WannaCry là một Ransomware lây nhiễm và mã hóa dữ liệu tống tiền trên hơn 100 quốc gia trên thế giới trong đó có Việt Nam. WanaCry sử dụng một lỗ hổng của dịch vụ chia sẻ file SMB trên Windows (mã MS17-010) được công khai bởi nhóm hacker ShadowsBrowkers để tiến hành tấn công và lây nhiễm. Hiện tại số tiền chuộc được đòi hỏi cho việc khôi phục dữ liệu bị mã hóa bởi WanaCry có giá trị 300-600$ và được thanh toán bằng Bitcoin.

Microsoft đã phát hành bản vá MS17-010 cho lỗ hổng này vào ngày 14 tháng 3 năm 2017, trước khi các công cụ khai thác của NSA (U.S. National Security Agency) có tên là (EternalBlue / DoublePulsar) được phát tán bởi nhóm ShadowBrokers, tuy nhiên rất nhiều cơ quan, tổ chức, người dùng cuối vẫn chưa kịp thời cập nhật bản vá này. Ngay từ lúc các công cụ của NSA bị phát tán, rất nhiều chuyên gia đã dự đoán sẽ có một đại dịch Ransomeware xảy ra.

Hiện nay trên Internet xuất hiện rất nhiều công cụ “ngăn chặn và phát hiện WannaCry” nhưng những giải pháp này thường tỏ ra không hiệu quả hoặc có mục đích đánh bóng tên tuổi, tạo hiệu ứng gây hoang mang dư luận. Bản cập nhật mới nhất của công cụ Windows Defender của Microsoft hoàn toàn có thể ngăn chặn được WannaCry mà người dùng không cần phải cài thêm bất kỳ công cụ nào khác. Trong bài viết này, chúng tôi sẽ chỉ ra cách thức tấn công, lây nhiễm của WannaCry, cũng như cách thức phòng tránh WannaCry.

Cập nhật: WannaCry được cho là có nguồn gốc hoặc liên quan tới nhóm hacker đến từ Triều Tiên, link.

  1. Lỗ hổng MS17-010
    Lỗ hổng này xuất hiện trên dịch vụ chia sẻ file SMB, được công khai bởi ShadowsBrowkers, nó cho phép kẻ tấn công có thể khai thác và chạy các mã lệnh thực thi từ xa trên máy tính nạn nhân.Lỗ hổng này được đánh giá là cực kỳ nghiêm trọng do SMB là dịch vụ chia sẻ file được khởi chạy cùng hệ thống trên nhiều phiên bản của hệ điều hành Windows.
    Phiên bản bị ảnh hưởng:
    – Người dùng cá nhân: Windows XP, 7, 8, 8.1, 10
    – Máy chủ: Windows Server 2003, 2008, 2012, 2016
    Bản vá của Microsoft:
    – Cho các hệ điều hành không được hỗ trợ (Windows XP, Windows 8, Windows Server 2003):
    Các bản vá có thể được tải và cập nhật tại đây.- Với các hệ điều hành còn lại đều được hỗ trợ và có thể cập nhật qua Windows
    Update hoặc cài đặt bản vá tại đây.

    Chú ý: Lỗ hổng MS17-010 chỉ có thể được khai thác trực tiếp từ Internet đối với mục tiêu là các máy chủ chạy Windows Server, còn đối với các máy tính cá nhân thì MS17-010 chỉ có thể thực hiện được trong mạng nội bộ.

  2. Cách thức lây nhiễm của WannaCry
    WannaCry lây nhiễm vào các máy chủ chạy hệ điều hành Windows Server sử dụng trực tiếp lỗi MS17-010 hoặc các lỗi khác nếu hệ thống chưa được cập nhật đầy đủ các bản vá.- Đối với các máy tính cá nhân, WannaCry không thể trực tiếp lây nhiễm sử dụng lỗi MS17-010 từ Internet, thông thường WannaCry sẽ lây nhiễm qua các con đường:+ Phishing+ Phishing kết hợp mã khai thác các tệp tin PDF, DOC, DOCX,… hoặc HTA.Sau khi thành công cài đặt vào máy tính người dùng, WannaCry sẽ tiếp tục lây nhiễm các máy tính trong mạng nội bộ qua lỗi MS17-010.
  3. Cách thức phòng tránh
    – Cập nhật và vá ngay lỗ hổng MS17-010 theo mục 1 ở trên.
    – Tạm thời tắt tính năng SMB trên Windows nếu không thật sự cần thiết. Vào Run, gõ Turn Windows features on/off và bỏ tích chọn SMB như hình dưới đây:

– Thực hiện backup dữ liệu quan trọng ra nhiều nơi, hoặc sử dụng các dịch vụ chia sẻ file: Dropbox, Google Drive, One Drive,…

– Đặc biệt người dùng không tải, cài đặt sử dụng các phần mềm crack, hay mở các tệp tin văn bản được đính kèm qua email có nguồn gốc không rõ ràng. Để đảm bảo an toàn, người dùng nên mở các tài liệu này trên dịch vụ Google Drive trước khi lưu và mở tại máy tính cá nhân.

Nguồn tham khảo:

 

No Comments
Post a Comment