Tag: ransomware

Cảnh giác với WANNACRY

Leave a comment
Mã độc mã hóa dữ liệu đòi tiền chuộc WannaCry đang gây sốt trên toàn thế giới, đã lây lan tới ít nhất 200.000 máy tính tại 150 quốc gia, trong đó có Việt Nam.

Khan cap ngan chan ma doc WannaCry lay lan vao Viet Nam hinh anh 1

Việt Nam nằm trong nhóm 20 quốc gia bị ảnh hưởng nặng nhất bởi WannaCry. Nguồn: Kaspersky.

 

Để phòng ngừa, ngăn chặn việc tấn công của mã độc Ransomware WannaCry (hay còn được biết với các tên khác như: WannaCrypt, WanaCrypt0r 2.0,…) vào Việt Nam, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) đã gửi công văn cảnh báo tới các đơn vị chuyên trách về công nghệ thông tin, an toàn thông tin thuộc các khối Trung ương, Bộ, ban, ngành, Sở Thông tin truyền thông, và các thành viên mạng lưới cũng như những đơn vị trọng yếu khác.

Theo VNCERT, đây là mã độc rất nguy hiểm, có thể đánh cắp thông tin và mã hóa toàn bộ máy chủ hệ thống với các lỗ hổng đã công bố. Nếu bị tin tặc khai thác và tấn công sẽ gây ra nhiều hậu quả nghiêm trọng, vì vậy cần phải có biện pháp ngăn chặn kịp thời. Trang này này đề nghị các các nhân, đơn vị theo dõi, ngăn chặn kết nối đến các máy chủ điều khiển mã độc WannaCry và cập nhật vào các hệ thống bảo vệ như: IDS/IPS, Firewall,… các thông tin nhận dạng như sau:

 cong van "khan" ve ma doc wannacry dang lan rong tren internet hinh anh 2

Danh sách các máy chủ điều khiển mã độc (C&C Server).

 cong van "khan" ve ma doc wannacry dang lan rong tren internet hinh anh 3

Danh sách tên tập tin.

 cong van "khan" ve ma doc wannacry dang lan rong tren internet hinh anh 4

Danh sách mã băm (Hash SHA-256).

Nếu phát hiện mã độc tấn công, cần nhanh chóng cô lập vùng/máy bị nhiễm, sau đó triển khai các giải pháp xử lý khác.

Theo VNCERT, đây là mã độc cực kỳ nguy hiểm, có thể đánh cắp thông tin và mã hoá toàn bộ hệ thống máy chủ của tổ chức bị hại. Khi nhiễm mã độc này, hệ thống máy tính sẽ bị “đóng băng” bằng chuỗi mã, khiến các tổ chức, doanh nghiệp phải chi trả số tiền lớn để “chuộc” lại dữ liệu. Vì vậy, VNCERT yêu cầu các cơ quan, tổ chức phải thực hiện nghiêm lệnh điều phối ứng cứu khẩn cấp. Trung tâm này đưa ra danh sách dài những nhận dạng của mã độc WannaCry gồm các máy chủ điều khiển, danh sách tập tin, danh sách mã băm (Hash SHA-256).

Theo Kaspersky, Việt Nam nằm trong top 20 quốc gia bị ảnh hưởng nặng nhất, trong đó có Nga, Ukraine, Ấn Độ, Đài Loan, Tajikistan, Kazakhstan, Luxembourg, Trung Quốc, Romania…

WannaCry là loại mã độc được xếp vào dạng ransomware (bắt cóc dữ liệu đòi tiền chuộc). Tin tặc triển khai mã từ xa SMBv2 trong Microsoft Windows. Khai thác này (có tên mã là “EternalBlue”) đã được làm sẵn trên Internet thông qua Shadowbrokers dump vào ngày 14/4, dù lỗ hổng này trước đó đã được vá bởi Microsoft từ ngày 14/3. Tuy nhiên, rất nhiều tổ chức và người dùng chưa cài đặt bản vá này và trở thành nạn nhân của WannaCry. 

Khan cap ngan chan ma doc WannaCry lay lan vao Viet Nam hinh anh 2

Thông báo hiện lên màn hình máy tính bị nhiễm mã độc WannaCry. 

Sau khi bị nhiễm WannaCry, máy tính nạn nhân hiện dòng chữ thông báo toàn bộ dữ liệu đã bị mã hoá và không thể sử dụng. Để đòi lại dữ liệu này, người dùng cần chi trả số tiền nhất định càng sớm càng tốt. Càng đợi lâu, số “tiền chuộc” càng tăng lên. Tinh vi hơn, các hacker đứng sau cuộc tấn công này chỉ nhận tiền chuộc bằng bitcoin. Những người thiết kế WannaCry đã chuẩn bị sẵn phần “Hỏi – Đáp” bằng các ngôn ngữ khác nhau, bao gồm tiếng Việt, Trung Quốc, Đan Mạch, Hà Lan, Anh, Philippines, Pháp, Nhật… Những “Hỏi – Đáp” này dạng như: Tôi có thể phục hồi các tập tin của mình không? Tôi trả tiền như thế nào? Làm sao để liên hệ?…

Theo Giám đốc Europol Rob Waineright, phạm vi lây nhiễm toàn cầu của WannaCry chưa từng có tiền lệ. Số nạn nhân hiện ít nhất là 200.000 ở 150 quốc gia. Trong đó có nhiều doanh nghiệp, tập đoàn lớn.

Cách phòng chống mã độc WannaCry theo khuyến cáo của Kaspersky:

– Đảm bảo rằng tất cả các máy tính đã được cài đặt phần mềm bảo mật và đã bật các thành phần chống phần mềm tống tiền.

– Cài đặt bản vá chính thức (MS17-010) từ Microsoft nhằm vá lỗ hổng SMB Server bị khai thác trong cuộc tấn công này.
Đảm bảo rằng các sản phẩm của Kaspersky Lab đã bật thành phần System Watcher (trạng thái Enable).

– Thực hiện quét hệ thống (Critical Area Scan) có trong các giải pháp của Kaspersky Lab để phát hiện các lây nhiễm nhanh nhất (nếu không các lây nhiễm sẽ được phát hiện tự động nhưng sau 24 giờ).

– Nếu phát hiện có tấn công từ phần mềm độc hại như tên gọi MEM: Trojan.Win64.EquationDrug.gen thì cần reboot lại hệ thống.

-Một lần nữa, hãy chắc chắn bản vá MS17-010 được cài đặt.
Tiến hành sao lưu dữ liệu thường xuyên vào các nơi lưu trữ không kết nối với Internet