Các cách khắc phục căn bản mã độc Ransomware Wanna Cry
Mã độc Wanna Cry là gì? Nó thực sự nguy hiểm như thế nào?
Mã độc sẽ mã hóa các thông tin từ máy tính của chủ thể, khóa và đòi tiền chuộc 300$ để sử dụng lại dữ liệu bình thường, đáng ngại hơn chúng lây lan cực nhanh qua các cổng mạng Lan, Port,... các email, quảng cáo, đường link không xác thực với độ nguy hiểm rất cao. Hãng bảo mật Avast cho biết mã độc tống tiền có tên WannaCry đang lan rộng khắp thế giới, bao gồm Anh, Mỹ, Trung Quốc, Nga, Đài Loan hay Việt Nam... Hàng nghìn máy tính đã bị khóa và đòi 300 USD tiền chuộc thông qua Bitcoin.
Đáng chú ý, mã độc tống tiền nêu trên và các biến thể của nó khai thác một lỗ hổng trên hệ điều hành Windows mà Cơ quan An ninh Quốc gia Mỹ (NSA) nắm giữ. Tội phạm mạng đã sử dụng chính những công cụ của NSA để lây lan ransomware. Khi bị nhiễm mã độc WannaCry, người dùng sẽ khó phát hiện ra đến khi nó tự gửi thông báo cho biết máy tính đã bị khóa, mọi tập tin bị mã hóa. Bạn chỉ có thể khôi phục dữ liệu nếu trả 300 USD cho kẻ tấn công, thanh toán qua tiền ảo Bitcoin.
Sau 3 ngày mà chưa làm, mức tiền chuộc sẽ tăng lên gấp đôi và hết thời hạn 7 ngày nhưng chưa thanh toán thì dữ liệu của người dùng sẽ bị mất. Mã độc ghi đầy đủ thông tin thanh toán, đếm lùi thời gian và được thể hiện bằng nhiều ngôn ngữ.
"Nạn nhân" nổi bật trong vụ tấn công trên là Dịch vụ Y tế Quốc gia Anh (NHS). Theo nhân viên tại đây, một số ca phẫu thuật tại bệnh viện và lịch hẹn của bác sỹ đã bị hủy. "Các bệnh nhân chắc chắn sẽ phải chịu ảnh hưởng".
WannaCry lây nhiễm thế nào?
Tương tự các ransomware khác, mã độc tống tiền dụ người dùng bấm vào các email lừa đảo, thực hiện tải các tập tin hay ứng dụng độc hại. Sau khi nhiễm, WannaCry quét toàn bộ mạng nội bộ và lây lan sang tất cả máy tính cùng hệ thống. Mã độc tống tiền này được xác định tấn công thông qua lỗ hổng SMB trong hệ điều hành Windows bằng cách khai thác EternalBlue. Đáng chú ý, đây cũng chính là điểm mà Cơ quan An ninh Quốc gia Mỹ (NSA) sử dụng để hack các máy tính.
Mặc dù đã được Microsoft vá từ tháng 3 năm ngoái nhưng vẫn còn một lượng lớn máy tính chạy Windows 7 hay Server 2008 chưa cài đặt bản sửa lỗi này. Theo công ty công nghệ Mỹ, WannaCry không gây ảnh hưởng tới các máy tính chạy Windows 10 trong đợt tấn công này.
Sau khi lây nhiễm, WannaCry tiến hành mã hóa dữ liệu trên máy tính người dùng với các định dạng tập tin văn phòng, file đa phương tiện, mã nguồn lập trình, chứng chỉ mã hóa hay tập tin đồ họa... Tiếp theo nó hiển thị thông báo đòi tiền chuộc nếu muốn giải mã để cứu dữ liệu.
QUAN TRỌNG - CÁC CÁCH KHẮC PHỤC CĂN BẢN ĐỂ NGĂN CHẶN MÃ ĐỘC WANNA CRY
-
CẬP NHẬT HỆ ĐIỀU HÀNH WINDOWN MS17-010 NGAY LẬP TỨC
Người dùng được khuyến cáo cập nhật phần mềm cho các thiết bị cá nhân, máy chủ lên bản mới nhất. Với hệ điều hành đã ngừng hỗ trợ như Windows XP, Vista, Windows 8, Server 2003 và 2008, Microsoft cũng mới tung ra bản vá khẩn cấp. Với các email, liên kết không đáng tin cậy, người dùng được khuyến cáo tuyệt đối không bấm vào. Ngoài ra, việc cài đặt phần mềm diệt virus cũng giúp tăng cường bảo vệ máy tính.
Các chuyên gia an ninh khuyên người sử dụng máy tính nên cài đặt
Microsoft fix-công cụ khắc phục sự cố trên Windows để vá lỗi MS17-010 ngay lập tức. MS17-010 được cho là lỗi trên Windows bị lợi dụng trong cuộc tấn công mạng toàn cầu ngày 12/5. Sau khi cài đặt, người sử dụng nên đảm bảo thực hiện công đoạn khởi động lại máy.
-
CẨN TRỌNG VỚI NHỮNG EMAIL, ĐƯỜNG LINK LẠ, CÁC THẺ LINK XẤU TỪ FACEBOOK, WEB ĐEN...
Giống như các mã độc tống tiền khác, loại virus trong cuộc tấn công mạng toàn cầu ngày 12/5 có thể xâm nhập vào hệ thống của máy tính không chỉ qua lỗ hổng hệ điều hành Windows mà còn cả tấn công giả mạo “spray-‘n’-pray”. Đây là hình thức bẫy người dùng vào các email chứa mã độc. Tin tặc còn có thể khiến nạn nhân nhấp chuột vào đường dẫn URL nơi các phần mềm độc hại đang “phục kích” để đột nhập vào máy tính.
Bởi vì ransomware nhắm đến những người sử dụng internet nên các nhà cung cấp dịch vụ và bất cứ cá nhân hoặc tổ chức nào cần truy cập liên tục vào hệ thống của họ cần vô cùng cẩn trọng trước những trang web hoặc file đính kèm mà họ định mở.
Người sử dụng nên tránh truy cập các trang web lạ, những trang quảng cáo và không tải ứng dụng từ các nguồn không chính thức.
-
TẢI CÁC PHẦN MỀM DIỆT VIRUS BẢN QUYỀN VÀ KHÔNG TRẢ TIỀN CHUỘC
Nên sử dụng công cụ loại bỏ ransomware trong phần mềm diệt virus. Hầu hết phần mềm diệt virus có trả phí sẽ bảo vệ máy tính của khách hàng. Vì vậy ngay cả khi ransomware vượt qua được tường bảo vệ an ninh trong máy tính của bạn thì có khả năng trong một thời gian ngắn, phần mềm diệt virus tự động cập nhật sẽ loại trừ kẻ xâm nhập.
Các chuyên gia cho biết những nạn nhân trả tiền chuộc chưa chắc 100% có thể truy cập lại vào dữ liệu bị trộm. Ngoài ra, những tên tin tặc có thể thực hiện thêm cuộc tấn công khác hoặc đòi thêm tiền chuộc.
-
SAO LƯU BACKUP TOÀN BỘ DỮ LIỆU TRƯỚC KHI QUÁ MUỘN
Để bảo vệ chính bạn trước khả năng trở thành con tin của những kẻ trộm dự liệu, nên tạo ra bản sao lưu (backup) trong máy tính để làm kho giữ thông tin. Tuy nhiên điều này cũng chưa hẳn an toàn tuyệt đối do vậy sử dụng các thiết bị lưu trữ ngoài (ổ cứng di động, USB, thẻ nhớ…) cũng được khuyến khích để giúp các dữ liệu không bị nhiễm ransomware.
Một lựa chọn khác là sử dụng lưu trữ trực tuyến Cloud storage, tuy nhiên phương pháp này cũng phải đối mặt với những dạng tấn công mạng khác.
-
CAN THIỆP BẰNG CMD VỚI QUYỀN ADMIN
Mở cmd với quyền Admin -> Chạy lệnh `sc stop lanmanserver` -> Chạy tiếp lệnh `sc config lanmanserver start=disabled`
Kiểm tra lại bằng lệnh `netstat -n -a | findstr "LISTENING" | findstr ":445" `, nếu chạy xong thấy hiện dòng trống nghĩa là đã patch thành công.
Lưu ý: Tất cả các lệnh mình đã đặt giữa cặp dấu ` `, khi paste nhớ bỏ dấu '.
Tải và cài đặt thêm để đảm bảo: https://ransomfree.cybereason.com/download/
Becare!