Mã độc tống tiền WannaCry là gì? Cách phòng chống ransomware WanaCrypt0r 2.0
Một loại mã độc khét tiếng mới xuất hiện, đúng như tên gọi ransomware WannaCry (WanaCrypt0r 2.0), đang làm hàng trăm ngàn nạn nhân trên toàn cầu rơi vào tình trạng điêu đứng “muốn khóc”. Đã có hơn 200.000 máy tính tại 150 quốc gia bị lây nhiễm, bị khóa dữ liệu đòi tiền chuộc bằng BitCoin. Các chuyên gia cho biết, cơn bão WannaCry có thể sẽ càn quét dữ dội hơn từ thứ Hai này khi các máy tính được hoạt động.
Cơn lốc mã độc tống tiền WannaCry đã và đang gây ra thiệt hại kinh hoàng
Hiện tại ở Việt Nam đã phát hiện nhiều trường hợp là doanh nghiệp bị nhiễm loại mã độc này cũng như là người dùng thông thường.
Trên bình diện quốc tế, hơn 45.000 cuộc tấn công được ghi nhận tại 99 quốc gia. Theo công ty an ninh mạng Kaspersky Lab, Nga là nước chịu ảnh hưởng nặng nề nhất, tiếp đến là Ukraina, Ấn Độ và Đài Loan. Hàng ngàn công ty và tổ chức trên toàn thế giới đã phải đau đầu trước thông báo hiển thị trên màn hình nêu rõ: “Rất tiếc, các tập tin của bạn đã bị mã hóa”, kèm yêu cầu đòi tiền chuộc bằng Bitcoin giá trị từ 300 USD – 600 USD. Theo dự đoán, tin tặc có thể bỏ túi hơn 1 tỷ USD từ nạn nhân trên khắp thế giới trước khi thời hạn đòi tiền chuộc kết thúc.
- Những cái tên nổi tiếng chịu tác động từ cuộc tấn công này bao gồm gã khổng lồ vận tải FedEx, Hệ thống Dịch vụ Y tế Quốc gia Anh và Bộ Nội vụ Nga.
- Châu Á cũng ghi nhận nhiều trường hợp lây nhiễm ransomware, trong đó đáng chú ý là việc sinh viên các trường đại học không thể truy cập vào bài tiểu luận và giấy tờ quan trọng khác phục cho kỳ thi tốt nghiệp.
- Ít nhất 45 bệnh viện ở Anh và các cơ sở y tế khác phải chịu tổn thất lớn, cản trở hoạt động thăm khám, chữa trị cho bệnh nhân. Thậm chí, nhiều trường hợp đã phải chuyển tới khu vực khác. Thủ tướng Theresa May lên tiếng khẳng định, chưa tìm thấy bất kỳ dấu hiệu nào chứng tỏ dữ liệu của bệnh nhân bị đánh cắp.
- Đến thứ Bảy, giới chức Anh cho biết có 48 trên tổng số 248 cơ sở y tế công (chiếm gần 20%) bị tấn công. Trong đó, 42 trung tâm, bệnh viện đã khắc phục sự cố để trở lại hoạt động bình thường. Trong tương lai, những loại mã độc như vậy có thể giết chết con người.
- Một số trường hợp khác cũng ghi nhận tình trạng lây nhiễm, nhưng không làm gián đoạn hoạt động như Công ty vận tải Đức Deutsche Bahn, Hãng viễn thông Tây Ban Nha Telefónica và Nhà sản xuất ôtô Pháp Renaut.
- Bộ Nội vụ Nga xác nhận 1.000 máy tính của họ bị tấn công.
- Công ty bảo mật trực tuyến Trung Quốc Qihoo 360 cho hay nhiều máy tính nước này đã nhiễm ransomware, trong đó có những hệ thống đang sử dụng tiền ảo Bitcoin.
- Phát ngôn viên của FedEx thông tin về vụ tấn công: “Giống như nhiều công ty khác, FedEx đang phải đối mặt với tình trạng nhiễm phần mềm độc hại gây hại cho hệ thống chạy Windows. Chúng tôi đang nỗ lực thực hiện các biện pháp khắc phục nhanh nhất có thể.”
- Một số báo cáo năm ngoái tiết lộ, nhiều bệnh viện công của Anh đã không chi bất kỳ khoản ngân sách nào cho an ninh mạng và đang sử dụng các phần mềm lỗi thời trên hệ thống.
- Microsoft đã phát hành bản vá khẩn cấp cho hệ điều hành Windows ngay sau khi vụ tấn công được phát hiện.
Mã độc tống tiền WannaCry là gì?
WanaCrypt0r 2.0 (hay còn gọi là Wannacry) là một loại mã độc tống tiền (ransomware) mới được phát hiện và đang tiếp tục lây lan trên diện rộng trên toàn thế giới. Giống như các loại mã độc ransomware khác, khi lây nhiễm vào máy tính mã độc này sẽ mã hóa các dữ liệu quan trọng của người dùng (bao gồm các tệp tin văn bản, tệp tin hình ảnh, tệp tin video, media…) và đưa ra các thông báo đòi tiền nếu muốn lấy lại dữ liệu. Mã độc WanaCrypt0r yêu cầu người dùng phải trả một khoản tiền là 300$ qua một tài khoản bitcoin thì mới có thể nhận được bộ khóa để giải mã dữ liệu.
Cách thức hoạt động và phương thức lây lan, phát tán của ransomware?
Thông thường các loại mã độc ransomware thường được tin tặc phán tán chính thông qua các hình thức lừa đảo, giả mạo hoặc các thư rác để lừa người dùng tải và thực thi một tệp tin đã bị đính kèm mã độc. Ban đầu, wanaCrypt0r cũng sử dụng cách thức tương tự để lây lan tới các máy tính. Một số trường hợp thực tế cho thấy WanaCrypt0r 2.0 được phát tán thông qua một liên kết hoặc tệp tin đính kèm tới một tệp tin PDF chứa mã độc, nếu tệp tin được mở thì mã độc Wanna Cryptor sẽ được kích hoạt trên máy tính đó.
Điểm đặc biệt trong các hoạt động của WanaCrypt0r 2.0 là mã độc này lợi dụng một bộ công cụ khai thác mới do nhóm tin tặc Shadow Brokers mới công bố vào ngày 14/04/2017 có tên là EternalBlue để tiếp tục dò quét các máy tính (các dải địa chỉ IP) trong mạng nội bộ (LAN) và mạng các dải IP trên Internet để khai thác lỗ hổng MS17-010 sau đó chiếm quyền điều khiển của máy tính mục tiêu và tiếp tục lây lan mã độc lên các máy tính này. Do đó mã độc WanaCrypt0r có tốc độ lây lan rất nhanh trên toàn thế giới trong vài ngày qua.
EternalBlue là gì? Đây là một module khai thác nằm trong bộ công cụ khai thác do nhóm tin tặc Shadow Brokers đã công bố sau khi tấn công và đánh cắp dữ liệu của 1 nhóm tin tặc khác là: Equation Group (được cho là của NSA). Ngoài EternalBlue, trong bộ dữ liệu công khai của nhóm Shadow Brokers còn chứa khá nhiều module khai thác khác có ảnh hưởng tới các phiên bản của hệ điều hành Windows.
Khuyến cáo phòng chống mã độc tấn công và lây lan từ chuyên gia bảo mật
Đối với người dùng máy tính thông thường
1. Hạn chế việc tải về và mở các tệp tin không rõ nguồn gốc trên mạng
Các tệp tin đính kèm gửi qua thư điện tử, các đường dẫn gửi qua các công cụ nhắn tin, các tệp tin chia sẻ trên mạng xã hội… một số tệp tin văn bản thường bị đính kèm mã độc là: tệp tin văn bản word/excel; tệp tin pdf, .exe. Ngay cả khi nó có vẻ như là được gửi từ danh bạ, bạn bè và những người mà bạn biết từ trước. Mã độc hoàn toàn có thể giả mạo thư điện tử của người khác (bạn bè, đối tác, đồng nghiệp…) để gửi thư điện tử đính kèm tệp tin hoặc đường dẫn lừa đảo.
2. Cần cập nhật bản vá mới của hệ điều hành Windows cho máy tính của mình và thường xuyên đều đặn cập nhật máy tính ngay khi có thông báo từ Microsoft.
Đối với quản trị viên
1. Thực hiện các biện pháp phân chia vùng mạng lớn của tổ chức thành các vùng mạng nhỏ hơn tùy theo vị trí hoặc chức năng nhiệm vụ.
2. Cấu hình hạn chế truy cập từ các vùng này với nhau
Nếu đang sử dụng một thiết bị tưởng lửa, hãy cấu hình chặn việc truy cập vào các cổng 445 và 137, 138, 139 giữa các máy trong các vùng mạng này nếu không có các nhu cầu về chia sẻ tài liệu thông qua giao thức SMB của hệ điều hành Windows. Việc này sẽ hạn chế được việc lây lan mã độc trong trường hợp một số máy tính không thể cập nhật được bản vá lỗi.
Đối với các nhà quản trị hệ thống máy chủ Windows Server làm nền tảng cung cấp dịch vụ
1. Cập nhật lên bản vá lỗi mới nhất
Đối với các máy chủ, cần xem xét việc có thể cập nhật lên bản vá mới nhất được hay không? Vì một số trường hợp khi cập nhật bản vá hoặc nâng cấp lên bản mới các dịch vụ, phần mềm đang sử dụng sẽ phát sinh các lỗi ngoài mong muốn. Nếu có thể hãy cập nhật bản vá mới nhất cho phiên bản hệ điều hành mà bạn đang sử dụng hoặc cập nhật lên phiên bản mới nhất của hệ điều hành đó.
Trong trường hợp không thể cập nhật bản vá hoặc nâng cấp lên phiên bản mới hãy thực hiện một số biện pháp sau để hạn chế việc bị tấn công bởi mã độc hoặc tin tặc từ bên ngoài.
2. Tắt các dịch vụ SMB trên máy chủ
Bật tường lửa của hệ điều hành để chặn lại các cổng của dịch vụ SMB là: 445 và 137, 138, 139. Nếu bạn đang sử dụng tường lửa riêng biệt chung cho cả hệ thống máy chủ của mình, cũng có thể cập nhật bộ luật để chặn các cổng này. Nếu đang sử dụng các biện pháp phòng chống tấn công mạng (IPS, Firewall…) thì nên kiểm tra và thực hiện cập nhật bộ luật mới nhất từ nhà cung cấp.
Dự báo về cơn bùng phát mã độc WannaCry trong những ngày tới
Europol là Cơ quan thực thi pháp luật và tình báo của EU. Họ đang hợp tác với FBI để tiến hành điều tra tìm ra thủ phạm gây ra cuộc tấn công lây nhiễm mã độc tống tiền. Tuy nhiên, Wainwright phải thừa nhận đây là việc “rất khó”.
“Chúng tôi chưa bao giờ thấy điều gì như vậy. Europol lường trước ransomware đang trỗi dậy thành mối đe dọa chính đối với Internet, nhưng với quy mô tấn công toàn cầu như hiện nay là điều chúng tôi chưa từng chứng kiến”, vị đứng đầu Europol chia sẻ.
Costin Raiu, Giám đốc nghiên cứu và phân tích toàn cầu tại Kaspersky Lab trước đó xác nhận đã thấy phiên bản ransomware loại bỏ hoàn toàn tính năng “kill-switch” vốn là gót chân Achilles của loại mã độc này. Một cuộc tấn công mới đã được giới bảo mật dự báo trước và nhiều khả năng, nó còn tàn khốc hơn đợt bùng phát hôm thứ Sáu vừa rồi.
Dịch vụ Y tế tại Anh đã gặp tình trạng hỗn loạn do WannaCry đã vô hiệu hóa bệnh án và quyền truy cập vào hệ thống. Nhiều nước như Nga, Ukraina, Tây Ban Nha và cả Việt Nam cũng chịu ảnh hưởng từ đợt tấn công này.
Xuân Dung
TIN CÙNG CHUYÊN MỤC
7 lưu ý nhỏ nhưng cải thiện cuộc sống hi...
Có nên dùng ChatGPT tóm tắt văn bản, tài...
Khi nào thì cần mua laptop mới? Dấu hiệu...
Lý do trời càng nóng tiền điện càng tăng...
Hãy quét và xóa thư khi thấy 6 cụm từ ng...
Lưu ý cho người dùng điện thoại mùa nắng...
- Back to school – KASPERSKY TẶNG BẠN VOUCHER GRAB T...
- Bảo vệ toàn diện nhận ngay thêm 6 tháng miễn phí
- Hoạt động tội phạm mạng trên nền tảng Telegram tăn...
- Mozilla đối mặt với khiếu nại về quyền riêng tư ...
- Lỗ hổng ChatGPT macOS có thể kích hoạt phần mềm gi...
- Kaspersky: Cứ 5 người Việt Nam thì có 1 người từng...
- Hướng dẫn cài đặt Kaspersky For Android với Kasper...
- Hướng dẫn cài đặt Kaspersky Safe Kids For Android ...
- Tại sao không tìm thấy các sản phẩm của Kaspersky ...
- Liệu công cụ kiểm tra nội dung AI có đáng tin khôn...
- Công cụ AI tạo sinh được bổ sung thêm trên Microso...
- Máy tính liên tục khởi động lại vì bản cập nhật Wi...