Ransomware Wannacry là gì? Vén bức màn “kinh hoàng”sau cái tên gọi này.

WannaCry đang là “cơn bão” gây sốt cộng đồng người dùng Internet trong những năm gần đây

Đúng như tên gọi Ransomware Wannacry làm “điêu đứng” hàng triệu người dùng Internet trên toàn thế giới. Hàng trăm triệu nạn nhân trên toàn cầu rơi vào tình trạng“muốn khóc”. Vì Ransomware có thể khai thác được lỗ hổng của hệ điều hành Windows. Và lấy được bất kỳ được một dữ liệu của người dùng nào làm “con tin”. Vậy cơ chế làm việc của Ransomware Wannacry sau khi lây nhiễm vào máy tính nạn nhân là gì? Hãy cùng chúng tôi vén bức màn kinh hoàng này nhé.

Ransomware- WannaCry-ma-doc-tong-tien_compressed
Ransomware Wannacry là gì? Vén bức màn “kinh hoàng”sau cái tên gọi này.

Đôi nét khám phá Ransomware WannaCry

Trong 2 năm gần đây cụm từ “Ransomware WannaCry” quá quen thuộc với người dùng Internet. Vậy Ransomware WannaCry là gì? Cơ chế hoạt động ra sao? Cách phòng ngừa như thế nào? Những câu hỏi này sẽ được chúng tôi làm sáng tỏ ngay dưới đây.

Ransomware WannaCry là gì?

WannaCry (hay còn gọi là WanaCrypt0r  2.0) được hiểu là mã độc tống tiền  (Ransomware) được tìm thấy cách đây 2 năm. WannaCry đang là “cơn bão” gây sốt cộng đồng người dùng Internet trong những năm gần đây. Mã độc này khởi điểm đến từ EternalBlue của nhóm Hacker có tên Shadow. Đây không chỉ là mã độc đơn giản, gây hại cho máy tính. Ransomware WannaCry còn được cho là sản phẩm có nguồn gốc từ cơ quan an ninh quốc gia của Hoa Kỳ.

co-che-lam-viec-cua-ransomware-wannacry-sau-khi-lay-nhiem-vao-may-tinh-nan-nhan-01
WannaCry đang là “cơn bão” gây sốt cộng đồng người dùng Internet trong những năm gần đây

Cũng giống như các loại mã độc Ransomware khác. Máy tính của chủ thể hoặc máy tính trong hệ thống doanh nghiệp bị mã độc này xâm nhập. Sẽ mã hóa tự động hàng loạt tất cả các tập tin. Theo những định dạng hướng đến như văn bản, hình ảnh… Mã độc WannaCry yêu cầu bạn phải trả một khoản tiền là 300$. Qua tài khoản bitcoin nào đó thì mới có thể nhận được bộ khóa để giải mã dữ liệu.

Ransomware WannaCry đã tấn công bằng hình thức nào?

Ransomware WannaCry tấn công máy tính như thế nào? Cơ chế làm việc của Ransomware Wannacry ra sao? Sau đây chúng tôi sẽ cùng làm sáng tỏ vấn đề này. Cũng như là giúp các bạn hiểu hơn về mã độc tống tiền trên. Cơ chế làm việc của Ransomware Wannacry sau khi lây nhiễm vào máy tính nạn nhân theo những bước dưới đây.

Ransomware- WannaCry-ma-doc-tong-tien-4_compressed
Ransomware WannaCry mã hóa đòi chuộc tiền

Bước 1: Chạy File Exe

Tức là bạn “lỡ” Click vào File thực thi để chạy Ransomware lên. Để lừa bạn chạy File này khá đơn giản bằng cách mở một email nào đó hay chạy File tải về từ Torrent với tên hấp dẫn. Một dạng khác của mã độc này còn có thể tự thực thi khi người dùng truy cập vào một trang web đã gài mã độc..

Bước 2: Kiểm tra beacon.

Ransomware sẽ truy cập vào 1 link dạng như sau: hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. Nếu có trả về phản hồi, nghĩa là tin tặc đã kiểm soát tên miền và muốn mã độc dừng lại, thì File exe sẽ không chạy tiếp. Còn nếu không có phản hồi thì Ransomware tiếp tục việc tấn công.

Bước 3:  WCry sẽ tận dụng cơ chế SMB.

Ransomware- WannaCry-ma-doc-tong-tien-3_compressed
Bước 3: WCry sẽ tận dụng cơ chế SMB.

SMB là giao thức truyền tải File trong HĐH Windows và nó được kích hoạt trên cả Windows và Windows Server. Vì thế cả máy PC hay Server đều sẽ bị ảnh hưởng. Malware lợi dụng cơ chế này lây lan sang các PC khác trong cùng mạng. Với các máy tính cá nhân có thể mã độc này không lây lan rộng. Thế nhưng với các hệ thống  IT công ty, tập đoàn thường kết nối các máy với nhau thì ảnh hưởng rất nặng nề. Lời khuyên cho các bạn là hãy tắt SMB.

Lỗ hổng SMB này còn được gọi khác là EternalBlue, đây là yếu tố trong số những Tool Hacking của NSA đã bị lộ ra ngoài vào bởi một nhóm Hacker tự gọi mình là “The Shadow Brokers”.

Bước 4: Chuẩn bị mọi thứ cho cuộc tấn công.

Ransomware chuẩn bị tất cả mọi thứ cho việc vận hành của mình. Cụ thể là thiết lập lên dịch vụ chạy nền, File Tor và File ví Bitcoin phục vụ cho việc giao dịch của nạn nhân với Hacker, File key mã hóa dạng public key. Key này sẽ khớp với Private key mà chỉ có bên tấn công mới có. Nó cũng là key để giải mã các File bị khóa.

Công việc chuẩn bị hoàn tất, nó sẽ thực hiện khởi động tiến trình mã hóa tất cả các File trong hệ thống. Ransomware cũng y như Virus, chúng cũng tự cho phép bản thân chạy lên cùng với HĐH Windows và tạo ra các Backup để nếu có bị xóa thì vẫn không mất hết.

Kẻ tấn công cũng không quên tắt các Process về CSDL.. Vấn đề này sẽ ảnh hưởng tới doanh nghiệp, công ty, tập đoàn là chủ yếu. Đối với máy tính cá nhân sẽ chẳng ai sử dụng làm Database Server cả. Bằng cách trên kẻ tấn công có thể gây tác động nhiều hơn tới doanh nghiệp và ép họ trả tiền sớm hơn với mong muốn hoạt động của mình vẫn được bình thường.

Hậu quả Wanna Cry để lại là gì?

Theo các nhà nghiên cứu, đây là vụ tấn công có quy mô rộng lớn. Nó đã tấn công vào nhiều bệnh viện ở Anh và Scotland (NHS). Ước tính 70.000 thiết bị từ máy tính, máy quét MRI, các công cụ… bị lây nhiễm. Trên toàn cầu có hơn 250.000 máy tính bị nhiễm mã độc.

hau-qua-wanna-cry-de-lai-la-gi
Hậu quả Wanna Cry để lại là gì?

Hầu hết các doanh nghiệp tại Châu Âu và Mỹ cũng bị tác động nặng nề. Trong đó có FedEx, Deutsche Bahn, LATAM Airlines. Nhà máy sản xuất của Nissan ở Vương Quốc Anh đã phải dừng hoạt động sau khi WannaCry lây vào một số hệ thống của công ty. Renault cũng phải dùng hoạt động. Có khoảng 99 quốc gia vẫn còn đang tiếp tục lây lan nhanh. Tại Việt Nam, một số công ty và máy tính cá nhân cũng đã bị tấn công.

WannaCry đòi 300$ để 1 PC được giải mã, tức là các công ty, tập đoàn sẽ bị thiệt hại số tiền này nếu họ đồng ý chi tiền.  Công ty với 100 máy tính là đã thấy con số tổn thất nặng nề. Và ngay cả khi không chấp nhận trả tiền thì họ cũng không thể tiếp tục sản xuất. Theo tính toán đến lúc này mã độc trên đã gây thiệt hại khoảng 200-300 triệu USD. Và đây vẫn chưa là con số cuối cùng.

Kiểm tra mức độ lây nhiễm Virus Wanna Cry như thế nào?

Bkav mang đến công cụ hoàn toàn không mất phí (trên Website của Bkav). Từ đó, mọi người có thể quét kiểm tra máy tính đang bị Wannacrypt xâm nhập hay không. Đặc biệt chúng có khả năng rà soát và đưa ra lời cảnh báo nếu thiết bị có chứa lỗ hổng EternalBlue. Đây chính là nơi mã độc trên khai thác để tấn công máy tính. Vì vậy bạn có thể sử dụng công cụ này để kiểm tra mức độ lây nhiễm của mã độc.

Ransomware- WannaCry-ma-doc-tong-tien-6_compressed
Kiểm tra mức độ lây nhiễm Virus Wanna Cry như thế nào?

Công ty an ninh mạng Vnist cũng đưa ra một vài công cụ cho phép dò quét lỗ hổng MS17-010 mà không hề mất phí. Chúng có khả năng hoạt động trong những dải mạng để phát hiện những PC chưa được khắc phục, cập nhật bản vá. Ngoài ra các bạn có thể dùng một vài  công cụ ứng dụng khác. Hãy tìm hiểu thêm nhé.

Cách phòng chống Virus WannaCry

Các chuyên gia nghiên cứu, khuyến nghị một số phương pháp phòng tránh mã độc “tống tiền” Ransomware Wannacry như sau:

Đối với người dùng máy tính là cá nhân.

  • Bạn phải tìm cách sao lưu toàn bộ dữ liệu quan trọng vào ổ cứng cá nhân. Hoặc là mua ổ cứng di động hay link google drive cũng rất tuyệt vời. Ngoài ra chiếc USB cũng là thiết bị lưu trữ giúp bạn phòng tránh được virus WannaCry tấn công dữ liệu quan trọng.
  • Bạn phải nhớ rằng “hệ điều hành bản quyền” là tài sản quý giá giúp bạn giảm tối đa sự tấn công của WannaCry.
  • Hãy lập tức tắt (disable) tính năng SMB bằng cách vào “Start”. Tìm đến ngay phần “Windows Features”, rồi loại bỏ dấu check chỗ SMB.
  • Luôn luôn cập nhật chương trình “Antivirus”. Nếu máy tính của bạn chưa cài đặt chương trình diệt vi rút nào. Cần tiến hành cài phần mềm “Antivirus” và ứng dụng một phần mềm Virus có bản quyền.
  • Bạn phải cẩn trọng trước khi mở Email có tệp đính kèm. Hoặc các đường dẫn lạ từ mạng xã hội, công cụ chát, thậm chí là đường dẫn ở trong mail.
  • Khi nhận được đường dẫn có đuôi .hta tuyệt đối không được mở. Hoặc đường dẫn bị rút gọn, có cấu trúc không rõ ràng
  • Tránh truy cập các Website đen, hoặc Website không được kiến nghị

Doanh nghiệp và tổ chức nên phòng tránh như thế nào

  • Lập tức tiến hành nâng cấp toàn bộ máy chủ, máy trạm có ứng dụng hệ điều hành Windows.
  • Ngắt toàn bộ mạng LAN trong hệ thống.
  • Tận dụng các giải pháp đảm bảo an toàn thông tin đang có sẵn trong tổ chức như Firewall, IDS/IPS, SIEM… để theo dõi.

Các bạn vừa cùng chúng tôi khám phá về hệ lụy của Cơ chế làm việc của Ransomware Wannacry sau khi lây nhiễm vào máy tính nạn nhân là gì? Hy vọng những thông tin và thủ thuật hữu ích chúng ta vừa cùng nhau tìm hiểu sẽ giúp bạn chọn được ứng dụng quản lý phù hợp với PC của bạn để phòng tránh nguy cơ lây nhiễm Ransomware Wannacry. Chúc các bạn sử dụng máy tính hiệu quả, an toàn!

Tìm hiểu cổng dịch vụ nào của máy tính được mã hóa đường truyền

Những ứng dụng có thể hỗ trợ điều khiển điện thoại bằng máy tính qua cap USB