng Jigsaw được tạo ra bởi các hacker cấp thấp đến trung bình, xét về sự dễ dàng của việc giải mã.

Mặc dù có công cụ giải mã, nhưng phòng ngừa luôn tốt hơn chữa trị. Vậy, làm thế nào để bạn tránh được Jigsaw ransomware?

Cách Phòng Tránh Jigsaw Ransomware

Bước đầu tiên bạn nên thực hiện để tránh mọi loại phần mềm độc hại là cài đặt một chương trình diệt virus đáng tin cậy, chẳng hạn như Norton, BitDefender hoặc McAfee. Điều này hoạt động như một tuyến phòng thủ đầu tiên chống lại phần mềm độc hại và virus, và nên được sử dụng bởi mọi người.

Khi sử dụng chương trình diệt virus, bạn cũng nên đảm bảo rằng bạn cập nhật nó thường xuyên. Làm điều này sẽ khắc phục các lỗ hổng bảo mật và lỗi, mà các tội phạm mạng khai thác để lan truyền phần mềm độc hại và tấn công thiết bị. Cập nhật có thể gây phiền toái, nhưng luôn tốt hơn là thực hiện chúng càng sớm càng tốt.

Vì Jigsaw ransomware thường được lan truyền qua thư rác, bạn cũng nên chú ý đến các email bạn nhận được. Mở bất kỳ tệp đính kèm nào, bất kể người gửi là ai, có thể rất nguy hiểm, vì các tội phạm mạng thường lan truyền phần mềm độc hại qua các liên kết và tệp đính kèm.

Sao lưu các tệp của bạn cũng là một ý tưởng tốt khi đối phó với bất kỳ hình thức ransomware nào, vì phương pháp tấn công chính của loại phần mềm độc hại này là mã hóa và xóa các tệp của bạn. Có một bản sao lưu phần cứng trong tay có thể rất quý giá khi đối phó với sự lây nhiễm ransomware.