Ransomware là gì?

Tác giả Security+, T.Tư 05, 2024, 03:19:25 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Ransomware là phần mềm độc hại được thiết kế để từ chối quyền truy cập của người dùng hoặc tổ chức vào các tệp trên máy tính của họ. Bằng cách mã hóa các tệp này và yêu cầu thanh toán tiền chuộc cho khóa giải mã, những kẻ tấn công mạng đặt các tổ chức vào tình thế mà việc trả tiền chuộc là cách dễ dàng và rẻ nhất để lấy lại quyền truy cập vào tệp của họ. Một số biến thể đã bổ sung thêm chức năng – chẳng hạn như đánh cắp dữ liệu – để khuyến khích thêm nạn nhân của ransomware trả tiền chuộc.


Ransomware đã nhanh chóng trở thành loại phần mềm độc hại nổi bật và dễ thấy nhất. Các cuộc tấn công ransomware gần đây đã ảnh hưởng đến khả năng cung cấp các dịch vụ quan trọng của bệnh viện, làm tê liệt các dịch vụ công ở các thành phố và gây thiệt hại đáng kể cho nhiều tổ chức khác nhau.

1. Tại sao các cuộc tấn công ransomware lại xuất hiện?

Cơn sốt ransomware hiện đại bắt đầu từ đợt bùng phát WannaCry năm 2017. Cuộc tấn công quy mô lớn và được công bố rộng rãi này đã chứng minh rằng các cuộc tấn công bằng ransomware là có thể xảy ra và có khả năng sinh lời. Kể từ đó, hàng chục biến thể ransomware đã được phát triển và sử dụng trong nhiều cuộc tấn công khác nhau.

Đại dịch COVID-19 cũng góp phần làm gia tăng số lượng ransomware gần đây. Khi các tổ chức nhanh chóng chuyển sang làm việc từ xa, các lỗ hổng đã được tạo ra trong hệ thống phòng thủ mạng của họ. Tội phạm mạng đã khai thác những lỗ hổng này để phát tán ransomware, dẫn đến sự gia tăng các cuộc tấn công bằng ransomware.

Trong thời đại bị chi phối bởi rủi ro kỹ thuật số, 71% công ty đáng kinh ngạc đã gặp phải các cuộc tấn công bằng ransomware, dẫn đến tổn thất tài chính trung bình là 4,35 triệu USD cho mỗi sự cố.

Chỉ riêng trong năm 2023, các cuộc tấn công bằng ransomware đã cố gắng nhắm vào 10% tổ chức trên toàn cầu. Điều này đánh dấu sự gia tăng đáng chú ý so với con số 7% tổ chức phải đối mặt với các mối đe dọa tương tự trong năm trước, thể hiện tỷ lệ cao nhất được ghi nhận trong những năm gần đây.

2. Cách thức hoạt động của phần mềm tống tiền

Để thành công, ransomware cần có quyền truy cập vào hệ thống mục tiêu, mã hóa các tệp ở đó và yêu cầu nạn nhân tiền chuộc.

Mặc dù chi tiết triển khai khác nhau giữa các biến thể ransomware, nhưng tất cả đều có chung ba giai đoạn cốt lõi.


Bước 1. Các vectơ lây nhiễm và phân phối

Ransomware, giống như bất kỳ phần mềm độc hại nào, có thể truy cập vào hệ thống của tổ chức theo một số cách khác nhau. Tuy nhiên, những kẻ vận hành ransomware có xu hướng thích một số vectơ lây nhiễm cụ thể hơn.

Một trong số đó là email lừa đảo. Email độc hại có thể chứa liên kết đến trang web lưu trữ tệp tải xuống độc hại hoặc tệp đính kèm có chức năng tải xuống được tích hợp sẵn. Nếu người nhận email rơi vào tình trạng lừa đảo thì phần mềm tống tiền sẽ được tải xuống và thực thi trên máy tính của họ.

Một vectơ lây nhiễm ransomware phổ biến khác lợi dụng các dịch vụ như Giao thức máy tính từ xa (RDP). Với RDP, kẻ tấn công đã đánh cắp hoặc đoán thông tin đăng nhập của nhân viên có thể sử dụng chúng để xác thực và truy cập từ xa vào máy tính trong mạng doanh nghiệp. Với quyền truy cập này, kẻ tấn công có thể trực tiếp tải xuống phần mềm độc hại và thực thi nó trên máy dưới sự kiểm soát của chúng.

Những kẻ khác có thể cố gắng lây nhiễm trực tiếp vào hệ thống, như cách WannaCry khai thác lỗ hổng EternalBlue. Hầu hết các biến thể của ransomware đều có nhiều vectơ lây nhiễm.

Bước 2. Mã hóa dữ liệu

Sau khi ransomware có được quyền truy cập vào hệ thống, nó có thể bắt đầu mã hóa các tệp của nó. Vì chức năng mã hóa được tích hợp vào hệ điều hành nên việc này chỉ bao gồm việc truy cập các tệp, mã hóa chúng bằng khóa do kẻ tấn công kiểm soát và thay thế bản gốc bằng phiên bản được mã hóa. Hầu hết các biến thể của ransomware đều thận trọng trong việc lựa chọn tệp để mã hóa nhằm đảm bảo sự ổn định của hệ thống. Một số biến thể cũng sẽ thực hiện các bước để xóa bản sao lưu và bản sao ẩn của tệp khiến việc khôi phục mà không cần khóa giải mã trở nên khó khăn hơn.

Bước 3. Yêu cầu tiền chuộc

Sau khi quá trình mã hóa tệp hoàn tất, phần mềm tống tiền sẽ sẵn sàng đưa ra yêu cầu tiền chuộc. Các biến thể ransomware khác nhau thực hiện điều này theo nhiều cách, nhưng không có gì lạ khi nền hiển thị được thay đổi thành ghi chú đòi tiền chuộc hoặc các tệp văn bản được đặt trong mỗi thư mục được mã hóa chứa ghi chú đòi tiền chuộc. Thông thường, những ghi chú này yêu cầu một lượng tiền điện tử nhất định để đổi lấy quyền truy cập vào tệp của nạn nhân. Nếu tiền chuộc được trả, kẻ điều hành ransomware sẽ cung cấp bản sao của khóa riêng được sử dụng để bảo vệ khóa mã hóa đối xứng hoặc bản sao của chính khóa mã hóa đối xứng. Thông tin này có thể được nhập vào chương trình giải mã (cũng do tội phạm mạng cung cấp), chương trình này có thể sử dụng thông tin đó để đảo ngược mã hóa và khôi phục quyền truy cập vào tệp của người dùng.

Mặc dù ba bước cốt lõi này tồn tại trong tất cả các biến thể của ransomware, nhưng các ransomware khác nhau có thể bao gồm các bước triển khai hoặc bước bổ sung khác nhau. Ví dụ: các biến thể ransomware như Maze thực hiện quét tệp, thông tin đăng ký và đánh cắp dữ liệu trước khi mã hóa dữ liệu và ransomware WannaCry quét các thiết bị dễ bị tấn công khác để lây nhiễm và mã hóa.

3. Các loại tấn công ransomware

Ransomware đã phát triển đáng kể trong vài năm qua. Một số loại ransomware quan trọng và các mối đe dọa liên quan bao gồm:

  • Double Extortion: Ransomware tống tiền kép như Maze kết hợp mã hóa dữ liệu với đánh cắp dữ liệu. Kỹ thuật này được phát triển để đáp trả các tổ chức từ chối trả tiền chuộc và thay vào đó khôi phục từ bản sao lưu. Bằng cách đánh cắp dữ liệu của một tổ chức, tội phạm mạng có thể đe dọa rò rỉ dữ liệu đó nếu nạn nhân không trả tiền.
  • Tống tiền ba lần: Ransomware tống tiền ba lần bổ sung thêm kỹ thuật tống tiền thứ ba để tống tiền gấp đôi. Thông thường, điều này bao gồm việc yêu cầu tiền chuộc từ khách hàng hoặc đối tác của nạn nhân hoặc thực hiện một cuộc tấn công từ chối dịch vụ (DDoS) phân tán chống lại công ty.
  • Locker Ransomware: Locker ransomware là ransomware không mã hóa các tập tin trên máy của nạn nhân. Thay vào đó, nó khóa máy tính — khiến nạn nhân không thể sử dụng được máy tính — cho đến khi tiền chuộc được trả.
  • Phần mềm tống tiền tiền điện tử: Phần mềm tống tiền tiền điện tử là tên gọi khác của phần mềm tống tiền nhằm nhấn mạnh thực tế rằng các khoản thanh toán bằng phần mềm tống tiền thường được thanh toán bằng tiền điện tử. Lý do cho điều này là tiền điện tử là loại tiền kỹ thuật số khó theo dõi hơn vì chúng không được quản lý bởi hệ thống tài chính truyền thống.
  • Wiper : Wiper là một dạng phần mềm độc hại có liên quan nhưng khác với ransomware. Mặc dù họ có thể sử dụng các kỹ thuật mã hóa giống nhau nhưng mục tiêu là từ chối vĩnh viễn quyền truy cập vào các tệp được mã hóa, có thể bao gồm việc xóa bản sao duy nhất của khóa mã hóa.
  • Ransomware as a Service (RaaS) : RaaS là một mô hình phân phối phần mềm độc hại trong đó các nhóm ransomware cung cấp cho "các chi nhánh" quyền truy cập vào phần mềm độc hại của chúng. Các chi nhánh này lây nhiễm phần mềm độc hại vào mục tiêu và chia mọi khoản thanh toán tiền chuộc cho các nhà phát triển ransomware.
  • Ransomware đánh cắp dữ liệu: Một số biến thể của ransomware tập trung vào việc đánh cắp dữ liệu, từ bỏ hoàn toàn việc mã hóa dữ liệu. Một lý do cho điều này là việc mã hóa có thể tốn thời gian và dễ bị phát hiện, tạo cơ hội cho tổ chức chấm dứt sự lây nhiễm và bảo vệ một số tệp khỏi bị mã hóa.

4. Các biến thể ransomware phổ biến

Có hàng chục biến thể ransomware tồn tại, mỗi biến thể đều có những đặc điểm riêng. Tuy nhiên, một số nhóm ransomware đã phát triển mạnh mẽ và thành công hơn những nhóm khác, khiến chúng nổi bật giữa đám đông.

4.1. Ryuk

Ryuk là một ví dụ về biến thể ransomware có mục tiêu rất cao. Nó thường được gửi qua email lừa đảo trực tuyến hoặc bằng cách sử dụng thông tin đăng nhập của người dùng bị xâm phạm để đăng nhập vào hệ thống doanh nghiệp bằng Giao thức máy tính từ xa (RDP). Khi hệ thống bị nhiễm độc, Ryuk sẽ mã hóa một số loại tệp nhất định (tránh những loại tệp quan trọng đối với hoạt động của máy tính), sau đó đưa ra yêu cầu tiền chuộc.

Ryuk nổi tiếng là một trong những loại ransomware đắt nhất hiện nay. Ryuk yêu cầu số tiền chuộc trung bình lên tới hơn 1 triệu USD. Do đó, tội phạm mạng đằng sau Ryuk chủ yếu tập trung vào các doanh nghiệp có nguồn lực cần thiết để đáp ứng nhu cầu của chúng.

4.2. Maze

Maze ransomware nổi tiếng là biến thể ransomware đầu tiên kết hợp mã hóa tập tin và đánh cắp dữ liệu. Khi các mục tiêu bắt đầu từ chối trả tiền chuộc, Maze bắt đầu thu thập dữ liệu nhạy cảm từ máy tính của nạn nhân trước khi mã hóa nó. Nếu yêu cầu tiền chuộc không được đáp ứng, dữ liệu này sẽ được công khai hoặc bán cho người trả giá cao nhất. Khả năng xảy ra một vụ vi phạm dữ liệu tốn kém đã được sử dụng như một động cơ bổ sung để thanh toán.

Nhóm đằng sau phần mềm ransomware Maze đã chính thức kết thúc hoạt động. Tuy nhiên, điều này không có nghĩa là mối đe dọa từ ransomware đã giảm đi. Một số chi nhánh của Maze đã chuyển sang sử dụng ransomware Egregor và các biến thể Egregor, Maze và Sekhmet được cho là có chung một nguồn.

4.3. REvil (Sodinokibi)

Nhóm REvil (còn được gọi là Sodinokibi) là một biến thể ransomware khác nhắm vào các tổ chức lớn.

REvil là một trong những dòng ransomware nổi tiếng nhất trên mạng. Nhóm ransomware do nhóm REvil nói tiếng Nga điều hành từ năm 2019 đã gây ra nhiều vụ vi phạm lớn như ' Kaseya ' và 'JBS'

Nó đã cạnh tranh với Ryuk trong nhiều năm qua để giành danh hiệu biến thể ransomware đắt nhất. REvil được biết là đã yêu cầu khoản tiền chuộc 800.000 USD.

Mặc dù REvil bắt đầu như một biến thể ransomware truyền thống, nhưng nó đã phát triển theo thời gian - Họ đang sử dụng kỹ thuật Double Extortion - để đánh cắp dữ liệu từ các doanh nghiệp đồng thời mã hóa các tệp. Điều này có nghĩa là, ngoài việc yêu cầu tiền chuộc để giải mã dữ liệu, những kẻ tấn công có thể đe dọa tiết lộ dữ liệu bị đánh cắp nếu khoản thanh toán thứ hai không được thực hiện.

4.4. LockBit

LockBit là phần mềm độc hại mã hóa dữ liệu hoạt động từ tháng 9 năm 2019 và gần đây là Ransomware-as-a-Service (RaaS). Phần mềm ransomware này được phát triển để mã hóa nhanh chóng các tổ chức lớn như một cách ngăn chặn sự phát hiện nhanh chóng của nó bởi các thiết bị bảo mật và nhóm CNTT/SOC.

4.5. DearCry

Vào tháng 3 năm 2021, Microsoft đã phát hành bản vá cho bốn lỗ hổng trong máy chủ Microsoft Exchange. DearCry là một biến thể ransomware mới được thiết kế để tận dụng bốn lỗ hổng được tiết lộ gần đây trong Microsoft Exchange

Phần mềm ransomware DearCry mã hóa một số loại tệp nhất định. Sau khi mã hóa xong, DearCry sẽ hiển thị thông báo đòi tiền chuộc hướng dẫn người dùng gửi email đến kẻ điều hành ransomware để tìm hiểu cách giải mã tệp của chúng.

4.6. Lapsus$

Lapsus$ là một băng đảng ransomware Nam Mỹ có liên quan đến các cuộc tấn công mạng nhằm vào một số mục tiêu cao cấp. Băng nhóm mạng này nổi tiếng với hoạt động tống tiền, đe dọa tiết lộ thông tin nhạy cảm nếu nạn nhân không thực hiện yêu cầu. Nhóm này đã tự hào đã đột nhập vào Nvidia, Samsung, Ubisoft và những công ty khác. Nhóm sử dụng mã nguồn bị đánh cắp để ngụy trang các tệp phần mềm độc hại là đáng tin cậy.

5. Ransomware ảnh hưởng đến doanh nghiệp như thế nào?

Một cuộc tấn công ransomware thành công có thể có nhiều tác động khác nhau đến doanh nghiệp. Một số rủi ro phổ biến nhất bao gồm:

  • Tổn thất tài chính: Các cuộc tấn công bằng ransomware được thiết kế để buộc nạn nhân phải trả tiền chuộc. Ngoài ra, các công ty có thể mất tiền do chi phí khắc phục sự lây nhiễm, hoạt động kinh doanh thua lỗ và các khoản phí pháp lý tiềm ẩn.
  • Mất dữ liệu: Một số cuộc tấn công bằng ransomware mã hóa dữ liệu như một phần trong nỗ lực tống tiền của chúng. Thông thường, điều này có thể dẫn đến mất dữ liệu, ngay cả khi công ty trả tiền chuộc và nhận bộ giải mã.
  • Vi phạm dữ liệu: Các nhóm ransomware đang ngày càng tập trung vào các cuộc tấn công tống tiền gấp đôi hoặc gấp ba. Những cuộc tấn công này kết hợp hành vi trộm cắp dữ liệu và khả năng bị lộ dữ liệu cùng với mã hóa dữ liệu.
  • Thời gian ngừng hoạt động: Ransomware mã hóa dữ liệu quan trọng và các cuộc tấn công tống tiền ba lần có thể kết hợp với các cuộc tấn công DDoS. Cả hai điều này đều có khả năng gây ra thời gian ngừng hoạt động cho một tổ chức.
  • Thiệt hại thương hiệu: Các cuộc tấn công bằng ransomware có thể gây tổn hại đến danh tiếng của tổ chức với khách hàng và đối tác. Điều này đặc biệt đúng nếu dữ liệu khách hàng bị xâm phạm hoặc họ cũng nhận được yêu cầu đòi tiền chuộc.
  • Các hình phạt pháp lý và quy định: Các cuộc tấn công bằng ransomware có thể được kích hoạt do sơ suất về bảo mật và có thể bao gồm việc vi phạm dữ liệu nhạy cảm. Điều này có thể khiến công ty phải đối mặt với các vụ kiện hoặc hình phạt do cơ quan quản lý áp dụng.

6. Các ngành mục tiêu phổ biến của ransomware

Ransomware có thể nhắm mục tiêu vào bất kỳ công ty nào trong tất cả các ngành dọc. Tuy nhiên, ransomware thường được triển khai như một phần của chiến dịch tội phạm mạng, thường nhắm vào một ngành cụ thể. Năm ngành công nghiệp mục tiêu của ransomware hàng đầu vào năm 2023 bao gồm:

  • Giáo dục/Nghiên cứu: Lĩnh vực Giáo dục/Nghiên cứu đã trải qua 2046 cuộc tấn công bằng ransomware vào năm 2023, giảm 12% so với năm trước.
  • Chính phủ/Quân đội: Các tổ chức chính phủ và quân đội là ngành bị nhắm mục tiêu nhiều thứ hai với 1598 cuộc tấn công và giảm 4% so với năm 2022.
  • Chăm sóc sức khỏe: Chăm sóc sức khỏe đã trải qua 1500 cuộc tấn công và tăng 3%, điều này đặc biệt đáng lo ngại do dữ liệu nhạy cảm và các dịch vụ quan trọng mà nó cung cấp.
  • Truyền thông: Các tổ chức truyền thông có mức tăng trưởng 8% vào năm 2023, tổng cộng 1493 cuộc tấn công đã biết.
  • ISP/MSP: ISP và MSP — mục tiêu phổ biến của ransomware do khả năng tấn công chuỗi cung ứng — đã trải qua 1286 cuộc tấn công bằng ransomware vào năm 2023, giảm 6%.

7. Cách bảo vệ chống lại ransomware

7.1. Sử dụng các phương pháp hay nhất

Việc chuẩn bị thích hợp có thể làm giảm đáng kể chi phí và tác động của một cuộc tấn công bằng ransomware. Thực hiện các phương pháp hay nhất sau đây có thể giúp tổ chức giảm khả năng tiếp xúc với phần mềm tống tiền và giảm thiểu tác động của nó:

  • Đào tạo và giáo dục nhận thức về mạng: Ransomware thường lây lan bằng cách sử dụng email lừa đảo. Đào tạo người dùng cách xác định và tránh các cuộc tấn công ransomware tiềm ẩn là rất quan trọng. Vì nhiều cuộc tấn công mạng hiện nay bắt đầu bằng một email được nhắm mục tiêu thậm chí không chứa phần mềm độc hại mà chỉ có một thông báo được thiết kế mang tính xã hội khuyến khích người dùng nhấp vào liên kết độc hại, nên giáo dục người dùng thường được coi là một trong những biện pháp phòng vệ quan trọng nhất. một tổ chức có thể triển khai.
  • Sao lưu dữ liệu liên tục:  Định nghĩa của Ransomware nói rằng đây là phần mềm độc hại được thiết kế để khiến việc trả tiền chuộc là cách duy nhất để khôi phục quyền truy cập vào dữ liệu được mã hóa. Sao lưu dữ liệu tự động, được bảo vệ cho phép tổ chức phục hồi sau một cuộc tấn công với mức độ mất dữ liệu ở mức tối thiểu và không phải trả tiền chuộc. Duy trì sao lưu dữ liệu thường xuyên như một quy trình định kỳ là một biện pháp rất quan trọng để ngăn ngừa mất dữ liệu và có thể khôi phục dữ liệu trong trường hợp hỏng hoặc trục trặc phần cứng đĩa. Các bản sao lưu chức năng cũng có thể giúp các tổ chức phục hồi sau các cuộc tấn công của ransomware.
  • Vá lỗi: Vá lỗi là một thành phần quan trọng trong việc bảo vệ khỏi các cuộc tấn công của ransomware vì tội phạm mạng thường tìm kiếm các cách khai thác mới nhất chưa được phát hiện trong các bản vá có sẵn và sau đó nhắm mục tiêu vào các hệ thống chưa được vá. Do đó, điều quan trọng là các tổ chức phải đảm bảo rằng tất cả các hệ thống đều được áp dụng các bản vá mới nhất, vì điều này làm giảm số lượng lỗ hổng tiềm ẩn trong doanh nghiệp để kẻ tấn công khai thác.
  • Xác thực người dùng: Truy cập các dịch vụ như RDP bằng thông tin xác thực người dùng bị đánh cắp là một kỹ thuật ưa thích của những kẻ tấn công ransomware. Việc sử dụng xác thực người dùng mạnh có thể khiến kẻ tấn công khó sử dụng mật khẩu bị đoán hoặc bị đánh cắp hơn.

7.2. Giảm bề mặt tấn công

Với chi phí tiềm ẩn cao của việc lây nhiễm ransomware, việc phòng ngừa là chiến lược giảm thiểu ransomware tốt nhất. Điều này có thể đạt được bằng cách giảm bề mặt tấn công bằng cách giải quyết:

  • Tin nhắn lừa đảo
  • Các lỗ hổng chưa được vá
  • Giải pháp truy cập từ xa
  • Phần mềm độc hại di động

7.3. Triển khai giải pháp chống ransomware

Nhu cầu mã hóa tất cả các tệp của người dùng có nghĩa là ransomware có dấu vân tay duy nhất khi chạy trên hệ thống. Các giải pháp chống ransomware được xây dựng để xác định những dấu vân tay đó. Các đặc điểm chung của một giải pháp chống ransomware tốt bao gồm:

  • Phát hiện biến thể rộng
  • Phát hiện nhanh
  • Tự động phục hồi
  • Cơ chế khôi phục không dựa trên các công cụ tích hợp thông thường (như 'Shadow Copy', vốn là mục tiêu của một số biến thể ransomware)

8. Làm thế nào để loại bỏ phần mềm tống tiền?

Thông báo đòi tiền chuộc không phải là thứ mà bất kỳ ai cũng muốn thấy trên máy tính của mình vì nó tiết lộ rằng việc lây nhiễm ransomware đã thành công. Tại thời điểm này, một số bước có thể được thực hiện để ứng phó với tình trạng lây nhiễm ransomware đang diễn ra và tổ chức phải đưa ra lựa chọn có trả tiền chuộc hay không.

9. Cách giảm thiểu sự lây nhiễm ransomware đang hoạt động

Nhiều cuộc tấn công bằng ransomware thành công chỉ được phát hiện sau khi quá trình mã hóa dữ liệu hoàn tất và thông báo đòi tiền chuộc hiển thị trên màn hình máy tính bị nhiễm. Tại thời điểm này, các tệp được mã hóa có thể không thể phục hồi được nhưng cần thực hiện ngay một số bước:

  • Cách ly máy: Một số biến thể của ransomware sẽ cố gắng lây lan sang các ổ đĩa được kết nối và các máy khác. Hạn chế sự lây lan của phần mềm độc hại bằng cách loại bỏ quyền truy cập vào các mục tiêu tiềm năng khác.
  • Để máy tính bật: Mã hóa tệp có thể khiến máy tính không ổn định và việc tắt nguồn máy tính có thể dẫn đến mất bộ nhớ dễ thay đổi. Luôn bật máy tính để tối đa hóa khả năng phục hồi.
  • Tạo bản sao lưu: Có thể giải mã tệp đối với một số biến thể của ransomware mà không phải trả tiền chuộc. Tạo một bản sao của các tệp được mã hóa trên phương tiện di động trong trường hợp có giải pháp trong tương lai hoặc nỗ lực giải mã không thành công làm hỏng tệp.
  • Kiểm tra bộ giải mã: Kiểm tra với No More Ransom Project để xem liệu có bộ giải mã miễn phí hay không. Nếu vậy, hãy chạy nó trên một bản sao của dữ liệu được mã hóa để xem liệu nó có thể khôi phục các tập tin hay không.
  • Yêu cầu Trợ giúp: Máy tính đôi khi lưu trữ bản sao lưu của các tệp được lưu trữ trên đó. Chuyên gia điều tra kỹ thuật số có thể khôi phục các bản sao này nếu chúng chưa bị phần mềm độc hại xóa.
  • Xóa và khôi phục: Khôi phục máy từ bản sao lưu sạch hoặc cài đặt hệ điều hành. Điều này đảm bảo rằng phần mềm độc hại được loại bỏ hoàn toàn khỏi thiết bị

10. Check Point có thể trợ giúp như thế nào

Công nghệ chống ransomware của Check Point sử dụng một công cụ được xây dựng có mục đích để bảo vệ khỏi các biến thể ransomware zero-day tinh vi, lẩn tránh nhất và khôi phục dữ liệu được mã hóa một cách an toàn, đảm bảo tính liên tục và năng suất của doanh nghiệp. Hiệu quả của công nghệ này đang được nhóm nghiên cứu của chúng tôi xác minh hàng ngày và liên tục cho thấy kết quả xuất sắc trong việc xác định và giảm thiểu các cuộc tấn công.

Harmony Endpoint, sản phẩm phản hồi và ngăn chặn điểm cuối hàng đầu của Check Point, bao gồm công nghệ Chống Ransomware và cung cấp khả năng bảo vệ cho trình duyệt web cũng như điểm cuối, tận dụng các biện pháp bảo vệ mạng hàng đầu trong ngành của Check Point. Harmony Endpoint cung cấp khả năng ngăn chặn và khắc phục mối đe dọa hoàn chỉnh, theo thời gian thực trên tất cả các vectơ đe dọa phần mềm độc hại, cho phép nhân viên làm việc an toàn dù họ ở đâu mà không ảnh hưởng đến năng suất.