Công cụ ngăn ngừa Ransomware cho ổ cứng của bạn

Hiểm họa phần mềm gián điệp tống tiền (Ransomware) đã gia tăng nhanh đến mức các tác giả ransomware đang bắt đầu lạm dụng MBR để khóa toàn bộ hệ thống máy tính của nạn nhân thay vì chỉ mã hóa các file quan trọng như trong các cuộc tấn công trước đây.

Nhóm Talos của công ty mạng nổi tiếng toàn cầu Cisco vừa công bố một phần mềm nguồn mở miễn phí để giúp đỡ người dùng tự bảo vệ mình trước các hiểm họa kiểu ransomware hiện nay.

Phần mềm được đặt tên MBRFilter sẽ là người gác cổng cho máy tính của bạn trước các malware nhắm vào MBR như Satana, các ransomware Petya hay HDDCryptor.

MBRFilter có sẵn cả 2 phiên bản 32-bit và 64-bit, và source code (mã nguồn) cũng được Cisco đưa lên kho phần mềm GitHub.

The Hacker News đã có bài viết giải thích về MBR và cơ chế của phần mềm MBRFilter.

Theo đó, MBR (Master Boot Record) là sector đầu tiên có độ dài 512 bytes trên ổ cứng, nơi lưu trữ bootloader, đoạn mã quản lý việc khởi động hệ điều hành (HĐH) đang có trên ổ cứng.

Về mặt kỹ thuật, bootloader là đoạn code đầu tiên của HĐH được thực thi ngay sau khi máy tính khởi động và chạy BIOS hệ thống.

Các chương trình malware cao cấp như rootkit và bootkit lợi dụng đặc điểm trên của bootloader để lây nhiễm vào máy tính bằng cách điều chỉnh MBR nhằm đón đầu trước các chương trình chống virus (vốn chỉ có thể chạy sau HĐH). Sau đó, các bootkits sẽ cài đặt ransomware hay 1 phần mềm độc hại nào đó rất khó phát hiện vào nhân Windows để có được quyền truy cập trái phép toàn bộ máy tính nạn nhân một cách không hạn chế.

(Rootkit là các phần mềm được thiết kế để truy cập trái phép máy tính hoặc các phần mềm trong máy mà không bị người dùng phát hiện. Bootkit là một dạng rootkits cấp độ boot, cách gọi trước đây chỉ các malware- phần mềm mã độc lây nhiễm vào MBR để không bị các chương trình chống virus tìm thấy)

Vì vậy, cách tốt nhất để bảo vệ máy tính trước các cuộc tấn công bootkits là hạn chế việc ghi lại hoặc ghi đè lên MBR của các phần mềm chưa được cấp phép.

Để ngăn các phần mềm hoặc malware khác điều chỉnh dữ liệu trong MBR, MBRFilter hoạt động như 1 driver hệ thống được đăng ký với nhiệm vụ đưa MBR vào trạng thái chỉ đọc. Sau khi được cài đặt, nó sẽ yêu cầu hệ thống khởi động vào chế độ Safe Mode để có thể truy cập và điều chỉnh Sector 0 của ổ đĩa.

Talos cho biết thêm trên blog “MBRFilter là một bộ lọc đĩa đơn giản dựa trên các driver mẫu diskperf và classpnp của Microsoft. Được dùng để ngăn ngừa malware ghi vào Sector 0 của mọi thiết bị đĩa kết nối vào hệ thống”.

Trước đó, Microsoft cũng đã đưa tính năng xác thực mã hóa bootloader vào các phiên bản Windows kể từ Windows 8 trở về sau. Tính năng này hoạt động dựa trên cơ chế Secure Boot của BIOS trên các máy tính đời mới (UEFI) bắt buộc máy tính khởi chạy HĐH đã được đăng ký bởi Microsoft chứ không chạy bất kỳ phần mềm nào như các BIOS đời cũ. Secure Boot đảm bảo các malware dù có chỉnh sửa MBR vẫn không thể khởi động “ăn theo” HĐH rồi bí mật phá hoại hệ thống. Nhược điểm của Secure Boot là không hoạt động trên các Windows cũ và trên các đĩa phân vùng theo MBR. Tuy nhiên, người dùng có thể cấu hình lại Secure Boot để BIOS cho phép chạy HĐH được mình chứng nhận, không chỉ là HĐH có chứng nhận của Microsoft. Nhờ đó mà các bản phân phối Linux phổ biến như Ubuntu, Fedora, Red Hat vẫn có thể chạy suôn sẻ trên các PC mới.

 

Be the first to comment

Leave a Reply

Your email address will not be published.


*