WannaCry là loại mã độc khi thâm nhập vào thiết bị, máy tính của người dùng hoặc máy tính trong hệ thống doanh nghiệp sẽ tự động mã hoá hàng loạt các tập tin theo những định dạng mục tiêu như văn bản tài liệu, hình ảnh... Người dùng cá nhân cũng như doanh nghiệp sẽ phải trả một khoản tiền không hề nhỏ nếu muốn lấy lại các dữ liệu đó.
Dựa vào hình ảnh được tải lên mạng xã hội cho thấy màn hình máy tính của Dịch vụ Y tế Quốc gia Anh (NHS) xuất hiện tin nhắn tống tiền 300 USD tiền Bitcoin với tuyên bố: "Dữ liệu của bạn đã bị mã hóa". Thông điệp yêu cầu đòi thanh toán tiền trong 3 ngày, nếu không giá sẽ tăng lên gấp đôi, và nếu tiền không được thanh toán trong 7 ngày, các dữ liệu sẽ bị xóa.
Về cách lây nhiễm, mã độc WannaCry tìm ra lỗ hổng bảo mật và lây nhiễm chúng bên trong tổ chức bằng cách khai thác lỗ hổng được công bố bởi công cụ NSA đã bị đánh cắp bởi nhóm hacker The Shadow Brokers. Mã độc tống tiền này chủ yếu khai thác vào lỗ hổng của giao thức SMB mà các tổ chức cá nhân chưa vá lỗ hổng kịp thời, tập trung vào Win2k8 R2 và Win XP.
Kiểu tấn công này khác với truyền thống là phải dùng sâu máy tính, tức chương trình tự nhân bản chính nó vào hệ thống máy tính và lừa người dùng click chuột vào link độc hại.
Ước tính vụ tấn công mạng diễn ra trên quy mô toàn cầu, ảnh hưởng tới khoảng 99 quốc gia, trong đó có Anh, Mỹ, Trung Quốc, Nga, Tây Ban Nha, Italy, Đài Loan (Trung Quốc), Việt Nam và nhiều quốc gia khác. Theo các chuyên gia của Intel, hiện lỗ hổng đã ghi nhận tại Hà Nội và Hồ Chí Minh, và có thể lan rộng trên toàn quốc.
Tính đến hết ngày 13/5, theo TheHackerNews, cuộc tấn công sử dụng mã độc tống tiền lớn nhất từ trước đến nay WannaCry đã lây nhiễm thành công hơn 200.000 máy tính sử dụng hệ điều hành Windows tại ít nhất 99 quốc gia. Chỉ ngay trong vài giờ đầu phát tán, số tiền nhóm tin tặc đứng đằng sau WannaCry thu được là khoảng 30.000 USD.
Không dừng lại, một phiên bản nâng cấp tinh vi hơn của của WannaCry là WannaCry 2.0 vừa được nhóm tin tặc phát tán và đang tiếp tục lây nhiễm sang hàng trăm nghìn máy tính trên toàn cầu.
Cách phòng chống mã độc WannaCry đang gây ra mối lo sợ cho người dùng máy tính.
"Cơn bão" mã độc tống tiền WannaCry tiếp tục lan rộng và theo thống kê ban đầu, số máy tính bị ảnh hưởng đã lên đến 200.000 máy, tại 150 quốc gia. Rất nhiều trong số đó là các doanh nghiệp, tập đoàn lớn với quy mô của cuộc tấn công lớn chưa từng có.
Theo Kaspersky, Việt Nam nằm trong top 20 quốc gia bị ảnh hưởng lớn bởi ransomware này, bên cạnh Ukraina, Ấn Độ, Trung Quốc, Đài Loan... Trên đồ họa của New York Times về WannaCry, Việt Nam cũng xuất hiện với "điểm nóng" là Hà Nội và TP.HCM.
Đánh giá mức độ nghiêm trọng của WannaCry, các chuyên gia tại Công ty bảo mật an ninh mạng SecurityBox đã phân tích và đưa ra biện pháp phòng chống chi tiết đối với mã độc nguy hiểm này.
1. Cập nhật bản vá hệ điều hành
Mã độc WannaCry thực hiện khai tác lỗ hổng Window thông qua các cổng TCP 139 và 445. Các lỗ hổng của hệ điều hành Window được công bố bao gồm:
EternalBlue (MS17-010)
EmeraldThread (MS10-06)
EternalChampion (CVE-2017-0146 và CVE-2017-0147)
ErraticGopher (lỗ hổng trên Windows Vista - không được hỗ trợ)
EsikmoRoll (MS14-068), EternalRomance (MS17-010)
EducatedScholar (MS09-050)
EternalSynergy (MS17-010)
Eclipsed Wing (MS08-067)
Để đảm bảo ngăn chặn được việc tấn công của mã độc Wannacy thông qua các lỗ hổng này, SecurityBox khuyên người dùng ngay lập tức nên thực hiện cập nhật các bản vá hệ điều hành Window.
Hiện tại, Microsoft đã có các bản vá cho lỗ hổng các dịch vụ này. Người dùng có thể cập nhật bản vá cho các phiên bản hệ điều hành tương ứng thao địa chỉ:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
https://www.microsoft.com/en-us/search/result.aspx?q=KB4012598&form=dlc
Thực hiện tải file theo phiên bản hệ điều hành tương ứng và tiến hành chạy file tải về để có thể cập nhật bản vá cho các lỗ hổng mà mã độc WannaCry khai thác.
Bên cạnh đó, WannaCry còn khai thác lỗ hổng zero-day (CVE-2016-6366) ExtraBacon qua giao thức SNMP - giao thức tầng ứng dụng trong phần mềm Cisco ASA cho phép tin tặc không cần xác thực từ xa để khởi động lại hệ thống hoặc thực thi mã tùy ý, do đó, đối với các hệ thống có sử dụng thiết bị của Cisco, các quản trị viên cần cập nhật các bản vá lỗi liên quan đến lỗ hổng zero - day (CVE-2016-6366).
2. Tắt tạm dịch vụ SMB trong máy tính
Trong trường hợp chưa thể cập nhật ngay bản vá hệ điều hành, bạn có thể thực hiện tắt các luật firewall cho các dịch vụ File Sharing theo hướng dẫn:
Truy cập Windows Firewall with Advanced Security trong Window theo 2 cách:
• Nhấn tổ hợp phím Window + R, gõ wf.msc
• Trong trong Control Panel, chọn System and Security sau đó chọn Windows Firewall
Cửa sổ Windows Firewall with Advanced Security sẽ hiện ra.
Hình 1: Cửa sổ Windows Firewall with Advanced Security.
Trong phần menu bên trái, chọn Inbound Rules, người dùng tìm kiếm các luật File and Printer Sharing (NB-Session-In) và File and Printer Sharing (SMB-In).
Hình 1: Cửa sổ Windows Firewall with Advanced Security.
Nhấn chuột phải và chọn Disable Rule nếu luật đang được enable (màu xanh).
3. Cập nhật phần mềm diệt virus
Hiện tại, hầu hết các phần mềm diệt virus có bản quyền đều đã cập nhật các dữ liệu để loại trừ mã độc WannaCry, do đó, nếu bạn đang chưa có hoặc có một phần mềm diệt virus có bản quyển trên máy, bạn nên tải và cập nhật ngay phiên bản mới nhất của một phần mềm diệt virus để đảm bảo máy tính của bạn được an toàn.
4. Không click mở các file tài liệu từ các email lạ
Các ransomware nói chung và mã đôc Wannacy nói riêng đều được ẩn trong tài liệu Word, các tệp PDF và các tệp tin thông thường khác, chúng được gửi qua email hoặc thông qua nhiễm độc thứ cấp trên các máy tính đã bị ảnh hưởng, cung cấp cửa sau để tiếp tục tấn công.
Do đó, để đảm bảo an toàn, Security Box đưa ra khuyến cáo người dùng cẩn trọng khi nhận được email có đính kèm và các đường link lạ được gửi trong email, trên các mạng xã hội, công cụ chat…
5. Tuyệt đối không trả tiền cứu dữ liệu
Tốt nhất là không bao giờ trả tiền cho bọn hacker cả, 99% là tiền mất tật mang thôi, vì thế hay chịu khó ngậm đắng nuốt cay mà làm lại từ đầu thôi, đừng phí thêm tiền vô ích mà còn bị mắng là 'ngu' nữa! Ngoài ra thì việc trả tiền cũng khiến cho bọn chúng 'thoả mãn' khi tạo ra con virus này và chẳng có gì đảm bảo là chúng không làm thêm lần nữa cả.
Đức Vinh Tổng hợp
