Cảnh báo mã độc Wannacry
Ngày đăng: Lượt xem: 6648

WANNACRY

 

Ngày 12 tháng 5 năm 2017, một loại mã  độc gọi là WannaCry (hay còn được gọi là WannaCrypt, WCrypt, Wanacrypt0r, WCry) đã lây lan khủng khiếp trên 70 quốc gia với hàng trăm nghìn máy tính chỉ sau vài giờ phát tán.

 

WannaCry là một dạng phần mềm “tống tiền” theo phương thức khóa các dữ liệu trên máy tính của người dùng bằng cách mã hóa chúng khiến người sử dụng không thể truy cập các dữ liệu đó được nữa.

 

Hiện nay đã có những biến thể của WannaCry 2.0 có cơ chế hoạt động phức tạp hơn và chưa có biện pháp vô hiệu hóa cụ thể. Mã độc này được cho là do Triểu Tiên phát tán nhằm các mục đích phá hoại và là nền tảng cho các cuộc tấn công nguy hiểm hơn trong tương lai

 

TÁC HẠI CỦA WANNACRY

 

WannaCry sau khi lây nhiễm sẽ mã hóa và khóa toàn bộ nội dung của các tệp tin hình ảnh, email, văn bản, phim hay cả những tệp tin cơ sở dữ liệu bằng thuật toán mã hóa bất đối xứng với khóa 2048-bit, điều này làm cho việc giải mã là phi thực tế đối với công nghệ hiện nay. Khi xâm nhập vào máy tính, phần mềm gián điệp WannaCry sẽ không cho phép người dùng truy cập dữ liệu trừ khi họ trả cho tin tặc một khoản tiền ảo Bitcoin trị giá từ 300 - 600 USD mới có thể phục hồi dữ liệu cần thiết. 

 

Hình  1. Giao diện đồ họa của WannaCry

 

Ngoài ra mã độc này còn tạo các kết nối để điều khiển máy tính của người dùng cho các mục đích xấu khác, do đó đã có những nghi ngờ rằng mã độc này được tạo ra không chỉ với mục đích tống tiền mà là một công cụ làm đòn bẩy cho các cuộc tấn công mạng có mục đích chính trị hoặc quân sự phức tạp và nguy hiểm hơn trong tương lai.

 

CƠ CHẾ PHÁT TÁN

 

Khác với các mã độc thông thường khác WannaCry lây nhiễm và phát tán thông qua các kỹ thuật lây nhiễm của các mã độc dạng sâu máy tính (Worm) thông qua các lỗ hổng của mạng máy tính, cụ thể ở đây là một lỗ hổng của giao thức SMB trong hệ điều hành Microsoft Windows (MS17-010). WannaCry tự động lây nhiễm trong mạng mà không cần bất cứ một hành động nào của người dùng, do đó chỉ cần nạn nhân sử dụng hệ điều hành có lỗ hổng MS17-010 hoặc có chia sẻ ổ đĩa với một máy lây nhiễm khác là sẽ bị lây nhiễm.

 

NHỮNG AI CÓ NGUY CƠ LÀ NẠN NHÂN CỦA WANNA CRY

 

Công cụ tấn công này được thiết kế để hướng đến các mục tiêu là người dùng ở tất cả các nước trên thế giới, với thông điệp được kẻ tấn công đưa ra dưới dạng 28 ngôn ngữ khác nhau trong đó có cả tiếng Việt. Do MS17-010 chủ yếu được khai thác thành công trên các hệ điều hành có version nhỏ hơn Windows 7 32 bit, do đó những người sử dụng hệ điều hành này có khả năng bị ảnh hưởng lớn nhất bởi WannaCry. Ngoài ra tất cả máy tính sử dụng chế độ chia sẻ tệp tin với máy bị lây nhiễm trên cùng mạng đều có khả năng bị ảnh hưởng bởi WannaCry

 

CÁC DẤU HIỆU TRÊN HỆ THỐNG BỊ LÂY NHIỄM

 

Trên máy tính khi bị nhiễm WannaCry sẽ xuất hiện giao diện đòi tiền chuộc bằng 28 ngôn ngữ như Hình 2.

 

Hình  2. Ngôn ngữ hiển thị của mã độc WannaCry

 

Đồng thời  hình nền của người dùng bị thay đổi như Hình 3.

 

Hình 3. Ảnh nền được WannyCry thay thế trên máy nạn nhân

 

PHÒNG CHỐNG

 

Thật không may, hiện tại không có cách nào để giải mã các tệp đã được mã hóa bởi WannaCry do đó các biện pháp phòng ngừa là cách duy nhất để hạn chế các thiệt hại do WannaCry gây ra. Dưới đây là một số lời khuyên về cách ngăn ngừa và giảm thiểu thiệt hại do WannaCry gây ra.

 

- Quét các khu vực quan trọng bằng phần mềm Antivirus cập nhật mới nhất để loại bỏ mã độc và khởi động lại hệ thống.

 

- Sử dụng công cụ  theo dõi và loại bỏ các tệp tin lạ trên hệ thống

 

- Cài đặt bản cập nhật Windows cho bản vá lỗi bảo mật MS17-010 hoặc nâng cấp phiên bản lên Windows 10

 

- Sử dụng firewall các nhân dóng các cổng kết nối mà WannaCry sử dụng như: 445

 

- Người dùng phải cảnh giác khi nhận được email lạ có đính kèm tệp tin, không kích vào các đường Link không tin cậy trong email

 

- Không vào các trang web không tin cậy hoặc các trang web độc hại trên mạng.

 

- Sử dụng các giải pháp bảo mật hỗ trợ như IDS, IPS, Firewall nhằm chặn các kết nối đến các địa chỉ IP được sử dụng của WannaCry

 

- Sao lưu các dữ liệu quan trong

 

Lương Thế Dũng - Trưởng Khoa ATTT

© Copyright 2015 Học viện Kỹ thuật Mật mã. All rights reserved.