Hiểu về mã độc tống tiền WanaCrypt0r và cách thức phòng chống

19/10/2019

Hiểu đúng về mã độc tống tiền WanaCrypt0r 2.0?

WanaCrypt0r 2.0 (hay còn gọi là Wannacry)  là một loại mã độc tống tiền (ransomware) mới được phát hiện và đang tiếp tục lây lan trên diện rộng trên toàn thế giới. Giống như các loại mã độc ransomware khác, khi lây nhiễm vào máy tính mã độc này sẽ mã hóa các dữ liệu quan trọng của người dùng (bao gồm các tệp tin văn bản, tệp tin hình ảnh, tệp tin video, media…) và đưa ra các thông báo đòi tiền nếu muốn lấy lại dữ liệu. Mã độc WanaCrypt0r yêu cầu người dùng phải trả một khoản tiền là 300$ qua một tài khoản bitcoin thì mới có thể nhận được bộ khóa để giải mã dữ liệu.

Hiểu về mã độc tống tiền WanaCrypt0r và cách thức phòng chống

Cách thức hoạt động và phương thức lây lan, phát tán của mã độc?

Thông thường các loại mã độc ransomware thường được tin tặc phán tán chính thông qua các hình thức lừa đảo, giả mạo hoặc các thư rác để lừa người dùng tải và thực thi một tệp tin đã bị đính kèm mã độc. Ban đầu, wanaCrypt0r cũng sử dụng cách thức tương tự để lây lan tới các máy tính. Một số trường hợp thực tế cho thấy WanaCrypt0r 2.0 được phát tán thông qua một liên kết hoặc tệp tin đính kèm tới một tệp tin PDF chứa mã độc, nếu tệp tin được mở thì mã độc Wanna Cryptor sẽ được kích hoạt trên máy tính đó.

Điểm đặc biệt trong các hoạt động của WanaCrypt0r 2.0 là mã độc này lợi dụng một bộ công cụ khai thác mới do nhóm tin tặc Shadow Brokers mới công bố vào ngày 14/04/2017 có tên là EternalBlue để tiếp tục dò quét các máy tính (các dải địa chỉ IP) trong mạng nội bộ (LAN) và mạng các dải IP trên Internet để khai thác lỗ hổng MS17-010 sau đó chiếm quyền điều khiển của máy tính mục tiêu và tiếp tục lây lan mã độc lên các máy tính này. Do đó mã độc WanaCrypt0r có tốc độ lây lan rất nhanh trên toàn thế giới trong vài ngày qua.

EternalBlue là gì? Đây là một module khai thác nằm trong bộ công cụ khai thác do nhóm tin tặc Shadow Brokers đã công bố sau khi tấn công và đánh cắp dữ liệu của 1 nhóm tin tặc khác là: Equation Group (được cho là của NSA). Ngoài EternalBlue, trong bộ dữ liệu công khai của nhóm Shadow Brokers còn chứa khá nhiều module khai thác khác có ảnh hưởng tới các phiên bản của hệ điều hành Windows.

Làm thế nào để phòng chống mã độc tấn công và lây lan?

1. Đối với người dùng máy tính thông thường

Trước tiên, người dùng nên hạn chế việc tải về và mở các tệp tin không rõ nguồn gốc từ Internet ví dụ như: Các tệp tin đính kèm gửi qua thư điện tử, các đường dẫn gửi qua các công cụ nhắn tin, các tệp tin chia sẻ trên mạng xã hội… một số tệp tin văn bản thường bị đính kèm mã độc là: tệp tin văn bản word/excel; tệp tin pdf, .exe.

Mã độc hoàn toàn có thể giả mạo thư điện tử của người khác (bạn bè, đối tác, đồng nghiệp…) để gửi thư điện tử đính kèm tệp tin hoặc đường dẫn lừa đảo, bạn cũng rất cần phải lưu ý khi nhận được các thư điện tử như vậy.

Nếu bạn đang sử dụng Windows XP, Windows 7, Windows 8 thì bạn cần cập nhật bản vá mới của hệ điều hành Windows cho máy tính của mình và giữ thói quen cập nhật máy tính ngay khi có thông báo từ Microsoft.

2. Đối với các bộ phận quản trị mạng?

Để hạn chế việc toàn cơ quan, hệ thống mạng của tổ chức bị nhiễm mã độc này bạn có thể thực hiện ngay các biện pháp phân chia vùng mạng lớn của tổ chức thành các vùng mạng nhỏ hơn tùy theo vị tri hoặc chức năng nhiệm vụ và cấu hình hạn chế truy cập từ các vùng này với nhau và nếu bạn đang sử dụng một thiết bị tưởng lửa hãy cấu hình chặn việc truy cập vào các cổng 445 và 137, 138, 139 giữa các máy trong các vùng mạng này nếu không có các nhu cầu về chia sẻ tài liệu thông qua giao thức SMB của hệ điều hành Windows.

Việc này sẽ hạn chế được việc lây lan mã độc trong trường hợp một số máy tính không thể cập nhật được bản vá lỗi.

3. Đối với các nhà quản trị hệ thống và các cơ quan, tổ chức đang sử dụng máy chủ Windows Server làm nền tảng cung cấp dịch vụ?

Đối với các máy chủ, bạn cần xem xét việc có thể cập nhật lên bản vá mới nhất được hay không? Vì một số trường hợp khi cập nhật bản vá hoặc nâng cấp lên bản mới các dịch vụ, phần mềm đang sử dụng sẽ phát sinh các lỗi ngoài mong muốn. Nếu có thể hãy cập nhật bản vá mới nhất cho phiên bản hệ điều hành mà bạn đang sử dụng hoặc cập nhật lên phiên bản mới nhất của hệ điều hành đó.

Trong trường hợp bạn không thể cập nhật bản vá hoặc nâng cấp lên phiên bản mới hãy thực hiện một số biện pháp sau để hạn chế việc bị tấn công bởi mã độc hoặc tin tặc từ bên ngoài.

- Tắt các dịch vụ SMB trên máy chủ;

- Bật tường lửa của Hệ điều hành để chặn lại các cổng của dịch vụ SMB là: 445 và 137, 138, 139. Nếu bạn đang sử dụng tường lửa riêng biệt chung cho cả hệ thống máy chủ của mình, bạn hãy cũng có thể cập nhật bộ luật để chặn các cổng này.

- Nếu bạn đang sử dụng các biện pháp phòng chống tấn công mạng (IPS, Firewall…) thì bạn nên kiểm tra và thực hiện cập nhật bộ luật mới nhất từ nhà cung cấp.

 

Tin liên quan

07/07/2020

Ứng dụng của cơ sở dữ liệu trong hoạt động kinh doanh thực tế của doanh nghiệp

Ngày nay, với sự phát triển của giải pháp quản trị cơ sở dữ liệu (Database as a Service), các công ty có thể lưu trữ và quản lý dữ liệu một cách thuận tiện đơn giản và an toàn. Vậy ứng dụng của cơ sở dữ liệu trong các hoạt động kinh doanh trên thực tế là gì?

04/07/2020

10 tiêu chí cần xem xét khi lựa chọn nhà cung cấp dịch vụ đám mây và IaaS

Việc loại bỏ cơ sở hạ tầng cố định giúp gia tăng khả năng bảo mật, kết nối, tiết kiệm chi phí và tạo ra một môi trường làm việc hiệu quả. Tuy nhiên, một khi doanh nghiệp bắt đầu chiến lược đám mây của mình, các công việc khó khăn sẽ dần xuất hiện cùng hàng loạt câu hỏi: Làm thế nào để chọn một nhà cung cấp đám mây phù hợp để sử dụng các dịch vụ IaaS?

23/06/2020

Viettel IDC phối hợp Dell Technologies tổ chức Hội thảo "Chuyển đối số và ứng dụng trong doanh nghiệp"

Hội thảo đã giới thiệu đến các doanh nghiệp nền tảng công nghệ điện toán đám mây cùng với các dịch vụ về Cloudserver, Cloud backup, Camera AI hỗ trợ cho xu thế chuyển đổi số đang diễn ra mạnh mẽ.

22/06/2020

Viettel IDC hợp tác với Akamai cung cấp bộ sản phẩm bảo mật và phòng chống tấn công mạng

Với sứ mệnh đồng hành cùng khách hàng trong cuộc cách mạng công nghiệp 4.0, Viettel IDC hợp tác với Akamai Technologies – công ty cung cấp giải pháp bảo mật hàng đầu thế giới, để mang tới cho khách hàng những sản phẩm, dịch vụ bảo mật và phòng chống tấn công hiện đại nhất.

18/06/2020

TOP 4 Trending công nghệ đám mây trong năm 2020 doanh nghiệp cần nắm bắt

Từng là 1 công nghệ rất mới ở Việt Nam nhưng những năm gần đây, điện toán đám mây giờ đã trở thành 1 yếu tố tất yếu đối với bất kỳ tổ chức nào bắt tay vào quá trình chuyển đổi kỹ thuật số. Theo thống kê, hiện tại có khoảng 3,6 tỷ người dùng dịch vụ đám mây trên toàn thế giới.

16/06/2020

Phân tích chuyên sâu về xu hướng thị trường Trung tâm dữ liệu ở Đông Nam Á

Thị trường trung tâm dữ liệu ở Đông Nam Á đang ngày tăng trưởng mạnh với các khoản đầu tư lớn từ các nhà cung cấp đám mây như Google, AWS và Alibaba. Nhu cầu về các dịch vụ dựa trên đám mây sẽ chính là động lực cho thị trường trong vài năm tới.​

11/06/2020

Viettel IDC cung cấp dịch vụ StartDB giúp doanh nghiệp triển khai hệ thống quản trị cơ sở dữ liệu tự động

Dịch vụ cơ sở dữ liệu StartDB do Viettel IDC phát triển là dịch vụ Database as a Service đầu tiên của Việt Nam vừa xuất sắc đạt giải thưởng Sao Khuê 2020. Với dịch vụ này, doanh nghiệp không cần tự vận hành cơ sở dữ liệu mà chỉ cần đi thuê với chi phí rẻ hơn ít nhất 3 lần.

10/06/2020

So sánh 2 loại hình cơ sở dữ liệu phổ biến nhất hiện nay: SQL và NoSQL

Cơ sở dữ liệu (Database) đã và đang ngày càng chứng tỏ tầm quan trọng của nó trong thời đại 4.0 hiện nay. 2 trong những công cụ để thực hiên thao tác với cơ sở dữ liệu phổ biến hiện nay chính là SQL và NoSQL. Vậy thì sự khác nhau giữa chúng là gì?

09/06/2020

Vì sao quản trị Database hiệu quả giúp doanh nghiệp thành công trong thời đại công nghệ 4.0?

Trong thời buổi công nghệ số hiện nay, nhiều quy trình, công đoạn hay các hệ thống quản trị đều được mã hóa và vận hành bởi các thiết bị, phần mềm nhằm giúp doanh nghiệp đạt được hiệu suất làm việc tốt nhất. Trên cơ sở đó, các hệ thống quản trị cơ sở dữ liệu ra đời và đóng vai trò quan trọng trong xử lý và kiểm soát nguồn thông tin.

08/06/2020

Cơ sở dữ liệu Database là gì? Có những loại Database nào?

Database hay cơ sở dữ liệu là các cụm từ được sử dụng nhiều trong các lĩnh vực dữ liệu, lập trình phần mềm, công nghệ thông tin, website … là thành phần vô cùng quan trọng để xây dựng và phát triển phần mềm, ứng dụng trên nền tảng mobile, PC.