Ngày 12/05/2017, toàn thế giới vẫn chưa hết bàng hoàng về cuộc tấn công mạng quy mô lớn có tên Wanna Cry Ransomware, với khoảng 75.000 máy tính bị lây nhiễm loại virus này và nó đã có mặt trên 99 quốc gia trong đó có Việt Nam. Vậy Ransomware Wanna Cry là gì? Nó lây nhiễm thế nào và làm sao để phòng chống loại mã độc tống tiền này lây nhiễm trên máy tính của bạn? Hãy cùng Bitcoin-news.vn tìm hiểu nhé.

Ransomware Wanna Cry là gì?

- MỞ TÀI KHOẢN TẠI BINANCE TRONG 1 PHÚT -

Ransomware Wanna Cry hay mã độc tống tiền là một loại mã độc khi thâm nhập vào thiết bị máy tính của người dùng hoặc hệ thống máy tính của cả doanh nghiệp có kết nối chung mạng internet sẽ tự động mã hóa toàn bộ các tập tin theo định dạng mục tiêu như hình ảnh, tài liệu,..Lúc này, kẻ xấu sẽ sử dụng mã độc tống tiền để gửi thông tin đòi tiền chuộc và tiền bạn phải gửi cho chúng là tiền Bitcoinchứ không phải bất cứ loại tiền tệ thông thường nào khác, nếu bạn đồng ý gửi tiền thì chúng sẽ cung cấp mã để hóa giải dữ liệu, nếu không dữ liệu coi như bị mất hẳn.

Theo thông tin nhận được từ nhiều trang báo và mạng xã hội thì nhiều hình ảnh được đăng tải cho thấy màn hình máy tính của Dịch vụ Y tế Quốc gia Anh (NHS) xuất hiện tin nhắn tống tiền $300 với tuyên bố “Dữ liệu của bạn đã bị mã hóa”. Hình ảnh cho thấy kể xấu yêu cầu thanh toán tiền trong vòng 3 ngày bằng không chúng sẽ tăng giá lên gấp đôi, và trong 7 ngày không thanh toán thì các dữ liệu sẽ bị xóa hoàn toàn.

Cách virus tống tiền này xâm nhập vào máy tính

Về cách lấy nhiễm thì loại mã độc WannaCry này đã lợi dụng lỗ hổng bảo mật trong giao thức SMB của Windows để lấy nhiễm, tập trung vào Win2k8 và Win XP.

Kiểu tấn công này khác với các hình thức tấn công thông thường là phải dùng sâu máy tính, tức là chương trình sẽ tự nhân bản chính nó vào hệ thống máy tính và lừa người dùng click vào một link độc hại.

Dưới đây là một số cách mà Ransomware Wanna Cry dùng để xâm nhập vào máy tính của bạn:

– Hacker sẽ gửi Email kèm đường link dẫn lạ hoặc một file chứa mã độc, khi bạn click vào đó ngay lập tức máy tính sẽ bị nhiễm WannaCry. Và nó có thể lấy nhiễm từ máy tính này qua máy tính khác nếu hệ thống máy tính kết nối chung 1 mạng internet.

– Khi bạn truy cập vào một trang web giả mạo, web đen, web sex

– Do bạn cài đặt các phần mềm không rõ nguồn gốc

– Download và cài các phần mêm Crack

Vụ tấn công mạng này có quy mô toàn cầu, ảnh hưởng tới khoảng 99 quốc gia trên thế giới, trong đó có Mỹ, Anh, Nga, Trung Quốc, Italy, Tay Ban Nha, Đài Loan (Trung Quốc), Việt Nam và rất nhiều quốc gia khác nữa. Theo ghi nhận từ các chuyên gia của Intel thì hiện nay tại Việt Nam đã phát hiện loại mã độc tống tiền này ở Hà Nội và TP. Hồ Chí Minh và rất có thể sẽ lan rộng trên cả nước.

Theo TheHackerNews, tính tới hết ngày 13/5, cuộc tấn công sử dụng virus tống tiền lớn nhất từ trước đến nay Wanna Cry Ransomware đã lấy nhiễm thành công khoảng 200.000 máy tính đang sử dụng hệ điều hành Windows tại ít nhất 99 đất nước. Chỉ trong khoảng vài giờ phát tán, nhóm tin tặc đứng đằng sau Wanna Cry đã thu về khoảng $30.000 USD.

Chưa dừng lại ở đó, Nhóm hacker này đã tạo ra một phiên bản nâng cấp tinh vi hơn của Wanna Cry gọi là Wanna Cry 2.0 và đang tiếp tục lây nhiễm sang hàng trăm nghìn máy tính trên toàn thế giới.

Cách phòng chống và đối phó với Ransomware Wanna Cry?

Theo nhận định từ các chuyên gia CMC INFOSEC thì rất có thể trong tuần tới nhóm hacker này sẽ còn tạo ra rất nhiều biến thể mới của WannaCry cũng như các loại mã độc mới phức tạp hơn. Một điểm khác biệt của dòng Virus tống tiền này là chúng không lây nhiễm qua các Email hay link có chưa mã độc mà lây nhiễm dựa vào lỗ hổng trong giao thức SMB của Windows nên tốc độ lây lan của chúng rất nhanh.

Vì thế, cách phòng chống lúc này là tạm thời disable SMB đi và thường xuyên cập nhật các bản vá lỗi với hệ điều hành Windows, đặc biệt là các máy chủ. Bên cạnh đó, người dùng không nên click vào những link lạ trong email hay các file lạ không rõ nguồn gốc.

Hiện nay Microsoft đã có bản vá lỗi khẩn cấp dành cho giao thức SMB, người dùng và doanh nghiệp có thể tải bản vá khẩn cấp này, sử dụng cho cả những phiên bản không còn được hỗ trợ như Windows XP, Windows8, Vista, Server2003 và 2008. Bạn có thể cập nhật thủ công theo link sau: https://www.microsoft.com/en-us/download/details.aspx?id=55245&WT.mc_id=rss_windows_allproducts

Cũng theo các chuyên gia của CMC InfoSec, mã độc tống tiền này chủ yếu khai thác lỗ hổng phiên bản máy chủ Windows 2008 R2 và đa số các cơ quan nhà nước Việt Nam cũng như doanh nghiệp đang dùng phiên bản này và Windows XP vẫn còn tồn tại cũng không ngoại lệ. Thời điểm hiện tại loại mã độc này mới xuất hiện nên phần lớn cá doanh nghiệp, cá nhân chưa nắm bắt thông tin kịp thời để vá lỗ hổng nên dẫn đến nguy cơ lấy nhiễm là rất cao.

Các chuyên gia từ CMC Infosec khuyến nghị các cá nhân, doanh nghiệp nên sao lưu dữ liệu và có các phương án backup dữ liệu để đề phòng các link lạ, đặc biệt là doanh nghiệp tốt nhất nên có một máy tính riêng để nhân viên remote khi họ nghi ngờ Mail không an toàn, đối với cá nhân thì luôn phải cài phần mềm diệt Virus trên máy tính và cả di động, đặc biệt là cá phầm mềm chuyên biệt dành cho mã độc mã hóa dữ liệu để ngăn chặn mã độc tống tiền Wanna Cry.

Cách xử lý khi bị nhiễm Ransomware WannaCry

1. Bạn phải ngắt ngay lập tức các thiết bị máy tính bị nhiễm virus WannaCry khỏi mạng LAN, tránh để nó lây lan sang các máy tính khác

2. Trả tiền chuộc cho những kẻ đứng sau WannaCry để nhận mã giải cứu máy tính hay không là quyết định ở bạn. Vì hiện tại cũng chưa có báo cáo nào về việc người dùng sẽ nhận được mã giải cứu sau khi thanh toán tiền cho chúng. Hiện mới chỉ có 160 giao dịch được gửi tới địa chỉ Bitcoin mà kẻ xấu cung cấp, ước tính khoảng 300.000USD. Tại Việt Nam giá “cứu” một máy tính bị nhiễm mã độc WannaCry là 2 Bitcoin đổi ra tiền VNĐ vào khoảng 80 triệu đồng, không hề rẻ chút nào.

3. Vẫn có thông tin cho rằng bên trong Wanna Cry tồn tại lỗi trong cách thức nó mã hóa dữ liệu, nên các chuyên gia về bảo mật trên thế giới vẫn đang tìm cách để khai thác và viết công vụ giải mã. Nếu dữ liệu quan trọng thì bạn có thể cất ổ cứng bị nhiễm virus WannaCry đi và chờ công cụ này được phát hành.

4. Nếu ổ cứng của bạn không có gì quan trọng thì hãy Format toàn bộ ổ cứng và cài lại Windows cho máy tính. Bạn nên nhớ chỉ khi bạn Format toàn bộ ổ cứng thì mới loại bỏ được hoàn toàn WannaCry, chứ chỉ format ổ C rồi cài lại thì không giải quyết được vấn đề gì cả.

Update: Mình mới biết được một phầm mềm chống loại virus này gần như hoàn toàn 99% miễn phí có tên RansomFree của cybereason, các bạn chỉ cần download nó về và cài đặt trên máy tính của mình, khi bạn click hay có hiện tượng xêm nhập của WannaCry thì phần mềm sẽ tự động ngăn chặn. Bạn download tại đây và cài đặt như bình thường nhé. Mình sẽ update liên tục tại topic này vì thế mọi người nhớ theo dõi nhé.

Xem video hướng dẫn cách xử lý khi bị nhiễm Virus Wanna Cry