Mã độc nguy hiểm nhất thế giới Wannacry – Cách phòng chống
|Theo Reuters, cuộc tấn công không gian mạng quy mô lớn thông qua mã độc tống tiền Wannacry (hay Wanna Cryptor) được nhóm Shadow Brokers triển khai từ vài ngày trước và đỉnh điểm tàn phá của nó được ghi nhận vào hôm thứ Sáu ngày 12/5.
Khi đó, đã có hơn 45.000 máy tính của nhiều cá nhân, tổ chức và doanh nghiệp tại khoảng 100 quốc gia bị lây nhiễm. Dữ liệu tại các máy tính “nạn nhân” sẽ bị khóa lại , mã hóa và để giải mã thì người dùng phải trả cho hacker khoản tiền chuộc khởi điểm ở mức tương đương 300USD tiền ảo. Tiền chuộc sẽ tăng lên theo thời gian và thậm chí người dùng sẽ bị mất vĩnh viễn dữ liệu của mình. Vậy Wannacry là gì ??
WannaCry là gì ?
WannaCry là loại mã độc khi thâm nhập và thiết bị, máy tính của người dùng hoặc máy tính trong hệ thống doanh nghiệp sẽ tự động mã hóa hàng loạt các tập tin theo những định dạng mục tiêu như văn bản, tài liệu, hình ảnh…Người dùng cá nhân cũng như doanh nghiệp sẽ phải trả một khoản tiền không hề nhỏ nếu muốn lấy lại các dữ liệu đó.
“Nạn nhân” nổi bật trong vụ tấn công trên là Dịch vụ Y tế Quốc gia Anh (NHS). Theo nhân viên tại đây thì màn hình máy tính của họ xuất hiện tin nhắn tống tiền 300USD tiền Bitcoin với tuyên bố:”Dữ liệu của bạn đã bị mã hóa” dẫn đến một số ca phẫu thuật tại bệnh viện và lịch hẹn của bác sỹ đã bị hủy. ”Các bệnh nhân chắc chắn sẽ phải chịu ảnh hưởng”. Một số báo cáo nói rằng Nga là quốc gia bị nhiễm mã độc nhiều nhất. Bộ nội vụ nước này đã ”khoanh vùng virus” sau khi hàng loạt máy tính chạy nền tảng Windows bị tấn công.
Mã độc WannaCry lây nhiễm bằng cách tìm ra lỗ hổng bảo mật và lây nhiễm chúng bên trong tổ chức bằng cách khai thác lỗ hổng được công bố bởi công cụ NSA đã bị đánh cắp bởi nhóm hacker The shadow Brokers. Mã độc tống tiền này chủ yếu khai thác vào lỗ hổng của giao thức SMB mà các tổ chức cá nhân chưa vá lỗ hổng kịp thời, tập trung vào Win2k8 R2 và Win XP.
Giới chuyên gia nhận định, mã độc Wannacry có thể ”tiến hóa” thành những dạng khác. Một khi mã gốc của chúng được thay đổi, thế giới sẽ đứng trước nguy cơ bùng phát một cuộc tấn công mới nguy hiểm hơn.
Cách phòng chống:
Trước khi các thông tin gây chấn động về mã độc này được báo chí đề cập thì các sản phẩm của Kaspersky Lad đã phát hiện và ngăn chặn thành công một số lượng lớn các cuộc tấn công ransomware trên khắp thế giới. Trong các cuộc tấn công này, dữ liệu được mã hóa với phần mở rộng “. WCRY” được thêm vào tập tin.
Các giải pháp bảo mật của Kaspersky Lad đã phát hiện được các mã độc tống tiền liên quan đến WannaCry, bảo vệ người dùng cá nhân và doanh nghiệp an toàn trước sự bùng phát nguy hiểm.
Thành phần System Watcher ( giám sát hệ thống ) có trong giải pháp Kaspersky Internet Security cho người dùng cá nhân và Kaspersky Security for Business là “lá chắn then chốt” để bảo vệ dữ liệu của người dùng trước sự tấn công của WannaCry hay bất kỳ phần mềm tống tiền nào.
Thành phần System Watcher có khả năng phục hồi lại trạng thái ban đầu những thay đổi được thực hiện bởi phần mềm tống tiền trong trường hợp một mẫu độc hại đã vượt quá các lớp phòng thủ khác.
Ngoài ra, công nghệ Intrusion Detection có trong các giải pháp của Kaspersky Lab có thể chặn đứng sự lây nhiễm của mã độc tống tống tiền WannaCry từ cấp độ mang.
Tên các phát hiện của Kaspersky Lab liên quan đến WannaCry:
- Trojan – Ransom. Win32. Scatter.uf
- Trojan – Ransom. Win 32. Scatter.tr
- Trojan – Ransom. Win 32.Fury.fr
- Trojan – Ransom.Win32.Gen.djd
- Trojan – Ransom.Win32.Wanna.b
- Trojan – Ransom.Win32.Wanna.c
- Trojan – Ransom. Win32.Wanna.d
- Trojan – Ransom.Win32.Wanna.f
- Trojan – Ransom.Win32.Zapchast.i
- Trojan.Win64.EquationDrug.gen
- Trojan.Win32.Generic
Các phần mở rộng mà mã độc nhắm tới để mã hóa gồm các nhóm định dạng sau:
- Các phần mở rộng tập tin văn phòng thông thường được sử dụng (.ppt, .doc, .docx, .xlsx, .sxi).
- Các định dạng văn phòng ít phổ biến và đặc thù của quốc gia (.sxw, .odt, .hwp).
- Lưu trữ, tập tin phương tiện (.zip, .rar, .tar, .bz2, .mp4, .mkv).
- Email và cơ sở dữ liệu email (.eml, .msg, .ost, .pst, .edb).
- Các tập tin cơ sở dữ liệu (.sql, .accdb, .mdb, .dbf, .odb, .myd).
- Mã nguồn và tập tin dự án của nhà phát triển (.php, .java, .cpp, .pas, .asm).
- Khóa và chứng chỉ mã hóa (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
- Các tác giả thiết kế đồ họa, tác giả và nhiếp ảnh gia (.vsd, .odg, .raw, .nf, .svg, .psd.
- Tập tin máy ảo (.vmx, .vmdk, .vdi).
Các chuyên gia của Kaspersky Lab hiện tiếp tục làm việc về khả năng tạo ra công cụ giải mã để giúp đỡ các nạn nhân. Kaspersky khẳng định, hãng sẽ cập nhật khi công cụ này sẵn sàng và cộng đồng này có thể theo dõi tại trang www. nomoreransom.org để tìm kiếm công cụ giải mã phù hợp.
Khuyến nghị phòng chống mã độc WannaCry vừa được Kaspersky đưa ra:
- Đảm bảo rằng tất cả các máy tính đã được cài phần mềm bảo mật và đã bật các thành phần chống phần mềm tống tiền.
- Cài đặt bản vá chính thức (MS17 – 010) từ Microsoft nhằm vá lỗ hổng SMB Server bị khai thác trong cuộc tấn công này.
- Đảm bảo rằng các sản phẩm của Kaspersky Lad đã bật thành phần System Watcher (trạng thái Enable).
- Thực hiện quét hệ thống (Critical Area Scan ) có trong các giải pháp của Kaspersky Lab để phát hiện các lây nhiễm nhanh nhất ( nếu không các lây nhiễm sẽ được phát hiện tự động nhưng sau 24 giờ)
- Nếu phát hiện có tấn công từ phần mềm độc hại như tên gọi MEM: Trojan.Win64.EquationDrug.gen thì cần reboot lại hệ thống.
- Một lần nữa, hãy chắc chắn bản vá MS17 – 010 được cài đặt.
- Tiến hành sao lưu dữ liệu thường xuyên vào các nơi lưu trữ không kết nối với Internet.
Tham khảo thêm: Công cụ miễn phí giải mã virut mã hóa dữ liệu Ransomware
Nguồn: Sưu tầm