HỖ TRỢ

Tel: (058) 3563.028
Email: This email address is being protected from spambots. You need JavaScript enabled to view it.
KCITC

WannaCry - Biến thể nguy hiểm mã độc tống tiền ransomware

WannaCry là một loại Virus mã hóa dữ liệu để tống tiền, sẽ thực hiện mã hóa tất cả dữ liệu trên máy tính và yêu cầu nạn nhân thanh toán tiền bitcoin cho hacker để giải mã dữ liệu. Ngày 15/5/2017 Bkav công bố 52% máy tính ở Việt Nam tồn tại lỗ hổng bảo mật được mã độc WannaCry khai thác, xâm nhập.

WannaCry được phát triển từ phương thức tấn công EternalBlue do Cơ quan An ninh Quốc gia Mỹ NSA phát triển nhằm thu thập thông tin từ các máy Windows đối thủ. Nhóm hacker Shadow Brokers đã đánh cắp một lượng lớn công cụ của NSA từ giữa năm 2016 và phát triển WannaCry. Hiện tại mã độc WannaCry đã phát tán trên 150 quốc gia tính trong vòng 04 ngày với hơn 200.000 máy tính bị nhiễm. Do được mã hóa theo thuật toán RSA 2048-bit rất phức tạp, tính đến thời điểm hiện tại, gần như không có một cách nào để giải mã các file đã bị WannaCry mã hóa.

Lý do máy tính bị nhiễm

Người dùng không cẩn thận, không hiểu biết click vào các link ẩn trên phần mềm chat, trang web mạng xã hội; các file đính kèm email, file hỗ trợ download và sử dụng công cụ bẻ khóa phần mềm…

Lợi dụng lỗ hổng của hệ điều hành Windows, WannaCry có khả năng lây nhiễm thông qua mạng LAN mà không cần bất cứ thao tác nào của người dùng.

Hệ điều hành nào không bị lây nhiễm

Hiện tại Mac và Linux an toàn với WannaCry, tuy nhiên nếu máy Mac/Linux có chia sẻ ổ đĩa với 1 máy Windows nhiễm WannaCry thì ổ đĩa được chia sẻ cũng bị mã hóa dữ liệu.

Các thiết bị di động (iOS và Android) tạm thời chưa bị lây nhiễm.

Đặc điểm nhận dạng

Do mã độc cần mã hóa file trên máy nạn nhân nên cần rất nhiều tài nguyên hệ thống để thực hiện, do đó người quản trị có thể giám sát và cô lập các máy khả nghi.

Sử dụng công cụ miễn phí của BKAV: bkav.com.vn/Tool/CheckWanCry.exe

bkav

Hình 1. Công cụ quét mã độc của BKAV

Cách phòng ngừa cho máy tính

Tắt tính năng SMB (dịch vụ chia sẻ file) trên Windows

Đăng nhập quyền quản trị cao nhất (Administrator) và thực hiện gõ lệnh với công cụ PowerShell

chia se file

Hình 2. Thực hiện trên Windows 8.1

Mirosoft đưa ra hướng dẫn chi tiết cho người dùng để tắt tính năng này:

https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

Thực hiện khuyến cáo của Cục tin học hóa

- Không mở các đường dẫn có đuôi .hta

- Ngăn cấm sử dụng trình duyệt web Tor browser (vượt tường lửa).

- Chặn (Block) các dịch vụ đang sử dụng các cổng 445/137/138/139.

- Chặn (Block) domain: http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/

Cập nhật Windows, Antivirus

Một trong những khuyến cáo của các hãng phần mềm đưa ra luôn khuyên người dùng cập nhật hệ điều hành, phần mềm, công cụ diệt virus phiên bản mới nhất.

Người dùng sử dụng tính năng Windows Update hoặc có thể tải trực tiếp các bản vá lỗi của Windows do Microsoft phát hành để phòng ngừa lây nhiễm (Windows không bản quyền vẫn cài đặt được):

Bảng 1: Bảng các link vá lỗi cho từng hệ điều hành Windows.

STT Phiên bản Windows: Link tải bản vá lỗi
1 Windows Server 2003 SP2 x64
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
 
2 Windows Server 2003 SP2 x86
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-enu_f617caf6e7ee6f43abe4b386cb1d26b3318693cf.exe
 
3 Windows XP SP2 x64
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
 
4 Windows XP SP3 x86
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe
 
5 Windows XP Embedded SP3 x86
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-embedded-custom-enu_8f2c266f83a7e1b100ddb9acd4a6a3ab5ecd4059.exe
 
6 Windows 7 x64
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
 
7 Windows 7 x86
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
 
8 Windows 8 x86
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu
 
9 Windows 8 x64
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu
 

Theo Microsoft Việt Nam, người dùng Windows đang sử dụng phần mềm chống virus của Microsoft (Windows Defender) và đang bật Windows Update, sẽ được an toàn. Ngoài ra, nếu sử dụng phần mềm diệt virus của hãng khác cũng cần cập nhật ngay phiên bản mới nhất.

Tuy nhiên để bảo toàn dữ liệu, người dùng nên sử dụng các giải pháp sao lưu:

- Copy dữ liệu ra ổ đĩa gắn ngoài (USB Drive, NAS Server).

- Sử dụng các công cụ lưu trữ trực tuyến đối với dữ liệu không yêu cầu bảo mật, chứa thông tin cá nhân quan trọng (Google Drive, OneDrive, Dropbox).

- Sử dụng phần mềm sao lưu (Norton Ghost, Acronis Image) tạo file lưu cho ổ đĩa.

- Sử dụng tính năng System Restore của Windows.

system restore

Hình 3. Bật tính năng System Protection cho các phân vùng ổ đĩa và tạo System restore point

Liên hệ xử lý sự cố

Để giúp các cơ quan, cá nhân theo dõi, xử lý các sự cố về lây nhiễm virus trên địa bàn tỉnh Khánh hòa, khi gặp sự cố máy tính và mạng, xin vui lòng thông báo về:

Trung tâm Công nghệ thông tin và Truyền thông Khánh Hòa

Hotline: 0914.103.561 (a.Hoàng Anh) và 0935.012.253 (a.Vinh).

ho tro sinh vien

khai giang php v3

VỊ TRÍ TRUNG TÂM