Cảnh báo về mã độc tống tiền WannaCry và cách phòng chống

Ngày 12/5, một cuộc tấn công mạng quy mô cực lớn với khoảng 75.000 máy tính bị lây nhiễm trên 99 quốc gia bởi một loại mã độc tống tiền được biết tới có tên WannaCry.

Mã độc WannaCry là gì, cách lây nhiễm ra sao?

WannaCry là loại mã độc khi thâm nhập vào thiết bị, máy tính của người dùng hoặc máy tính trong hệ thống doanh nghiệp sẽ tự động mã hoá hàng loạt các tập tin theo những định dạng mục tiêu như văn bản tài liệu, hình ảnh... Người dùng cá nhân cũng như doanh nghiệp sẽ phải trả một khoản tiền không hề nhỏ nếu muốn lấy lại các dữ liệu đó.

Dựa vào hình ảnh được tải lên mạng xã hội cho thấy màn hình máy tính của Dịch vụ Y tế Quốc gia Anh (NHS) xuất hiện tin nhắn tống tiền 300 USD tiền Bitcoin với tuyên bố: " Dữ liệu của bạn đã bị mã hóa". Thông điệp yêu cầu đòi thanh toán tiền trong 3 ngày, nếu không giá sẽ tăng lên gấp đôi, và nếu tiền không được thanh toán trong 7 ngày, các dữ liệu sẽ bị xóa.

Về cách lây nhiễm, mã độc WannaCry tìm ra lỗ hổng bảo mật và lây nhiễm chúng bên trong tổ chức bằng cách khai thác lỗ hổng được công bố bởi công cụ NSA đã bị đánh cắp bởi nhóm hacker The Shadow Brokers. Mã độc tống tiền này chủ yếu khai thác vào lỗ hổng của giao thức SMB mà các tổ chức cá nhân chưa vá lỗ hổng kịp thời, tập trung vào Win2k8 R2 và Win XP.

Màn hình máy tính của Dịch vụ Y tế Quốc gia Anh (NHS) xuất hiện tin nhắn tống tiền 300 USD tiền Bitcoin​

Kiểu tấn công này khác với truyền thống là phải dùng sâu máy tính, tức chương trình tự nhân bản chính nó vào hệ thống máy tính và lừa người dùng click chuột vào link độc hại.

Ước tính vụ tấn công mạng diễn ra trên quy mô toàn cầu, ảnh hưởng tới khoảng 99 quốc gia, trong đó có Anh, Mỹ, Trung Quốc, Nga, Tây Ban Nha, Italy, Đài Loan (Trung Quốc), Việt Nam và nhiều quốc gia khác. Theo các chuyên gia của Intel, hiện lỗ hổng đã ghi nhận tại Hà Nội và Hồ Chí Minh, và có thể lan rộng trên toàn quốc.

Tính đến hết ngày 13/5, theo TheHackerNews, cuộc tấn công sử dụng mã độc tống tiền lớn nhất từ trước đến nay WannaCry đã lây nhiễm thành công hơn 200.000 máy tính sử dụng hệ điều hành Windows tại ít nhất 99 quốc gia. Chỉ ngay trong vài giờ đầu phát tán, số tiền nhóm tin tặc đứng đằng sau WannaCry thu được là khoảng 30.000 USD.

Không dừng lại, một phiên bản nâng cấp tinh vi hơn của của WannaCry là WannaCry 2.0 vừa được nhóm tin tặc phát tán và đang tiếp tục lây nhiễm sang hàng trăm nghìn máy tính trên toàn cầu.

Cách phóng chống và đối phó WannaCry

Theo nhận định từ chuyên gia CMC INFOSEC, trong tuần tới, nhóm tin tặc sẽ còn chứng kiến thêm rất nhiều biến thể mới của WannaCry cũng như các loại mã độc mới phức tạp hơn. Điểm khác biệt của dòng WannaCry là chúng không thực hiện hành vi lây nhiễm dựa trên việc phát tán các email và link chứa mã độc mà hoạt động dựa vào lỗ hổng trong giao thức SMB của Windows nên chúng lây lan với tốc độ rất nhanh.

Vì vậy, việc làm cấp thiết trong thời điểm hiện tại là tạm thời disable SMB và liên tục cập nhật các bản vá lỗi với hệ điều hành Windows, đặc biệt là với các máy chủ. Bên cạnh đó, người dùng vẫn cần đề phòng việc mở các email và file lạ không rõ nguồn gốc.

Doanh nghiệp và người dùng có thể tải bản vá khẩn của Microsoft, dành cho lỗi trong giao thức SMB, sử dụng cho cả những phiên bản không còn được hỗ trợ bao gồm Windows XP, Vista, Windows8, Server2003 và 2008.

WannaCry đã xuất hiện phiên bản mới 2.0​

Cũng theo chuyên gia từ CMC InfoSec, mã độc chủ yếu khai thác lỗ hổng phiên bản máy chủ Windows 2008 R2, phiên bản mà đa số các doanh nghiệp và cơ quan nhà nước Việt Nam hiện nay vẫn đang sử dụng và Windows XP vẫn còn tồn tại cũng không ngoại lệ. Ngoài ra, lỗ hổng xuất hiện gần đây, nhiều tổ chức cá nhân chưa kịp nắm bắt thông tin kịp thời để vá hổng từ đó dẫn đến nguy cơ rất cao trong việc lây nhiểm mã độc trên diện rộng.

Để phòng chóng WannaCry, chuyên gia từ CMC InfoSec khuyến nghị đến các tổ chức, doanh nghiệp, khách hàng cá nhân nên ngay lập tức vá các lỗ hổng bảo mật máy chủ và máy cá nhân sử dụng hệ điều hành Windows, chủ yếu lỗ hổng EternalBlue (MS17-010).

Bên cạnh đó, cần thường xuyên sao lưu dữ liệu và có các phương án backup dữ liệu của doanh nghiệp; đề phòng các link lạ, trong đó đối với các doanh nghiệp tốt nhất nên có một máy riêng để nhân viên remote khi họ nghi ngờ mail không an toàn; đối với người dùng cá nhân luôn cài phần mềm chống virus trên di động và máy tính, đặc biệt là các phần mềm chuyên biệt dành cho mã độc mã hoá dữ liệu.

Nguồn: VTV​

Cập nhật thêm bài post của page Cộng đồng yêu Game Offline Việt

[Cách chống Virus Ransomware mới nhất]
Anh em trong Group chú ý! Trên mạng hiện tại xuất hiện dòng Ransomware WannaCry, lây lan rộng rãi với nhiều biến thể khác nhau để qua mặt các phần mềm AntiVirus. Hiện tại trên thế giới đã có hàng triệu thiết bị đã bị nhiễm và ảnh hưởng.
Thông tin cụ thể:
- Rasomware: Mã hóa dữ liệu đòi tiền chuộc.
- Lây nhiễm thông qua liên kết và file Download.
Vì vậy Admin gửi cảnh báo tới toàn thể anh em trong cộng đồng Game Offline như sau:
- Tuyệt đối cẩn thận khi nhận các file đính kèm hoặc từ các liên kết lạ.
- Cài đặt phần mềm để phòng chống theo gợi ý sau (https://ransomfree.cybereason.com) -
- Các bạn hiểu biết về kỹ thuật có thể thực hiện phương pháp sau để ngăn chặn lây nhiễm loại Ransomware này:
. Copy đoạn sau vào file txt
. Lưu file dưới dạng *.reg
. Chạy file dưởi quyền Administrator trong Windows.
-----------------------------------------------------------------------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskdl.exe]
"Debugger"="taskkill /IM /F taskdl.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskse.exe]
"Debugger"="taskkill /IM /F taskse.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ wannacry.exe]
"Debugger"="taskkill.exe /IM /F wannacry.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mssecsvc.exe]
"Debugger"="taskkill.exe /IM /F mssecsvc.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasksche.exe]
"Debugger"="taskkill.exe /IM /F tasksche.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskhsvc.exe]
"Debugger"="taskkill.exe /IM /F taskhsvc.exe"