Tìm hiểu mã độc tống tiền WannaCrypt và phương pháp phòng chống

Cập nhật: 14:13 Ngày 18/05/2017

Tìm hiểu mã độc tống tiền WannaCrypt và phương pháp phòng chống


Nhiều ngày nay, thông tin về mã độc tống tiền (Virus Wanna Cry) đang là thông tin nóng trên toàn cầu. Sự ảnh hưởng của mã độc này khá nghiêm trọng. Bài viết sưu tầm sẽ giúp các bạn tìm hiểu về loại virus tống tiền Wanna Cry và một số phương pháp phòng chống.

Khoảng 75.000 máy tính trên toàn cầu, trong đó có cả ở Việt Nam, bị dính mã độc đòi tiền chuộc (ransomware), gây ảnh hưởng nghiêm trọng tới nhiều công ty, tổ chức. Mã độc tống tiền có tên WannaCry đang lan rộng khắp thế giới, bao gồm Anh, Mỹ, Trung Quốc, Nga, Đài Loan hay Việt Nam... Hàng nghìn máy tính đã bị khóa và đòi 300 USD tiền chuộc thông qua Bitcoin.
 

Đáng chú ý, mã độc tống tiền nêu trên và các biến thể của nó khai thác một lỗ hổng trên hệ điều hành Windows mà Cơ quan An ninh Quốc gia Mỹ (NSA) nắm giữ. Tội phạm mạng đã sử dụng chính những công cụ của NSA để lây lan ransomware.

Khi bị nhiễm mã độc WannaCry, người dùng sẽ khó phát hiện ra đến khi nó tự gửi thông báo cho biết máy tính đã bị khóa, mọi tập tin bị mã hóa. Bạn chỉ có thể khôi phục dữ liệu nếu trả 300 USD cho kẻ tấn công, thanh toán qua tiền ảo Bitcoin.

Sau 3 ngày mà chưa làm, mức tiền chuộc sẽ tăng lên gấp đôi và hết thời hạn 7 ngày nhưng chưa thanh toán thì dữ liệu của người dùng sẽ bị mất. Mã độc ghi đầy đủ thông tin thanh toán, đếm lùi thời gian và được thể hiện bằng nhiều ngôn ngữ.

Wanna Cry là gì?

Trong mấy ngày qua trên không gian mạng đang phải chống đỡ với cuộc tấn công mạng mang tên Wanna Cry (hay còn gọi bằng các tên khác nhau như WannaCrypt, WannaCrypt0r 2.0 hay Wanna Decryptor). Đây là loại mã độc tống tiền đòi trả chuộc bằng bitcoin lây nhiễm trên diện rộng đối với các máy tính Windows.

WannaCrypt chỉ trong vài giờ đã lây nhiễm tới hơn 100 nghìn máy tính trên thế giới. Theo Bkav ghi nhận thì đã có những trường hợp lây nhiễm mã độc này tại Việt Nam và thực tế trên Facebook đã có chia sẻ những bức ảnh cho thấy cả cơ quan đều dính loại mã độc tống tiền này.

b2-cach-phong-chong-wanna-crypt-ma-doc-tong-tien-wanna-cry-la-gi.jpg

Trên Facebook đã có chia sẻ những bức ảnh cho thấy có cơ quan đồng loạt dính loại mã độc tống tiền WannaCrypt. Nguồn: nhóm Facebook Quản Trị & Bảo Mật Hệ Thống.

Loại mã độc tống tiền màu có khả năng quét toàn bộ các máy tính trong cùng mạng để tìm kiếm và lây trực tiếp vào các máy có chứa lỗ hổng EternalBlue mà không cần người dùng phải thao tác trực tiếp với file đính kèm hay link độc hại, vì vậy chỉ cần một máy tính trong cơ quan, doanh nghiệp bị nhiễm mã độc, toàn bộ các máy tính khác trong mạng sẽ có nguy cơ bị mã độc tấn công, mã hoá dữ liệu.

Theo nhận định của các chuyên gia Bkav, WannaCrypt có thể xếp vào mức nguy hiểm cao nhất vì vừa lây lan nhanh vừa có tính phá hoại nặng nề. Kiểu lây nhiễm của mã độc tuy không mới, nhưng cho thấy xu hướng tận dụng các lỗ hổng mới để tấn công, kiếm tiền sẽ còn được hacker sử dụng nhiều trong thời gian tới, đặc biệt là các lỗ hổng của hệ điều hành.

Tổng hợp cách phòng chống WannaCrypt

Kiểm tra máy tính đã nhiễm WannaCrypt chưa?

Mới sáng nay 15/5 Bkav phát hành công cụ miễn phí giúp người sử dụng quét kiểm tra xem máy tính có đang bị nhiễm WannaCrypt không. Quan trọng hơn, công cụ này có thể kiểm tra và cảnh báo nếu máy tính có chứa lỗ hổng EternalBlue - lỗ hổng mà WannaCrypt đang khai thác để xâm nhập máy tính.

Để tải về công cụ này chúng vào địa chỉ Bkav.com.vn/Tool/CheckWanCry.exe (bấm vào đây). Với công cụ này thì chúng ta không cần cài đặt mà có thể khởi chạy luôn file .exe vừa tải về để quét, và chúng ta có thể chọn quét từng ổ đĩa (Riêng người sử dụng Bkav Pro hoặc Bkav Endpoint sẽ không cần công cụ này vì đã có tính năng tự động bảo vệ).

a1-cach-phong-chong-wanna-crypt-ma-doc-tong-tien-wanna-cry-la-gi.jpg

Phòng chống Wanna Crypt: Với công cụ kiểm tra của Bkav thì chúng ta không cần cài đặt mà có thể khởi chạy luôn file .exe vừa tải về để quét, và chúng ta có thể chọn quét từng ổ đĩa

Phòng tránh WannaCrypt như thế nào?

Trong hướng dẫn mà Cục An toàn thông tin (Bộ TT&TT) mới ban hành có đưa ra những biện pháp khá cụ thể để phòng tránh mã độc tống tiền WannaCrypt. Theo đó đối với cá nhân cần thực hiện cập nhật ngay các phiên bản hệ điều hành Windows đang sử dụng. Riêng đối với các máy tính sử dụng Windows XP, sử dụng bản cập nhật mới nhất dành riêng cho sự vụ này tại đây hoặc tìm kiếm theo từ khóa bản cập nhật KB4012598 trên trang chủ của Microsoft hoặc cụ thể là trên địa chỉ catalog.update.microsoft.com.

Và theo như hướng dẫn của Bkav thì với các thế hệ Windows 7, Windows 8 hay Windows 10, để cập nhật bản mới nhất chúng ta chỉ cần vào Windows Update bằng cách gõ tìm kiếm trong Start Menu hoặc Start Screen, sau đó cập nhật cho đến khi không cập nhật được nữa thì thôi.

d1-cach-phong-chong-wanna-crypt-ma-doc-tong-tien-wanna-cry-la-gi.jpg

Phòng chống Wanna Crypt: Với các thế hệ Windows 7, Windows 8 hay Windows 10, để cập nhật bản mới nhất chúng ta chỉ cần vào Windows Update bằng cách gõ tìm kiếm trong Start Menu hoặc Start Screen.

d2-cach-phong-chong-wanna-crypt-ma-doc-tong-tien-wanna-cry-la-gi.jpg

Phòng chống Wanna Crypt: Theo khuyến cáo của Bkav thì để phòng tránh vWannaCrypt chúng ta cần cập nhật Windows cho đến khi không cập nhật được nữa thì thôi.

Về nâng cao khả năng phòng tránh, Cục An toàn thông tin khuyến cáo các cá nhân cũng cần cập nhật ngay các chương trình diệt virus đang sử dụng. Đối với các máy tính không có phần mềm diệt virus thì người dùng cần tiến hành cài đặt và sử dụng ngay một phần mềm có bản quyền. Bên cạnh đó người dùng cần nâng cao cảnh giác, cẩn trọng khi nhận được email có đính kèm và các đường link lạ được gửi trong email, trên các mạng xã hội, công cụ chat…

Người dùng cũng cần thận trọng khi mở các file đính kèm ngay cả khi nhận được từ những địa chỉ quen thuộc, nên sử dụng các công cụ kiểm tra phần mềm độc hại trực tuyến hoặc có bản quyền trên máy tính với các file này trước khi mở ra. Đặc biệt người dùng không mở các đường dẫn có đuôi .hta hoặc đường dẫn có cấu trúc không rõ ràng, các đường dẫn rút gọn link. Và tất nhiên chúng ta cần thực hiện biện pháp lưu trữ dữ liệu quan trọng ngay.

Đối với tổ chức, doanh nghiệp, đặc biệt là với các quản trị viên hệ thống Cục An toàn thông tin cho biết cần phải kiểm tra ngay lập tức các máy chủ và tạm thời khóa (block) các dịch vụ đang sử dụng các cổng 445/137/138/139. Tổ chức, doanh nghiệp cần tiến hành các biện pháp cập nhật sớm, phù hợp theo từng đặc thù cho các máy chủ Windows của tổ chức; tạo các bản snapshot đối với các máy chủ ảo hóa đề phòng việc bị tấn công; cập nhật các máy trạm đang sử dụng hệ điều hành Windows; cập nhật cơ sở dữ liệu cho các máy chủ Antivirus Endpoint đang sử dụng. Đối với hệ thống chưa sử dụng các công cụ này thì cần triển khai sử dụng các phần mềm Endpoint có bản quyền và cập nhật mới nhất ngay cho các máy trạm.

Tổ chức, doanh nghiệp tận dụng các giải pháp đảm bảo an toàn thông tin đang có sẵn trong tổ chức như Firewall, IDS/IPS, SIEM…để theo dõi, giám sát và bảo vệ hệ thống trong thời điểm nhạy cảm này. Cập nhật các bản cập nhật từ các hãng bảo mật đối với các giải pháp đang có sẵn. Đồng thời thực hiện ngăn chặn, theo dõi các tên miền đang được mã độc WannaCrypt sử dụng.

Tổ chức, doanh nghiệp cần cân nhắc việc ngăn chặn (block) việc sử dụng Tor trong mạng và thực hiện biện pháp lưu trữ (backup) dữ liệu quan trọng ngay, đồng thời cảnh báo tới người dùng các biện pháp như nêu trên.

Để tham khảo thêm công cụ quét kiểm tra WannaCrypt cho Windows Server, chúng ta có thể xem ở đây.

Và để đảm bảo an toàn cho các máy tính trong mạng nội bộ chúng ta có thể tắt tạm thời chức năng SMB, đặc biệt cần thiết khi trong mạng đã có dấu hiệu một máy tính nhiễm WannaCrypt. Hãy xem thêm hướng dẫn tắt SMB ở đây.

Khi gặp vấn đề với Wanna Crypt các tổ chức, doanh nghiệp hãy liên hệ ngay với các cơ quan chức năng cũng như các tổ chức, doanh nghiệp trong lĩnh vực an toàn thông tin để được hỗ trợ khi cần thiết.