Cảnh báo: Virus tống tiền WannaCry và các biến thể

Việt Nam trong top 20 nước bị mã độc tống tiền tấn công

  • Chỉ trong vài giờ, mã độc WannaCry đã ảnh hưởng tới hơn 114.000 máy tính tại hầu khắp các quốc gia, trở thành vụ lây nhiễm ransomware lớn nhất lịch sử.
  • Mã độc tống tiền hoành hành tại 99 quốc gia
  • Theo Kaspersky, mã độc tống tiền WannaCry đang lây lan mạnh trong đó chủ yếu gây ảnh hưởng tại Nga. Việt Nam nằm trong danh sách 20 nước hàng đầu bị tấn công, bên cạnh Ukraina, Ấn Độ, Trung Quốc, Đài Loan…

WannaCry lây nhiễm thế nào?

  • Tương tự các ransomware khác, mã độc tống tiền dụ người dùng bấm vào các email lừa đảo, thực hiện tải các tập tin hay ứng dụng độc hại. Sau khi nhiễm, WannaCry quét toàn bộ mạng nội bộ và lây lan sang tất cả máy tính cùng hệ thống.
  • Mã độc tống tiền này được xác định tấn công thông qua lỗ hổng SMB trong hệ điều hành Windows bằng cách khai thác EternalBlue. Đáng chú ý, đây cũng chính là điểm mà Cơ quan An ninh Quốc gia Mỹ (NSA) sử dụng để hack các máy tính.
  • Mặc dù đã được Microsoft vá từ tháng 3 năm ngoái nhưng vẫn còn một lượng lớn máy tính chạy Windows 7 hay Server 2008 chưa cài đặt bản sửa lỗi này. Theo công ty công nghệ Mỹ, WannaCry không gây ảnh hưởng tới các máy tính chạy Windows 10 trong đợt tấn công này.
  • Sau khi lây nhiễm, WannaCry tiến hành mã hóa dữ liệu trên máy tính người dùng với các định dạng tập tin văn phòng, file đa phương tiện, mã nguồn lập trình, chứng chỉ mã hóa hay tập tin đồ họa… Tiếp theo nó hiển thị thông báo đòi tiền chuộc nếu muốn giải mã để cứu dữ liệu. Thông báo của WannaCry được thể hiện bằng nhiều ngôn ngữ khác nhau, có tiếng Việt.
  • Với WannaCry, kẻ đứng sau mã độc này đòi người dùng trong ba ngày kể từ thông báo đầu tiên phải thanh toán 300 USD hoặc hơn bằng tiền ảo Bitcoin để giải mã. Nếu quá thời hạn trên, số tiền chuộc sẽ tăng gấp đôi lên mức 600 USD hoặc hơn và sau 7 ngày thì dữ liệu sẽ bị mất.
  • Mã độc hiển thị thông tin, hướng dẫn bằng 20 ngôn ngữ khác nhau trong đó có cả tiếng Việt. Ngoài ra, một đồng hồ đếm ngược cũng được thiết kế để cảnh báo.
  • Tuy nhiên, các chuyên gia an ninh cảnh báo rằng việc chấp nhận trả tiền chuộc không đảm bảo người dùng sẽ lấy lại được toàn bộ dữ liệu. Một số mã độc tống tiền có thể “vòi” thêm các khoản lớn hơn, hoặc tiếp tục mã hóa trở lại.

Bảo vệ trước WannaCry

  • Người dùng được khuyến cáo cập nhật phần mềm cho các thiết bị cá nhân, máy chủ lên bản mới nhất. Với hệ điều hành đã ngừng hỗ trợ như Windows XP, Vista, Windows 8, Server 2003 và 2008, Microsoft cũng mới tung ra bản vá khẩn cấp.
  • Với các email, liên kết không đáng tin cậy, người dùng được khuyến cáo tuyệt đối không bấm vào. Ngoài ra, việc cài đặt phần mềm diệt virus cũng giúp tăng cường bảo vệ máy tính.
  • Các cá nhân sử dụng máy tính cài đặt Windows cần thực hiện cập nhật ngay các phiên bản hệ điều hành windows đang sử dụng. Riêng đối với các máy tính sử dụng Windows XP, sử dụng bản cập nhật mới nhất dành riêng cho sự vụ này tại: https://www.microsoft.com/en-us/download/details.aspx?id=55245&WT.mc_id=rss_windows_allproducts hoặc tìm kiếm theo từ khóa bản cập nhật KB4012598 trên trang chủ của Microsoft.
  • Các cá nhân cũng cần cập nhật ngay các chương trình Antivius đang sử dụng. Đối với các máy tính không có phần mềm Antivirus cần tiến hành cài đặt và sử dụng ngay một phần mềm Antivirus có bản quyền. iPOS khuyến cáo người dùng cẩn trọng khi nhận được email có đính kèm và các đường link lạ được gửi trong email, trên các mạng xã hội, công cụ chat…
  • Người dùng cần cần thận trọng khi mở các file đính kèm ngay cả khi nhận được từ những địa chỉ quen thuộc. Sử dụng các công cụ kiểm tra phần mềm độc hại trực tuyến hoặc có bản quyền trên máy tính với các file này trước khi mở ra. Người dùng không mở các đường dẫn có đuôi .hta hoặc đường dẫn có cấu trúc không rõ ràng, các đường dẫn rút gọn link đồng thời thực hiện biện pháp lưu trữ (backup) dữ liệu quan trọng ngay.
  • Đối với tổ chức, doanh nghiệp, đặc biệt là với các quản trị viên hệ thống cần phải kiểm tra ngay lập tức các máy chủ và tạm thời khóa (block) các dịch vụ đang sử dụng các cổng 445/137/138/139. Các tổ chức, doanh nghiệp cần tiến hành các biện pháp cập nhật sớm, phù hợp theo từng đặc thù cho các máy chủ windows của tổ chức. Tạo các bản snapshot đối với các máy chủ ảo hóa đề phòng việc bị tấn công. Các tổ chức, doanh nghiệp phải có biện pháp cập nhật các máy trạm đang sử dụng hệ điều hành Windows. Cập nhật cơ sở dữ liệu cho các máy chủ Antivirus Endpoint đang sử dụng. Đối với hệ thống chưa sử dụng các công cụ này thì cần triển khai sử dụng các phần mềm Endpoint có bản quyền và cập nhật mới nhất ngay cho các máy trạm. Các tổ chức, doanh nghiệp tận dụng các giải pháp đảm bảo an toàn thông tin đang có sẵn trong tổ chức như Firewall, IDS/IPS, SIEM…để theo dõi, giám sát và bảo vệ hệ thống trong thời điểm nhạy cảm này.

 

Trả lời bài viết