c
CONFIDENTIAL
D án: Australian Government Cyber Security Training Development Program
for Vietnam - Chương trình Phát triển Năng lực An toàn thông tin Vit Nam
ca Chính ph Úc
Tháng 1/2025
S tay ng phó S c
Ransomware
© CyberCX-VNCERT/CC 2025 2
Ni dung
1 Gii thiu ......................................................................................................................................... 4
1.1 Mục đích và mục tiêu ............................................................................................................. 4
1.2 Đối tượng ............................................................................................................................... 4
1.3 Các tiêu chun và khung tham chiếu ..................................................................................... 4
1.4 Ưu tiên ứng phó s c ........................................................................................................... 5
1.5 Thm quyn và Xem xét ......................................................................................................... 5
2 Gii thiu ......................................................................................................................................... 6
3 Cách s dng S tay ........................................................................................................................ 6
4 Điu tra ............................................................................................................................................ 7
5 Ngăn chặn ...................................................................................................................................... 17
6 Loi b ........................................................................................................................................... 21
7 Phc hi ......................................................................................................................................... 23
Ph lục A Điều tra Ransomware ............................................................................................................ 25
Ph lc B Ví d các Thông báo tng tin ............................................................................................... 26
Ph lc C Nghiên cu các biến th và tác nhân đe da ransomware ................................................... 28
Ph lc D Mu thông báo cho nhân viên .............................................................................................. 29
Ph lc E Đàm phán Ransomware......................................................................................................... 31
Danh sách các Bng
Bng 1: Kim soát và Xem xét Tài liu ..................................................................................................... 5
Bng 2: Kim soát Phiên bn ................................................................................................................... 5
Bng 3: Quy trình Cô lp ngay lp tc ..................................................................................................... 8
Table 4: Tài nguyên CVE ........................................................................................................................ 15
Bng 5: Tài nguyên B sung ................................................................................................................... 15
Bng 6: Quy trình Điều tra ..................................................................................................................... 16
Bng 7: Cân nhc v liên lc kênh riêng ................................................................................................ 19
Table 8: Quy trình Ngăn chặn ................................................................................................................ 20
Bng 9: Quy trình Loi b ...................................................................................................................... 22
Bng 10: Quy trình Khôi phc ................................................................................................................ 24
Bng 11: Các ngun gii .................................................................................................................. 28
Bng 12: Ngun Quc tế ....................................................................................................................... 28
Bảng 14: Ưu và nhược điểm ca các la chọn tương tác vi tác nhân Ransomware .......................... 32
Bng 13: Các cân nhc khi Thanh toán Tin chuc Ransomware ......................................................... 33
© CyberCX-VNCERT/CC 2025 3
Danh sách các Hình
Hình 1: Thông báo ca ransomware Conti ............................................................................................ 26
Hình 2: Thông báo ca ransomware Peyta ........................................................................................... 26
Hình 3: Trang web thông tin Rò r ca Ransomware Conti ................................................................... 27
Hình 4: Trang web Rò r ca Ransomware Conti ................................................................................... 27
© CyberCX-VNCERT/CC 2025 4
1 Gii thiu
1.1 Mục đích và mục tiêu
S tay ng phó Phn mm tng tin Ransomware (Ransomware Playbook, gi tt là S tay ng phó
S c Ransomware) này h tr cho các t chc thành viên Mạng lưới ng cu s c an toàn thông
tin mng quc gia (gi tt là Mạng lưi UCSC) xây dng Kế hoch ng phó đối vi s c tn công
tng tin.
Tài liu này khuyến ngh các hành động nên thc hin khi phát hin Ransomware. Danh sách các
hành động này th không đầy đủ, và các giai đoạn có th đưc thc hiện đồng thi. Các t chc
có th b sung thêm các hành động ngoài các hướng dn trong S tay này cũng như có thể gim bt
các hành động được nêu trong S tay nếu không phù hp vi quá trình ng phó s c thc tế.
S tay này không nêu chi tiết vic xem xét cho các s c loi khng hoảng, cũng như chi tiết cho hot
động truyn thông cn thiết. Đội ng cu s c nên tham kho thêm Kế hoch ng phó s c an
toàn thông tin.
S tay Ransomware này không bao gm các ng dn k thut c th cho vic ng phó.
Trong trường hp xy ra s c an toàn thông tin mng nghiêm trng, khuyến ngh các đơn vị tham
khảo quy định ti Quyết định 05/2017/QĐ-TTg và báo cho cơ quan điều phi quc gia h tr.
1.2 Đối tượng
S tay Ransomware này dành cho:
Trung tâm ng cu khn cp không gian mng Vit Nam (VNCERT/CC).
Thành viên Mạng lưới ng cu s c an toàn thông tin mng quc gia.
Các t chc, doanh nghip trong nưc có nhu cu tham kho, áp dng.
1.3 Các tiêu chun và khung tham chiếu
S tay này đã xem xét và sử dng các tiêu chun và tham chiếu sau:
Vin Tiêu chun và Công ngh Quc gia Hoa K NIST: Computer Security Incident Handling
Guide ng dn x lý s c bo mt máy tính,
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf
Trung tâm An toàn mng Úc: Cyber Incident response Plan Guidance and Template - ng
dn và Mu Kế hoch ng phó s c mng, https://www.cyber.gov.au/resources-business-
and-government/governance-and-user-education/incident-response/cyber-security-
incident-response-planning-practitioner-guidance
Ngoài ra, trong S tay Ransomware này, tham kho thông tin k thut ca các quan an toàn
thông tin mng quc gia và các công ty an toàn mạng hàng đầu trong ngành:
Trung tâm An toàn mng Úc ACSC (https://www.cyber.gov.au)
Trung tâm An toàn mng Vương quc Anh NCSC-UK (https://www.ncsc.gov.uk/)
Cơ quan An toàn mng và An toàn Cơ sở h tng Hoa K CISA (https://www.cisa.gov/)
Vin Công ngh SANS (https://www.sans.org)
Công ty CyberCX - Úc (https://cybercx.com.au/
Vin Tiêu chun và Công ngh Quc gia Hoa K NIST (https://www.nist.gov/)
© CyberCX-VNCERT/CC 2025 5
1.4 Ưu tiên ứng phó s c
Các t chc Thành viên Mạng lưới UCSC s ưu tiên tiến hành ng phó các s c an toàn thông tin
mng theo trình t sau:
1) Bo v tính mạng và an toàn con người: nếu mt s c an toàn thông tin mng th gây
thương tích hoặc t vong cho con người, ưu tiên hàng đầu trong vic ng phó vi s c đó là
bo v an toàn của con người.
2) Duy trì/khôi phc hoạt động ca các h thng trng yếu quc gia: nếu mt s c an toàn
thông tin mạng đang ảnh hưởng đến mt h thng trng yếu cung cp dch v cho công dân
Vit Nam, thì vic duy trì hoc khôi phc hoạt động ca h thống đó là ưu tiên.
3) Thu thp bng chng k thut s: nếu không xung đột với hai ưu tiên trên, vic thu thp bng
chng thích hợp để h tr điu tra k ng v s c an toàn thông tin mng và có th đưa ra
bng chng ti toà án là một ưu tiên.
4) Phc hi kp thi sau s c: nếu không xung đột với ba ưu tiên trên, ưu tiên s đảm bo
phc hi nhanh chóng sau s c an toàn thông tin mngđưa hoạt động tr li bình thường.
1.5 Thm quyn và Xem xét
[Giám đốc/Người được u quyn ca T chc] có thm quyn phê duyt tài liệu này để áp dng trong
toàn t chc.
Hàng năm, tài liệu này phải được [Giám đốc/Người được u quyn ca T chc] xem xét để đảm bo
tài liệu luôn được cp nht. S dng Bng 1 và Bng 2 để ghi li tt c các cp nht và phê duyt đi
vi S tay này.
Kim soát Tài liu
Tác gi
CyberCX VNCERT/CC
Ch s hu
T chức …
Ngày to
Tên người/đơn vị xem xét ln cui
Ngày xem xét ln cui
Tên người/đơn vị phê duyt ln cui
và ngày
Ngày xem xét tiếp theo
Bng 1: Kim soát và Xem xét Tài liu
Phiên bn
Ngày phê duyt
Đưc phê duyt bi
1.0
…/…/2024
Cc An toàn thông tin
1.1
…/….2024
Bng 2: Kim soát Phiên bn