Vừa qua, một cuộc tấn công mạng quy mô cực lớn với khoảng 75.000 máy tính bị lây nhiễm trên 99 quốc gia bởi một loại mã độc tống tiền được biết tới có tên Wanna Cry. Vậy Wanna Cry là gì và cách phòng chống như thế nào, mời các bạn theo dõi bài viết sau đây nhé.
Tìm hiểu rõ hơn về mã độc Wanna Cry là gì?
Wanna Cry là gì? Vừa qua, một cuộc tấn công mạng quy mô cực lớn với khoảng 75.000 máy tính bị lây nhiễm trên 99 quốc gia bởi một loại mã độc tống tiền được biết tới có tên Wanna Cry. Đây là gì và cách phòng chống như thế nào, mời các bạn theo dõi bài viết sau đây.
Ransomware Wanna Cry là gì?
WannaCry là loại mã độc khi thâm nhập vào thiết bị, máy tính của người dùng hoặc máy tính trong hệ thống doanh nghiệp sẽ tự động mã hoá hàng loạt các tập tin theo những định dạng mục tiêu như văn bản tài liệu, hình ảnh… Người dùng cá nhân cũng như doanh nghiệp sẽ phải trả một khoản tiền không hề nhỏ nếu muốn lấy lại các dữ liệu đó.
Về cách lây nhiễm, mã độc WannaCry tìm ra lỗ hổng bảo mật và lây nhiễm chúng bên trong tổ chức bằng cách khai thác lỗ hổng được công bố bởi công cụ NSA đã bị đánh cắp bởi nhóm hacker The Shadow Brokers. Mã độc tống tiền này chủ yếu khai thác vào lỗ hổng của giao thức SMB mà các tổ chức cá nhân chưa vá lỗ hổng kịp thời, tập trung vào Win2k8 R2 và Win XP.
Kiểu tấn công này khác với truyền thống là phải dùng sâu máy tính, tức chương trình tự nhân bản chính nó vào hệ thống máy tính và lừa người dùng click chuột vào link độc hại.
Ước tính vụ tấn công mạng diễn ra trên quy mô toàn cầu, ảnh hưởng tới khoảng 99 quốc gia, trong đó có Anh, Mỹ, Trung Quốc, Nga, Tây Ban Nha, Italy, Đài Loan (Trung Quốc), Việt Nam và nhiều quốc gia khác. Theo các chuyên gia của Intel, hiện lỗ hổng đã ghi nhận tại Hà Nội và Hồ Chí Minh, và có thể lan rộng trên toàn quốc.
Sự nguy hiểm của mã độc tống tiền Wanna Cry là gì?
Mã độc Wanna Cry được bổ sung khả năng lây nhiễm trên các máy tính theo kết nối ngang hàng. Cụ thể hơn, ngay khi lây nhiễm vào máy tính của nạn nhân, Wanna Cry sẽ tiền hành quá trình mã hoá toàn bộ dữ liệu, tiếp theo đó mã độc này sẽ thực hiện việc quét toàn bộ máy tính trong cùng mạng để tìm kiếm thiết bị có lỗ hổng EternalBlue của dịch vụ SMB.
Lúc này, Wanna Cry sẽ tiếp tục lây lan sang các máy tính có lỗ hổng Eternal. Quá trình lây nhiễm, quét máy tính sẽ thực hiện liên tục và dừng khi không còn máy tính nào trong cùng mạng có lỗ hổng Eternal.
Quá trình xâm nhập, mã hoá dữ liệu và lây nhiễm của Wanna Cry diễn ra rất nhanh, do đó bạn hoàn toàn có thể biết được máy tính của mình đã nhiêm Wanna Cry hay chưa. Ngay khi việc mã hoá dữ liệu hoàn tất, một cửa sổ với nền màu đỏ hiện lên để thông báo rằng máy tính đã bị khoá và mọi dữ liệu đều bị mã hoá, người dùng sẽ cần phải trả một khoản tiền Bitcoin đến địa chỉ của kẻ tấn công để có thể lấy lại quyền truy cập dữ liệu. Tuy theo mức độ quan trọng cũng như quy mô dữ liệu mà mức tiền chuộc là ít hay nhiều.
Những con số thống kê khác
Sau 3 ngày liên tục mà kẻ tấn công không nhận được tiền, mức tiền chuộc để mở khoá dữ liệu sẽ tăng lên gấp 2. Thậm chí sẽ bị mất sạch nếu sau 7 ngày kể từ thời điểm đưa ra thông báo mà hacker vẫn chưa nhận được tiền chuộc.
Để tiện hơn cho quá trình trả tiền chuộc, những kẻ tấn công thậm chí còn lập trình Wanna Cry hiển thị thông báo dưới nhiều ngôn ngữ khác nhau tuỳ theo khu vực của máy tính bị lây nhiễm. Như vậy, người dùng có thể thấy được độ nguy hiểm của Wanna Cry và hoàn toàn “muốn khóc” (Wanna Cry) nếu như không may máy tính của mình bị lây nhiễm
Tuy nhiên, một chuyên gia an ninh mạng đến từ Anh có tên Marcus Hutchins hiện đã tìm ra cách vô hiệu hoá Wanna Cry. Bằng cách chuyển hướng kết nối của mã độc Ransomware đến một địa chỉ web khác an toàn hơn và không bị đánh cắp dữ liệu. Dù vậy, bạn vẫn nên chuẩn bị các phương thức bảo mật cho máy tính của mình bằng cách tham khảo bài viết “Những cách phòng chống hiệu quả với “cơn bão” virus WannaCrypt”.
Mức độ ảnh hưởng và thiệt hại được ghi nhận từ Wanna Cry
1. Wanna cry có thể tồn tại ở nhiều dạng.
- Dạng khóa toàn bộ hệ thống khiến máy tính bị nhiễm ransomware hoàn toàn không thể truy cập vào giao diện windows và yêu cầu tiền chuộc mới có thể sử dụng.
- Dạng ransomware đang nổi đình nổi đám trong thời gian gần đây thì nó chỉ mã hóa các file cực kỳ quan trọng trong máy tính bị nhiễm như: File văn bản tài liệu có đuôi .doct .pdf .xls, các đuôi hình ảnh có đuôi .jpg hay các file nén có đuôi .rar hoặc zip.
- Đồng thời nó sẽ hiển thị một thông báo, buộc người dùng phải trả ít nhất là 300€ cho 3 ngày đầu & 600€ cho 3 ngày tiếp theo thông qua loại tiền ảo có tên là Bitcoin để đổi lấy chuỗi khóa giải mã file. Nếu không các dữ liệu đã bị mã hóa sẽ bị xóa hết hoàn toàn.
Ước tính hiện có hơn 70.000 máy tính khắp thế giới đã bị lây nhiễm mã độc WannaCrypt Cụ thể đã phát hiện ra 75.000 trường hợp bị tấn công ở 99 quốc gia.
Nước Anh bị thiệt hại nặng nề nhất Nước Nga bị nhiều máy tính lây nhiễm nhất với ước tính hơn 1 ngàn máy tính nhiễm độc Việt Nam mới ghi nhận hơn 100 trường hợp tại Hà Nội và TP. Hồ Chí Minh
Top 20 quốc gia và vùng lãnh thổ bị ảnh hưởng nặng nề bởi WannaCry Nga, Ukraine, Ấn Độ, Đài Loan, Tajkistan, Kazakhstan, Luxembour, Trung Quốc, Romania, Việt Nam, Ý, Basil, HongKong, Iran, Tây Ban Nha, Uzbekistan, Azerbaijan, Hy Lạp, Tanzania
2. Ai là người tạo ra WannaCry ?
Một nhóm hacker có tên là The Shadow Brokers tạo ra WannaCry và tung nó ra vào ngày 14/4 Họ đã phát triển WannaCry dựa trên một phiên bản của một chương trình có tên Eternal Blue được đánh cắp từ NSA (cơ quan an ninh quốc gia Mỹ). Eternal Blue là một chương trình được phát triển nhằm khai thác lỗ hổng bảo mật trên hệ điều hành Windows của Microsoft với mục đích an ninh tình báo
Các biện pháp phòng tránh mã độc wanna cry là gì?
1. Đối với cá nhân
– Thực hiện cập nhật ngay các phiên bản hệ điều hành windows đang sử dụng. Riêng đối với các máy tính sử dụng Windows XP, sử dụng bản cập nhật mới nhất dành riêng cho sự vụ này tại: hoặc tìm kiếm theo từ khóa bản cập nhật KB4012598 trên trang chủ của Microsoft.
– Cập nhật ngay các chương trình Antivirus đang sử dụng. Đối với các máy tính không có phần mềm Antivirus cần tiến hành cài đặt và sử dụng ngay một phần mềm Antivirus có bản quyền.
– Cẩn trọng khi nhận được email có đính kèm và các đường link lạ được gửi trong email, trên các mạng xã hội, công cụ chat…
– Cần thận trọng khi mở các file đính kèm ngay cả khi nhận được từ những địa chỉ quen thuộc. Sử dụng các công cụ kiểm tra phần mềm độc hại trực tuyến hoặc có bản quyền trên máy tính với các file này trước khi mở ra.
– Không mở các đường dẫn có đuôi .hta hoặc đường dẫn có cấu trúc không rõ ràng, các đường dẫn rút gọn link.
– Thực hiện biện pháp lưu trữ (backup) dữ liệu quan trọng ngay.
Chỉ trong một khoảng thời gian rất ngắn, mã độc tống tiền (ransomware) Wanna Cryptor đã lây nhiễm hơn 100.000 máy tính tại 74 quốc gia trên thế giới. Ngay trong sáng 13/5, hệ thống giám sát virus của Công ty An ninh mạng Bkav bước đầu ghi nhận đã có những trường hợp lây nhiễm mã độc này tại Việt Nam.
2. Với tổ chức, doanh nghiệp (cụ thể với các quản trị viên hệ thống)
– Kiểm tra ngay lập tức các máy chủ và tạm thời khóa (block) các dịch vụ đang sử dụng các cổng 445/137/138/139.
– Tiến hành các biện pháp cập nhật sớm, phù hợp theo từng đặc thù cho các máy chủ windows của tổ chức. Tạo các bản snapshot đối với các máy chủ ảo hóa đề phòng việc bị tấn công.
– Có biện pháp cập nhật các máy trạm đang sử dụng hệ điều hành Windows. wanna cry là gì
– Cập nhật cơ sở dữ liệu cho các máy chủ Antivirus Endpoint đang sử dụng. Đối với hệ thống chưa sử dụng các công cụ này thì cần triển khai sử dụng các phần mềm Endpoint có bản quyền và cập nhật mới nhất ngay cho các máy trạm.
– Tận dụng các giải pháp đảm bảo an toàn thông tin đang có sẵn trong tổ chức như Firewall, IDS/IPS, SIEM…để theo dõi, giám sát và bảo vệ hệ thống trong thời điểm nhạy cảm này. Cập nhật các bản cập nhật từ các hãng bảo mật đối với các giải pháp đang có sẵn. Thực hiện ngăn chặn, theo dõi domains đang được mã độc WannaCry sử dụng, để là xác định được các máy tính bị nhiễm trong mạng để có biện pháp xử lý kịp thời:
– Cân nhắc việc ngăn chặn (block) việc sử dung Tor trong mạng nếu doanh nghiệp, tổ chức.
– Thực hiện biện pháp lưu trữ (backup) dữ liệu quan trọng ngay.
– Cảnh báo tới người dùng trong tổ chức và thực hiện các biện pháp như nêu trên đối với người dùng.
Liên hệ với SEMTEK để tháo nút thắt cho website của bạn bằng giải pháp về Marketing!
SEMTEK Co,.LTD
🏡 Địa chỉ: 2N Cư Xá Phú Lâm D, Phường 10, Quận 6, TP.HCM
📧 Email: info@semtek.com.vn
☎️ Hotline: (+84)098.300.9285
Các tìm kiếm liên quan:
- wannacry
- virus wannacry
- diệt virus wanna cry
- wannacry là tên một loại mã độc nào
- wannacry là tên một loại mã độc nào dưới đây
- virus wanna cry còn không
- virus wannacry download
- wannacrypt là gì
Nội dung liên quan:
- Tìm hiểu Domain và Subdomain là gì? Cách phân biệt Domain và Subdomain?
- Malware là gì? Những biện pháp phòng chống Malware hiệu quả
- Plesk là gì? Cách sử dụng Plesk đúng cách như thế nào?