Mã độc WannaCry và cách phòng chống Virus WannaCry

 10/12/2019 07:36:00 Trịnh Duy Thanh

Tháng 5 năm 2017, một vụ khủng bố trên thế giới ảo Internet với quy mô toàn cầu đã diễn ra. Tính tới ngày 15 tháng 5 (sau 3 ngày được biết đến) nó đã lây nhiễm và tác động lên hơn 230.000 máy tính trên hơn 150 quốc gia, gây nên một vụ tống tiền lịch sử trên mạng Internet. Nó xâm nhập, chặn đứng mọi tác vụ trên máy tính, kể cả những phần mềm diệt virus hàng đầu. Mỗi nạn nhân muốn “hóa giải” đều phải bỏ ra một mức tiền chuộc “máy tính” từ 300 đến 600 Euro tính bằng Bitcoin với hơn 20 ngôn ngữ: Tiếng Anh, Tiếng Đức, Tiếng Trung Quốc… Vụ tấn công đã làm ảnh hưởng lớn đến rất nhiều Tập đoàn và công ty trên toàn thế giới như Dịch vụ Y tế quốc gia Anh (NHS), FedEx, Bahn… Hơn 1.000 máy tính tại Bộ Nội vụ Nga, Bộ Khẩn cấp Nga và công ty viễn thông của Nga MegaFon, được báo cáo là bị dính mã độc này.
Vậy nguyên nhân nào gây nên vụ tấn công đình đám này? Đâu là thủ phạm và là nguyên nhân chính gây nên những tổn thất Internet kia? Ngày hôm nay, chúng ta sẽ cùng tìm hiểu về một cái tên hết sức quen thuộc: Virus/ Mã độc tấn côngransomware Wanna Cry.

virus wanna cry là gì

Ransomware đòi tiền chuộc từ nạn nhân

Wannacry là gì

Khi mới xuất hiện, chẳng mấy ai quan tâm virus Wanna Cry là gì. Tuy nhiên, đến khi hàng nghìn máy tính trên thế giới bị nhiễm mã độc này, mọi người mới tá hỏa để tìm cách bảo vệ mình trước nguy cơ mất trắng dữ liệu trong máy tính.

Với tốc độ lây lan cực nhanh và khả năng xâm nhập vào bất cứ lỗ hổng bảo mật nào trên thế giới. Wanna Cry được các chuyên gia công nghệ đánh giá là một loại virus Ransomware nguy hiểm với mục đích ban đầu là mã hoá dữ liệu thiết bị, sau đó đòi tiền chuộc.

Nếu bạn đang không quan tâm đến vấn đề đặt username hoặc mật khẩu cho các tài khoản của mình thì bạn sẽ cần suy nghĩ khi biết brute force attack là gì nhé.

Ransomware là một cái tên được gọi thay cho những mã độc tống tiền chính là một loại Virus được sinh ra để chiếm quyền điều hành máy tính của người sử dụng, chúng kiểm soát mọi tác vụ của máy tính, khiến người dùng không thể thao tác bất cứ tác vụ gì, sau đó chúng đưa ra những yêu cầu, chủ yếu là về tiền chuộc. Cũng chính vì những đặc điểm này mà ransomware còn được coi là những virus tống tiền vì mục đích của những người tạo ra không có gì khác ngoài kiếm tiền từ các nạn nhân.

Cách thức lây nhiễm của WannaCry

Wanna Cry hay còn được gọi dưới cái tên WannaCrypt, cũng một loại ransomeware điển hình khi có cùng mục đích xâm nhập vào máy tính của người dùng, sau đó mã hoá dữ liệu và đòi tiền chuộc. Tuy nhiên, WannaCry nguy hiểm hơn các loại Ransomware khác ở chỗ mã độc tống tiền này sử dụng công cụ bị rò rỉ của Cơ quan An ninh Quốc gia Mỹ (NSA), để tấn công hệ điều hành Windows thông qua lỗ hổng EternalBlue mà NSA khai thác được.

Giao diện chính máy tính bị nhiễm WannaCry

Về cách lây nhiễm, mã độc WannaCry tìm ra lỗ hổng bảo mật và lây nhiễm chúng bên trong tổ chức bằng cách khai thác lỗ hổng được công bố bởi công cụ NSA đã bị đánh cắp bởi nhóm hacker The Shadow Brokers. Mã độc tống tiền này chủ yếu khai thác vào lỗ hổng của giao thức SMB mà các tổ chức cá nhân chưa vá lỗ hổng kịp thời, tập trung vào Win2k8 R2 và Win XP.

Để tránh cho việc máy tính của bạn bị một mạng lưới hệ thống máy tính từ xa khác chi phối, điều khiển bởi một ai đó thì hãy tham khảo thông tin botnet là gì mà BKHost chia sẻ cho các bạn nhé.

Để nói một cách dễ hiểu hơn, cách thức lây nhiễm của WannaCry có thể bao gồm:

  • Bạn vô tình hoặc cố ý click vào 1 đường link không rõ nguồn gốc, hoặc mở 1 email lạ.
  • Chạy các chương trình, phần mềm không rõ nguồn gốc chứa mã virus WannaCry.
  • Đặc biệt, virus tự quét (scan địa chỉ IP) các máy tính trong cùng mạng nội bộ (tiếng Anh gọi là LAN) trong đó bao gồm máy tính của bạn để phát hiện lỗ hổng bảo mật và lây nhiễm vào máy tính của bạn ngay cả khi bạn không thực hiện các hành động ở trên, miễn là máy tính của bạn đang bật và có kết nối mạng nội bộ với máy tính đã nhiễm virus này.

WannaCry sẽ tự động mã hóa riêng để mã hóa các dữ liệu, nếu nạn nhân không đủ tiền chuộc theo đúng thời gian yêu cầu, dữ liệu có thể biến mất hoặc bị thao túng mãi mãi.

Cách phòng chống WannaCry

Các chuyên gia đã khuyến nghị những phương pháp phòng tránh WannaCry và các cách chống Virus WannaCry như sau:

Đối với cá nhân

  • Sao lưu toàn bộ dữ liệu quan trọng của máy tính ra ổ cứng cá nhân, ổ cứng di động, link google drive, USB cùng những thiết bị lưu trữ dữ liệu khác để phòng tránh virus WannaCry tấn công các file dữ liệu quan trọng.
  • Luôn luôn dùng các hệ điều hành có bản quyền và update hệ điều hành lên các phiên bản mới nhất. Các máy đang dùng Windows 8.1 trở về trước cần cài lên Windows 10 hoặc cài bản update vá lỗi ngay.
  • Tắt (disable) tính năng SMB bằng cách vào "Start", tìm "Windows Features", xong bỏ dấu check chỗ SMB.
  • Cập nhật các chương trình antivirus đang sử dụng. Đối với các máy tính chưa có phần mềm antivirus cần tiến hành cài đặt và sử dụng ngay một phần mềm antivirus có bản quyền.
  • Cẩn trọng khi nhận được email có đính kèm và các đường dẫn lạ được gửi trong email, trên các mạng xã hội, công cụ chat....
  • Cần thận trọng khi mở các tệp tin đính kèm tệp ngay cả khi nhận được từ những địa chỉ quen thuộc. Sử dụng các công cụ kiểm tra phần mềm độc hại trực tuyến hoặc có bản quyền trên máy tính với các file này trước khi mở chúng.
  • Không mở các đường dẫn có đuôi .hta hoặc đường dẫn có cấu trúc không rõ ràng, các đường dẫn rút gọn.
  • Không truy cập những trang web đen, web không được khuyến nghị.

Đối với các tổ chức, doanh nghiệp

  • Tiến hành nâng cấp toàn bộ máy chủ, máy trạm có sử dụng hệ điều hành Windows.
  • Ngắt toàn bộ mạng LAN hệ thống.
  • Tận dụng các giải pháp đảm bảo an toàn thông tin đang có sẵn trong tổ chức như Firewall, IDS/IPS, SIEM... để theo dõi, giám sát và bảo vệ hệ thống trong thời điểm nhạy cảm này. Cập nhật các bản vá từ các hãng bảo mật đối với các giải pháp đang có sẵn.

Qua bài viết này, hy vọng bạn sẽ có thể có những biện pháp phòng chống Wannacry cho hệ thống máy tính của mình. Ngoài ra, để bào vệ trang web mà bạn đang quản lý thì việc tìm hiểu bảo mật SSL là gì ở các bài viết khác trên blog của BKhost là điều vô cùng cần thiết nhé!

Tôi là Trịnh Duy Thanh, hiện đang là CEO & Co - Founder Công ty Cổ Phần Giải Pháp Mạng Trực Tuyến Việt Nam - BKHOST. Với sứ mệnh mang tới dịch vụ trên Internet tốt nhất cho các cá nhân và doanh nghiệp trong nước và quốc tế, tôi luôn nỗ lực hết mình chủ động đầu tư vào phần cứng và nâng cao chất lượng dịch vụ chăm sóc khách hàng để đem đến những sản phẩm hoàn hảo nhất cho người tiêu dùng. Vì vậy, tôi tin tưởng sẽ đem đến các giải pháp CNTT mới nhất, tối ưu nhất, hiệu quả nhất và chi phí hợp lý nhất cho tất cả các doanh nghiệp với mọi quy mô.