Cập nhật cách xử lý khi bị mã độc WannaCry tấn công

Cập nhật cách xử lý khi bị mã độc WannaCry tấn công

Tháng Năm 16, 2017 Kiến thức tổng hợp Resources 0

“Tổng hợp về WannaCry cho người không biết gì”

WannaCry là virus (gọi vậy cho dễ hiểu và thân quen) mà khi nhiễm sẽ mã hóa toàn bộ các file dữ liệu trên máy và tống tiền nên nó được gọi là Ransomware (mã độc tống tiền). Tên khoa học của nó là WannaCrypt (chỉ dân bảo mật dùng tên này cho dễ gọi. WannaCry là tên tác giả malware đặt trong code). Tác giả rất biết chơi chữ, dính virus này là chỉ muốn khóc.

WannaCry đang hoành hành toàn cầu. Việt Nam nằm trong top 20 nước bị ảnh hưởng nặng nhất. Ảnh: Intel.

Cách lây lan:

1. Tác giả virus này vẫn đang phát tán nó qua phương thức thông thường là nhúng vô các bản crack, các trang web có nhiều người truy cập (trang phim cấp ba, chia sẻ phầm mềm lậu…). Khi nạn nhân lỡ tay tải về hoặc truy cập các trang linh tinh thì dính. Về kỹ thuật thì nó vẫn đang phát tán malware qua các mạng lưới phát tán malware và các exploitkit.

2. WannaCry lây lan mạnh vì nó không chỉ phát tán theo cách truyền thống như trên mà nó còn lây lan qua mạng LAN do tận dụng các công cụ khai thác lỗi SMB mà NSA (Cơ quan An ninh Quốc gia Hoa Kỳ) phát triển bí mật, nhưng xui bị nhóm ShadowBroker đánh cắp và tung ra public từ cả tháng trước.

Lúc Shadow Broker tung ra các công cụ này thì các chuyên gia bảo mật đã kháo nhau là thế nào cũng sẽ có cảnh khai thác hàng loạt như con Wanna Cry đang làm.

Nói dễ hiểu, nếu một máy trong mạng LAN bị nhiễm WannaCry thì toàn bộ các máy trong mạng LAN cũng có thể “ăn hành” nếu như không được vá lỗi trước đó. Ví dụ: Cô bé đồng nghiệp xinh xách laptop Windows ra quán cà phê ngồi và tải gì đó để dính WannaCry, xong mang máy về công ty kêu IT sửa, IT lỡ dại cắm máy vô mạng mở lên. Bùm, cả công ty bị lây nhiễm.

Vì cách lây lan như trên mà việc thực hiện các bước an toàn như tắt SMBv1 và cập nhật cho Windows bản vá lỗi mới nhất KHÔNG HOÀN TOÀN AN TOÀN. Nó chỉ ngăn việc con virus này nhảy từ máy khác cùng mạng LAN qua máy bạn. Không ngăn việc bạn xui xẻo tải trúng nó từ Internet.

Virus này chỉ lây lan trên Windows và mạng máy tính Windows, hiện không có phiên bản biến thể nào hoạt động trên Mac và Linux.

Cách phòng chống:

1. Cập nhật bản vá lỗi mới nhất cho Windows. Nếu những ai tắt Windows Update, họ đang tự ngủ trên bãi mìn không biết khi nào nổ. Xem thêm: http://www.thaitrien.com/cach-de-phong-ma-doc-wannacry-khan-cap/

2. Disable (tắt) tính năng SMB bằng cách vô “Start”, tìm “Windows Features”, xong bỏ dấu check chỗ SM (xem các bước bên dưới).

3. Cập nhật các phần mềm Antivirus. Hiện Windows Defender, McAfee, Symantec, ESET, Bitdefender… và các phần mềm nổi tiếng đều đã update WannaCry. Sau khi cập nhật thì nhớ bật tính năng bảo vệ Realtime Protection (hoặc tên giống vậy) để ngăn máy tính bị nhiễm.

4. Backup (sao lưu) dữ liệu quan trọng là cách tốt nhất để chống ransomware. Hãy nhớ backup thường xuyên. Nếu là người dùng cá nhân thì mua ổ cứng di động, copy dữ liệu quan trọng ra rồi cất đi. Không cắm ổ cứng này thường xuyên vô máy, lúc cần mới dùng để backup hoặc lấy dữ liệu ra.

5. Nên dùng các dịch vụ Cloud Drive như Google Drive, OneDrive, DropBox để thường xuyên sync (đồng bộ) dữ liệu lên Mây (Cloud). Giá của các dịch vụ này rẻ, Google Drive miễn phí 15 GB và bán 100 GB có 45.000 đồng/tháng, hoặc 250.000 đồng/tháng cho 1.000 GB (1 TB). Hoặc người dùng cũng có thể mua gói Google Enterprise giá có 15 USD/tháng không hạn chế dung lượng lưu trữ.

6. Quét máy tính của bạn ngay với phần mềm miễn phí từ BKAV: http://www.bkav.com.vn/Tool/CheckWanCry.exe

Tại sao nên dùng dịch vụ Cloud Drive?

Nếu lỡ dính ransomware vào máy, nó vẫn mã hóa file trên máy và các dịch vụ lưu trữ đám mây vẫn đồng bộ (sync) bản dữ liệu bị mã hóa lên máy chủ. Nhưng các dịch vụ này có hỗ trợ tính năng File Versions. Tức là 1 file bạn backup trên Cloud thì sẽ được lưu 30 bản khác nhau của 30 ngày gần nhất. Tức là bạn có thể tải về bất kỳ phiên bản cũ nào của cái file đã bị ransomware nó “ăn”. Lúc đó dữ liệu được phục hồi nguyên trạng.

Cách xử lý khi bị nhiễm Ransomware WannaCry

1. Ngắt ngay lập tức các máy tính bị nhiễm khỏi mạng LAN, tránh để nó lây lan qua các máy khác.

2. Trả tiền cho tác giả của WannaCry để nhận mã giải cứu hay không là quyết định của bạn. Hiện chưa có báo cáo nào về việc chúng có đưa mã giải mã cho nạn nhân sau khi nhận tiền hay không. Hiện chỉ mới 160 giao dịch trị giá khoảng 300.000 USD được gửi tới địa chỉ BitCoin mà tác giả cung cấp. Tại Việt Nam, giá “cứu” mỗi máy là 2 BitCoin đổi ra là 80 triệu đồng, không hề rẻ.

3. Hiện có thông tin bên trong WannaCry tồn tại lỗi trong cách thức nó mã hóa dữ liệu, nên các chuyên gia bảo mật đang thử tìm cách khai thác và viết công cụ giải mã. Nếu dữ liệu quá quan trọng thì bạn có thể cất ổ cứng bị nhiễm WannaCry đi chờ công cụ này. WannaCry quá ảnh hướng nên giới chuyên gia sẽ để tâm và công sức làm phần mềm giải mã.

4. Nếu bạn không có gì để mất thì hãy format toàn bộ ổ cứng và cài lại Windows. Nên nhớ là chỉ FORTMAT TOÀN BỘ Ổ CỨNG thì mới sạch máy, chứ chỉ format ổ C rồi cài lại thì không giải quyết được vấn đề.

Tên các phát hiện của Kaspersky Lab liên quan đến WannaCry:

• Trojan-Ransom.Win32.Scatter.uf
• Trojan-Ransom.Win32.Scatter.tr
• Trojan-Ransom.Win32.Fury.fr
• Trojan-Ransom.Win32.Gen.djd
• Trojan-Ransom.Win32.Wanna.b
• Trojan-Ransom.Win32.Wanna.c
• Trojan-Ransom.Win32.Wanna.d
• Trojan-Ransom.Win32.Wanna.f
• Trojan-Ransom.Win32.Zapchast.i
• Trojan.Win64.EquationDrug.gen
• Trojan.Win32.Generic

Các phần mở rộng mà mã độc nhắm tới để mã hóa gồm các nhóm định dạng sau:

1. Các phần mở rộng tập tin văn phòng thông thường được sử dụng (.ppt, .doc, .docx, .xlsx, .sxi).
2. Các định dạng văn phòng ít phổ biến và đặc thù của quốc gia (.sxw, .odt, .hwp).
3. Lưu trữ, tập tin phương tiện (.zip, .rar, .tar, .bz2, .mp4, .mkv)
4. Email và cơ sở dữ liệu email (.eml, .msg, .ost, .pst, .edb).
5. Các tập tin cơ sở dữ liệu (.sql, .accdb, .mdb, .dbf, .odb, .myd).
6. Mã nguồn và tập tin dự án của nhà phát triển (.php, .java, .cpp, .pas, .asm).
7. Khóa và chứng chỉ mã hóa (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
8. Các tác giả thiết kế đồ hoạ, tác giả và nhiếp ảnh gia (.vsd, .odg, .raw, .nf, .svg, .psd).
9. Tập tin máy ảo (.vmx, .vmdk, .vdi).

Các chuyên gia của Kaspersky Lab hiện tiếp tục làm việc về khả năng tạo ra công cụ giải mã để giúp đỡ các nạn nhân.

Kaspersky khẳng định, hãng sẽ cập nhật khi công cụ này sẵn sàng và cộng đồng có thể theo dõi tại trang www.nomoreransom.org để tìm kiếm công cụ giải mã phù hợp.

Cách phòng chống mã độc WannaCry theo khuyến cáo của Kaspersky:

– Đảm bảo rằng tất cả các máy tính đã được cài đặt phần mềm bảo mật và đã bật các thành phần chống phần mềm tống tiền.

– Cài đặt bản vá chính thức (MS17-010) từ Microsoft nhằm vá lỗ hổng SMB Server bị khai thác trong cuộc tấn công này.
Đảm bảo rằng các sản phẩm của Kaspersky Lab đã bật thành phần System Watcher (trạng thái Enable).

– Thực hiện quét hệ thống (Critical Area Scan) có trong các giải pháp của Kaspersky Lab để phát hiện các lây nhiễm nhanh nhất (nếu không các lây nhiễm sẽ được phát hiện tự động nhưng sau 24 giờ).

– Nếu phát hiện có tấn công từ phần mềm độc hại như tên gọi MEM: Trojan.Win64.EquationDrug.gen thì cần reboot lại hệ thống.

– Một lần nữa, hãy chắc chắn bản vá MS17-010 được cài đặt.
– Tiến hành sao lưu dữ liệu thường xuyên vào các nơi lưu trữ không kết nối với Internet.

Các bước xử lý cụ thể trên máy tính người dùng để phòng chống WannaCry

LÀM TỪ A ĐẾN C NHÉ KO BỎ BƯỚC NÀO

A. Kiểm tra port 445 Mở CMD quyền Admin và gõ netstat -an | findstr 445.

Nếu gõ không hiện ra cái gì thì là OK còn nếu có chữ LISTENNING thì phải block port ngay.

B. Tắt SMB

(Mở Powershell lên và oánh các lệnh sau) Mở Start-> Windows PowerShell-> Phải chuột vào Windows Powershell chọn Run as administrator Copy từng dòng Paste vào.

Nếu nó hiện lỗi gì thì bỏ qua sang dòng khác. (Ctrl+C sau đó nhấp chuột phải là dòng tự động paste vào CMD. Không Ctrl+V).

Remove-WindowsFeature FS-SMB1

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi

sc.exe config mrxsmb10 start= disabled

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi

sc.exe config mrxsmb20 start= disabled Set-SmbServerConfiguration -EnableSMB2Protocol $false

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB2 -Type DWORD -Value 0 -Force

C. Chặn port 445/137/138/139 trên Firewall

Máy nào cài Antivirus mà có tường lửa riêng thì phải cấu hình trên tường lửa riêng của Anivirus. Còn máy nào ko xài Antivirus hoặc Windows Defener thì làm như sau:

B1: Mở Start search cụm từ Firewall và chọn Windows Firewall with Advanced security

B2: Inbound Rules-> New Rule-> Port

B3: Chọn UDP-> Specific local ports nhập dòng này vào 445, 137, 138, 139

B4: Block the connection

B5: Tick cả 3 cái

B6: Đặt tên tùy ý-> finish

B7: Kiểm tra lại xem bật firewall chưa, chưa thì bật lên

D. Tắt Server Service

B1: Run-> Services.msc

B2: Tìm tới Services tên là Server. Phải chuột chọn Stop

B3: Click đúp vào nó. Startup type sửa thành Disabled. Apply->OK

Sau khi làm xong tất cả RESTART LẠI MÁY. CẤM SHUTDOWN
Tổng hợp.

 

Gửi phản hồi

Back To Top