wannacry là gì
11/30 2018

Mã độc wanna cry vẫn đang đe dọa dữ liệu người dùng

Mã độc, virus là 2 vấn đề vẫn tồn tại như một mối nguy hiểm đối với dữ liệu máy tính. Tính đến này đã có nhiều mã độc gây nguy hiểm hàng loạt trong đó phải kể đến Mã độc wanna cry.

Mã độc wanna cry là gì?

WannaCry là một con sâu máy tính ransomware bắt đầu được lây lan nhanh chóng qua mạng máy tính lần đầu tiên vào tháng 5 năm 2017 nhờ vào việc khai thác lỗ hổng trong hệ điều hành windows. Sau khi lây nhiễm vào máy tính nó mã hóa các tập tin trên ổ cứng khiến người dùng không thể truy cập, sau đó yêu cầu thanh toán tiền chuộc bằng bitcoin để giải mã chúng.

wannacry là gì

Cụ thể, WannaCry lây lan bằng cách sử dụng Eternal Blue, một khai thác bị rò rỉ từ Cơ quan An ninh Quốc gia (NSA) sử dụng một lỗ hổng zero-day để nhắm mục tiêu các máy tính Windows sử dụng phiên bản cũ của các Server Message Block giao thức (SMB).

Tìm hiểu thêm về mối đe dọa của Mã độc wannacry

Sau khi WannaCry bắt đầu lan truyền trên mạng máy tính vào tháng 5 năm 2017, một số chuyên gia cho rằng sâu máy tính mang phần mềm ransomware có thể đã được phát hành sớm do thiếu một hệ thống chức năng để giải mã hệ thống sau khi nạn nhân trả tiền chuộc. WannaCry đã sử dụng một khai thác được phát triển bởi Cơ quan An ninh Quốc gia (NSA) chống lại lỗ hổng Windows trong các phiên bản cũ của SMB. Có một mã bị rò rỉ vào ngày 14 tháng 4 năm 2017 có tên là EternalBlue, nó đã bị khai thác triệt để. Việc khai thác sử dụng lỗ hổng trong phiên bản SMB 1 bất kỳ hệ thống Windows nào chấp nhận yêu cầu SMBv1 đều có thể có nguy cơ bị khai thác. Chỉ những hệ thống có hỗ trợ SMBv1 mới được kích hoạt, hoặc các gói SMBv1 bị chặn từ các mạng công cộng, sẽ chống lại sự lây nhiễm bởi WannaCry.

Microsoft đã vá lỗ hổng này đồng thời được theo dõi dưới dạng CVE-2017-0144, trong bản vá MS17-010 của Windows, được phát hành lần đầu vào tháng 3 năm 2017.

Shadow Brokers là nhóm hacker đầu tiên xuất hiện vào năm 2016 khi nó bắt đầu phát hành mã khai thác có vẻ như đã được lấy từ NSA. Mã khai thác dường như đã được tạo ra vào năm 2013 sau khi tiết lộ dữ liệu được phân loại từ NSA bởi Edward Snowden. Shadow Brokers phát hành EternalBlue cho công chúng như là một phần của sự rò rỉ thứ năm của mã phân loại vào tháng 4 năm 2017. Shadow Brokers tuyên bố họ đã đánh cắp EternalBlue cũng như các khai thác và cyberweapons khác từ NSA-linked Equation Group.

Mặc dù Microsoft đã đưa ra một bản vá cho lỗ hổng này một tháng trước khi nó được tiết lộ, nhiều tổ chức đã không cập nhật được cho các hệ thống Windows của họ và do đó đã bị phơi nhiễm với mã độc WannaCry. Một số tổ chức trì hoãn việc cài đặt bản vá vì chúng sử dụng các hệ thống cũ có thể bị ảnh hưởng tiêu cực bởi các bản vá lỗi mới. Các nhà nghiên cứu bảo mật tại Tập đoàn Symantec và các nơi khác đã liên kết tạm thời với WannaCry cùng Lazarus Group, một nhóm APT quốc gia có quan hệ với chính phủ Bắc Triều Tiên. Vào tháng 12 năm 2017, Nhà Trắng chính thức quy cho các cuộc tấn công của WannaCry tới Bắc Triều Tiên. Các báo cáo ban đầu cho thấy các tác nhân đe dọa đằng sau những cuộc tấn công đòi tiền chuộc WannaCry đều không an toàn, bởi đa số họ không cung cấp key giải mã cho các nạn nhân sau khi đã trả tiền chuộc.

WannaCry gây ra hậu quả tài chính vô cùng nghiêm trọng, mức đe dọa chủ yếu nhằm vào các doanh nghiệp trên toàn cầu. Ước tính tổng tác động tài chính của tiền chuộc WannaCry nói chung là hàng trăm triệu đô la, các công ty bị đe dọa liên quan đến cuộc tấn công này có thể lên đến 4 tỷ đô la. Tuy nhiên, con số này chưa được thống kê chính xác bởi có nhiều người trả tiền chuộc ngầm, và số người gửi tiền chuộc mà không nhận được key giải mã.

WannaCry hoạt động như thế nào?

WannaCry khai thác lỗ hổng trong giao thức chia sẻ tài nguyên mạng SMBv1 của Microsoft cho phép kẻ tấn công truyền các gói được tạo thủ công tới bất kỳ hệ thống nào chấp nhận dữ liệu từ internet công cộng trên cổng 445 – cổng dành riêng cho SMB. SMBv1 đã không được chấp nhận làm giao thức mạng và khuyến nghị rằng việc truyền từ internet sang cổng đó bị tắt.

wannacry hoạt động như thế nào

WannaCry sử dụng sâu EternalBlue để khai thác lỗ hổng. Bước đầu tiên là tìm kiếm mạng đích cho các thiết bị chấp nhận lưu lượng trên cổng TCP 445, cho biết hệ thống được cấu hình để chạy SMB. Bước tiếp theo là bắt đầu kết nối SMBv1 với thiết bị, sau khi kết nối được thực hiện tràn bộ đệm được sử dụng để kiểm soát hệ thống được nhắm mục tiêu và cài đặt thành phần ransomware của cuộc tấn công.

Ngay cả sau khi các nạn nhân đã trả tiền chuộc, các nhà bảo mật cũng không tự động phát hành “chìa khóa” giải mã các tệp của họ. Thay vào đó, các nạn nhân phải đợi và hy vọng các nhà phát triển của WannaCry sẽ cung cấp các key giải mã cho các máy tính “con tin” từ xa qua internet – một quy trình hoàn toàn thủ công có chứa một lỗ hổng đáng kể, tin tặc không có cách nào chứng minh ai đã trả tiền chuộc. Vì chỉ có một cơ hội nhỏ các nạn nhân sẽ nhận được các tập tin của họ được giải mã, sự lựa chọn khôn ngoan hơn là tiết kiệm tiền và bảo mật lại máy tính.

WannaCry có phải là mối đe dọa không?

Mặc dù Microsoft đã đưa ra bản cập nhật mà cố định lỗ hổng SMB trên ngày 14 tháng ba năm 2017 – một tháng trước khi các phần mềm độc hại WannaCry lần đầu tiên được phát hiện – việc khai thác mã kích hoạt lây lan nhanh chóng đồng thời trở thành mối đe dọa hệ thống có lỗ hổng, không được bảo vệ.

Việc khai thác giao thức SMB của Microsoft đã cực kỳ thành công đối với các nhà văn phần mềm độc hại, với EternalBlue là một thành phần quan trọng trong các cuộc tấn công toàn cầu của NotPetya trong tháng 6 năm 2017. Việc khai thác cũng được sử dụng bởi nhóm cyberespionage của Fancy Bear được liên kết với Nga, còn được gọi là Sednit, APT28 hoặc Sofacy, để tấn công các mạng Wifi ở các khách sạn châu Âu. Việc khai thác cũng đã được xác định là một trong những cơ chế lan truyền cho các máy mã hóa độc hại.

Sự lây lan của mã độc WannaCry ảnh hưởng nghiêm trọng đến tình hình tài chính. Số tiền chuộc từ những tên tội phạm rất lớn. Có nhiều người không đủ tiền chuộc phải chấp nhận mất đi vĩnh viễn những dữ liệu quan trọng. Còn có những trường hợp đã trả tiền chuộc rồi vẫn không lấy được key giải mã. Rủi ro lớn nhất luôn hướng về phía người dùng, hiện nay chưa có cách nào ngăn chặn những tên tội phạm mạng tạo ra các mã độc, virus tống tiền… cách tốt nhất là mỗi người dùng phải tự biết bảo vệ dữ liệu cá nhân.

Làm thế nào để bảo vệ chống lại WannaCry

ransomware

Kể từ khi WannaCry và các biến thể của nó được đưa ra, các tổ chức có thể bảo vệ chống lại ransomware bằng những cách sau:

  • Chặn tất cả các hệ thống Windows truy cập từ internet công cộng trên cổng 445; thiết lập các thủ tục sao lưu an toàn được sử dụng ngay cả khi mạng bị vô hiệu hóa.
  • Khuyến cáo người dùng về sự nguy hiểm của những trò bịp công nghệ, những cuộc tấn công của virus mã hóa, virus tống tiền. Sử dụng phần mềm chống virus có chất lượng về bảo mật dữ liệu. Thường xuyên bật tường lửa lên.

WannaCry có thể được gỡ bỏ thủ công, mặc dù quá trình này có thể là thách thức đối với người dùng ít hiểu biết hoặc không hiểu biết về công nghệ, phần mềm, mã độc… Tuy nhiên, hãy thực hiện theo các bước sau để bắt đầu bảo vệ máy tính khỏi mã độc:

  • Khởi động lại máy tính ở safe mode
  • Loại bỏ bất kỳ chương trình đáng ngờ nào trong khi khởi động. Giữ tổ hợp phím Windows + R rồi gõ msconfig vào tab tìm kiếm.
  • Các mục bị nhiễm mã độc được liệt kê sẽ hiển thị “unknown”. Tìm và xóa các mục này. Sau đó nhấn OK khi hoàn tất.
  • Nhấn tổ hợp phím Windows + R. Nhập % temp% và nhấn OK. Một thư mục sẽ bật lên hiển thị tất cả các tệp tạm thời trong hệ thống. Chọn tất cả chúng bằng cách sử dụng Ctrl + A và sau đó nhấn Shift + Delete để xóa tất cả.
  • Loại bỏ các tập tin bị nhiễm virus. Nhấn tổ hợp phím Windows + R và nhập % appdata% vào tab tìm kiếm và nhấn OK. Sau đó tìm và xóa các tệp gần đây được liên kết với phần mềm WannaCry.
  • Xóa các mục registry. Nhấn tổ hợp phím Windows + R và gõ regedit. Điều hướng đến thư mục này: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Schedule \ TaskCache \ Tasks \ {41D55966-1192-454F-9C86-D0EB950D9984
  • Nếu có các khóa liên quan đến phần mềm ransomware, hãy nhấp chuột phải và xóa chúng. Lặp lại điều này trong thư mục: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Schedule \ TaskCache \ Cây \ Fd3KZfCq

Kết luận

Sự lây lan của mã độc Wanna Cry hiện nay đã qua đợt tấn công, nhưng sau 18 tháng nó vẫn gây ra một sự hỗn loạn trên hàng nghìn chiếc máy tính trên khắp thế giới. Số liệu từ báo cáo mối đe dọa của Kaspersky Lab cho quý 3 năm 2018 nói rằng WannaCry đứng đầu danh sách các gia đình mật mã phổ biến nhất, với các cuộc tấn công đã cố gắng chống lại 74.621 người dùng của hãng bảo mật trên toàn cầu.

 

drtak.org

Leave a Comment