20/09/2018, 17:36

Tổng hợp về WannaCry cho người không biết gì

WannaCry là virus (gọi vậy cho dễ hiểu và thân quen) mà khi nhiễm sẽ mã hóa toàn bộ các file dữ liệu trên máy và tống tiền nên nó được gọi là Ransomware (mã độc tống tiền). Tên khoa học của nó là WannaCrypt ( chỉ dân security dùng này cho dễ gọi, còn WannaCry là tên tác giả malware ...

WannaCry là virus (gọi vậy cho dễ hiểu và thân quen) mà khi nhiễm sẽ mã hóa toàn bộ các file dữ liệu trên máy và tống tiền nên nó được gọi là Ransomware (mã độc tống tiền). Tên khoa học của nó là WannaCrypt (chỉ dân security dùng này cho dễ gọi, còn WannaCry là tên  tác giả malware đặt trong code)

Cách lây lan:

1. “Tác giả” con virus này vẫn đang phát tán nó qua phương thức thông thường là nhúng vào các bản crack, nhúng vô các trang web có nhiều người truy cập (trang sex, trang warez …).
Về kỹ thuật thì WannaCry vẫn đang phát tán malware qua các mạng lưới phát tán malware và các exploitkit

2. WannaCry lây lan mạnh vì nó không chỉ phát tán theo cách truyền thống mà nó còn lây lan qua mạng LAN do tận dụng các công cụ khai thác lỗi SMB mà NSA (Cơ quan an ninh quốc gia Hoa Kỳ) phát triển bí mật, nhưng bị nhóm ShadowBroker đánh cắp và tung ra public từ tháng trước. Lúc Shadow Broker tung ra các công cụ này thì các chuyên gia bảo mật đã dự đóan về một cuộc tấn cồng mạng toàn cầu mà  Wanna Cry đang làm.

Nói dễ hiểu là nếu một máy trong mạng LAN bị nhiễm WannaCry thì toàn bộ các máy trong mạng LAN cũng có thể bị nhiễm chung nếu như không được vá lỗi trước đó.

Vì cách lây lan như trên mà việc thực hiện các bước an toàn như tắt SMBv1 và cập nhật cho Windows bản vá lỗi mới nhất KHÔNG HOÀN TOÀN AN TOÀN . Nó chỉ ngăn việc con virus này nhảy từ máy khác cùng mạng LAN qua máy bạn. Không ngăn việc bạn xui xẻo tải trúng nó từ internet.

Hiện nay, WannaCry chỉ lây lan trên Windows và mạng máy tính Windows, hiện vẫn chưa ghi nhận trường hợp nhiễm virut nào xảy ra với Mac và Linux

Cách phòng chống:

1. Update bản vá lỗi mới nhất cho Windows.

2. Disable tính năng SMB bằng cách vô Start, search Windows Features, xong bỏ dấu check chỗ SMB … đi là được.

3. Cập nhật các Antivirus. Hiện Windows Defender, McAfee, Symantec, ESET, Bitdefender … tức mẫy AV nổi tiếng đều đã update WannaCry rồi. Sau khi cập nhật AV thì nhớ bật tính năng bảo vệ Realtime Protection (hoặc tên giống vậy). Để ngăn việc máy tính bị nhiễm.

4. BACKUP DỮ LIỆU QUAN TRỌNG LÀ CÁCH DUY NHẤT CHỐNG RANSOMWARE.
Nhớ backup thường xuyên. Cá nhân thì mua 1 ổ cứng di động, copy dữ liệu quan trọng ra 1 bản bỏ vô ổ cứng rồi cất đi. Không cắm thường xuyên vô máy, cần mới cắm vô backup hoặc lấy dữ liệu ra.

5. Nên dùng các dịch vụ Cloud Drive như Google Drive, OneDrive, DropBox để thường xuyên sync (đồng bộ) dữ liệu đám mây (Cloud). Giá của các dịch vụ này tương đối rẻ, Google Drive free 15GB, và bán 100 GB có 45 000VND/1 tháng, hoặc 250 000 VNĐ/1000 GB (1TB). Hoặc mua Google Enterprise giá có 15$/tháng nhưng Unlimited

Tại sao nên xài dịch vụ Cloud Drive ?

Nêu lỡ bị dính ransomware thì Cloud vẫn mã hóa file trên máy và các tool sync của các dịch vụ này vẫn sync bản dữ liệu bị mã hóa lên máy chủ, NHƯNG các Cloud này có hỗ trợ tính năng File Versions. Tức là 1 file bạn backup trên Cloud thì mấy dịch vụ này sẽ lưu cho bạn 30 bản khác nhau của 30 ngày gần nhất của cái file. Tức là bạn có thể tải về bất kỳ phiên bản cũ nào của cái file đã bị ransomware tấn công

Cách xử lý khi bị nhiễm Ransomware WannaCry:

1. Ngắt ngay lập tức các máy tính bị nhiễm khỏi mạng LAN, tránh để nó lây lan qua các máy khác

2. Trả tiền cho tác giả WannaCry để nó đưa mật mã giải mã file là quyết định của bạn. Hiện chưa có báo cáo nào về việc chúng có đưa mã giải mã hay không .

Hiện chỉ mới có 160 giao dịch trị giá khoảng 300.000$ được gửi tới cái địa chỉ BitCoin tác giả WannaCry cung cấp (2 BitCoin/ giao dịch tương đương 80 triệu VND đồng)

3. Hiện có thông tin là WannaCry có lỗi trong cách thức nó mã hóa dữ liệu, nên các chuyên gia bảo mật đang thử tìm cách khai thác và viết công cụ giải mã. Nên nếu dữ liệu quá quan trọng thì có thể cất ổ cứng đi chờ công cụ được cung cấp.

4. Còn không có gì để mất thì format toàn bộ ổ cứng và cài lại win thì sẽ sạch, nhớ là chỉ FORTMAT TOÀN BỘ Ổ CỨNG thì mới sạch chứ chỉ format ổ C rồi cài lại thì không giải quyết được vấn đề.

Ransomware là vấn nạn 3 năm nay rồi, gây ra thiệt hại hàng tỉ đô. Nhưng chưa bao giờ thế giới chứng kiến một ransomware có tốc độ lay lan nhanh đến như vậy

Đó đơn giản dễ hiểu vậy thôi. BACKUP NGAY ĐI TRƯỚC KHI BỊ RANSOMWARE tấn công!!!

P/s:
Mấy bạn thích kỹ thuật thì có thể đọc bài này, phân tích kỹ thuật chuyên sâu về WannaCry https://www.endgame.com/…/wcrywanacry-ransomware-technical-…

Techtalk Via Fb Hong Phuc Nguyen

0