Làm cách nào ngăn chặn virus WannaCry lây lan vào Việt Nam?

emily1

Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) vừa gửi cảnh báo đến các cơ quan trung ương, cơ quan chính phủ, bộ ngành, doanh nghiệp, tổ chức… cả nước về việc phòng ngừa và ngăn chặn tấn công mã độc WannaCrypt và các biến thể.

Việt Nam nằm trong nhóm 20 quốc gia bị ảnh hưởng nặng nhất bởi WannaCry. Nguồn: Kaspersky.

Theo VNCERT, đây là mã độc cực kỳ nguy hiểm, có thể đánh cắp thông tin và mã hoá toàn bộ hệ thống máy chủ của tổ chức bị hại. Khi nhiễm mã độc này, hệ thống máy tính sẽ bị "đóng băng" bằng chuỗi mã, khiến các tổ chức, doanh nghiệp phải chi trả số tiền lớn để "chuộc" lại dữ liệu.

Vì vậy, VNCERT yêu cầu các cơ quan, tổ chức phải thực hiện nghiêm lệnh điều phối ứng cứu khẩn cấp. Trung tâm này đưa ra danh sách dài những nhận dạng của mã độc WannaCry gồm các máy chủ điều khiển, danh sách tập tin, danh sách mã băm (Hash SHA-256).

Theo Kaspersky, Việt Nam nằm trong top 20 quốc gia bị ảnh hưởng nặng nhất, trong đó có Nga, Ukraine, Ấn Độ, Đài Loan, Tajikistan, Kazakhstan, Luxembourg, Trung Quốc, Romania...

WannaCry là loại mã độc được xếp vào dạng ransomware (bắt cóc dữ liệu đòi tiền chuộc). Tin tặc triển khai mã từ xa SMBv2 trong Microsoft Windows. Khai thác này (có tên mã là "EternalBlue") đã được làm sẵn trên Internet thông qua Shadowbrokers dump vào ngày 14/4, dù lỗ hổng này trước đó đã được vá bởi Microsoft từ ngày 14/3. Tuy nhiên, rất nhiều tổ chức và người dùng chưa cài đặt bản vá này và trở thành nạn nhân của WannaCry.

Thông báo hiện lên màn hình máy tính bị nhiễm mã độc WannaCry.

Sau khi bị nhiễm WannaCry, máy tính nạn nhân hiện dòng chữ thông báo toàn bộ dữ liệu đã bị mã hoá và không thể sử dụng. Để đòi lại dữ liệu này, người dùng cần chi trả số tiền nhất định càng sớm càng tốt. Càng đợi lâu, số "tiền chuộc" càng tăng lên. Tinh vi hơn, các hacker đứng sau cuộc tấn công này chỉ nhận tiền chuộc bằng bitcoin.

Những người thiết kế WannaCry đã chuẩn bị sẵn phần "Hỏi - Đáp" bằng các ngôn ngữ khác nhau, bao gồm tiếng Việt, Trung Quốc, Đan Mạch, Hà Lan, Anh, Philippines, Pháp, Nhật... Những “Hỏi – Đáp” này dạng như: Tôi có thể phục hồi các tập tin của mình không? Tôi trả tiền như thế nào? Làm sao để liên hệ?...

Theo Giám đốc Europol Rob Waineright, phạm vi lây nhiễm toàn cầu của WannaCry chưa từng có tiền lệ. Số nạn nhân hiện ít nhất là 200.000 ở 150 quốc gia. Trong đó có nhiều doanh nghiệp, tập đoàn lớn.

Cách phòng chống mã độc WannaCry theo khuyến cáo của Kaspersky:

Đảm bảo rằng tất cả các máy tính đã được cài đặt phần mềm bảo mật và đã bật các thành phần chống phần mềm tống tiền.

Cài đặt bản vá chính thức (MS17-010) từ Microsoft nhằm vá lỗ hổng SMB Server bị khai thác trong cuộc tấn công này.

Đảm bảo rằng các sản phẩm của Kaspersky Lab đã bật thành phần System Watcher (trạng thái Enable).

Thực hiện quét hệ thống (Critical Area Scan) có trong các giải pháp của Kaspersky Lab để phát hiện các lây nhiễm nhanh nhất (nếu không các lây nhiễm sẽ được phát hiện tự động nhưng sau 24 giờ).

Nếu phát hiện có tấn công từ phần mềm độc hại như tên gọi MEM: Trojan.Win64.EquationDrug.gen thì cần reboot lại hệ thống.

Một lần nữa, hãy chắc chắn bản vá MS17-010 được cài đặt.

Tiến hành sao lưu dữ liệu thường xuyên vào các nơi lưu trữ không kết nối với Internet

Ransomware "WanaCrypt0r 2.0" là gì và tại sao nó lại gây ra cuộc tấn công lớn đến thế?

Ransomware đã sử dụng một lỗ hổng lần đầu tiên được tiết lộ công khai là một phần trong tài liệu liên quan đến NSA để lây nhiễm các máy tính Windows và mã hóa nội dung, sau đó yêu cầu tiền chuộc mới cung cấp chìa khóa giải mã các tệp tin quan trọng.

Vụ tấn công này đã lây nhiễm đến số lượng lớn máy tính trên toàn cầu, chưa đến 6 giờ sau khi nó được các chuyên gia bảo mật phát hiện ra, một phần vì khả năng lây nhiễm trong mạng lưới từ PC đến PC.

Ransomware đã khiến các bệnh viện tại Anh phải chuyển hướng các bệnh nhân cấp cứu – nhưng nó là gì, nó lây nhiễm như thế nào và tại sao nó lại xảy ra?

Ransomware là gì?
Ransomware là một loại phần mềm độc hại cực kỳ khó chịu, nó chặn đường truy cập vào máy tính hoặc dữ liệu và yêu cầu trả tiền chuộc mới giải phóng dữ liệu.

Ransomware hoạt động như thế nào?
Khi một máy tính bị lây nhiễm, ransomware thường liên lạc với máy chủ trung tâm để có thông tin cần thiết kích hoạt, và sau đó nó bắt đầu mã hóa các tập tin trên máy tính bị nhiễm. Một khi tất cả các file được mã hóa, nó sẽ gửi một tin nhắn yêu cầu thanh toán để giải mã các tập tin - và đe dọa phá hủy dữ liệu nếu không được trả tiền, lời đe dọa thường đi kèm với một bộ đếm thời gian để tăng áp lực.

Ransomware lây nhiễm như thế nào?
Hầu hết các ransomware đều được ẩn trong tài liệu Word, các tệp PDF và các tệp tin thông thường khác, chúng được gửi qua email hoặc thông qua nhiễm độc thứ cấp trên các máy tính đã bị ảnh hưởng, cung cấp cửa sau để tiếp tục tấn công.

WanaCrypt0r 2.0 là gì?
Mã độc đang lây nhiễm trong hãng viễn thông Telefónica ở Tây Ban Nha và hàng chục ngàn máy tính trên thế giới là phần mềm tương tự: một ransomware lần đầu tiên bị các chuyên gia bảo mật MalwareHunterTeam phát hiện lúc 9:45 sáng ngày 12/5 (giờ Mỹ).

Chưa đầy 4 tiếng sau, ransomware đã lây nhiễm đến các máy tính của NHS và nhiều hệ thống máy tính trên thế giới. Hiện ransomware này đang được gọi là Wanna Decryptor 2.0, WCry 2, WannaCry 2 và Wanna Decryptor 2.

Hacker đòi bao nhiêu tiền chuộc?
WanaCrypt0r 2.0 đang đòi 300 USD tiền chuộc bằng bitcoin để mở khóa các nội dung trên máy tính.

Chúng là ai?
Những kẻ tạo ra mảnh ransomware này vẫn chưa được biết đến, nhưng WanaCrypt0r 2.0 là nỗ lực thứ hai của chúng để tống tiền. Một phiên bản trước đó, được đặt tên WeCry, đã được phát hiện hồi tháng 2 năm nay: nó đòi người dùng tiền chuộc 0.1 bitcoin (hiện tại có giá trị 177 USD) để mở các tập tin và chương trình.

NSA có liên quan thế nào đến vụ tấn công này?
Một khi người dùng vô tình cài đặt ransomware trên máy tính, nó sẽ cố gắng lây lan sang các máy tính khác trong cùng mạng lưới. Để thực hiện việc này, WanaCrypt0r sử dụng một lỗ hổng trong hệ điều hành Windows, lây lan giữa PC và PC. Lỗ hổng này lần đầu tiên bị tiết lộ là một phần trong các công cụ của NSA bị rò rỉ, và nó được một nhóm hacker vô danh "Shadow Brokers" công bố hồi vào tháng Tư.

Microsoft có hành động nào để bảo vệ người dùng không?
Có. Ngay trước khi Shadow Brokers công bố các tệp tin, Microsoft đã phát hành bản vá cho các phiên bản Windows bị ảnh hưởng, đảm bảo lỗ hổng không thể bị lợi dụng để lây lan phần mềm độc hại giữa các phiên bản đã cập nhật đầy đủ của hệ điều hành. Nhưng vì nhiều lý do, các tổ chức thường chậm cài đặt các bản cập nhật bảo mật trên quy mô rộng.

Shadow Brokers là ai? Có phải chúng đứng sau vụ tấn công này?
Có vẻ Shadow Brokers không trực tiếp tham gia cuộc tấn công, thay vào đó, một nhà phát triển cơ hội nào đó dường như đã phát hiện ra thông tin trong các tệp bị rò rỉ và cập nhật phần mềm của riêng họ. Bản thân Shadow Brokers là ai thì không ai thực sự biết, nhưng nhiều nghi vấn cho rằng đó là các thủ phạm người Nga

Có nên trả tiền chuộc để giải mã dữ liệu?
Đôi khi việc trả tiền chuộc sẽ được giải mã dữ liệu, nhưng đôi khi lại không. Đối với ransomware Cryptolocker một vài năm trước đây, một số người dùng báo cáo rằng họ thực sự đã lấy lại được dữ liệu sau khi trả tiền chuộc, thường khoảng 300 bảng Anh. Nhưng không có đảm bảo nào việc trả tiền sẽ giúp ích, bởi vì bọn tội phạm trực tuyến không phải là những người đáng tin cậy.

Ngoài ra, còn có vấn đề đạo đức: trả tiền chuộc sẽ tiếp sức cho các tội ác xảy ra.

Tôi nên làm gì?
Một khi ransomware đã mã hóa các tập tin của bạn, bạn hầu như không thể làm gì. Nếu bạn có một bản sao lưu các tập tin, bạn sẽ có thể khôi phục lại chúng sau khi đã làm sạch máy tính, nhưng nếu không, các tập tin của bạn có thể "ra đi".

Tuy nhiên, một số ransomware kém cỏi lại bị các nhà nghiên cứu bảo mật tấn công lại, và cho phép việc khôi phục dữ liệu xảy ra. Nhưng những tình huống như thế khá hiếm, và không áp dụng trong vụ tấn công diện rộng như vụ tấn công WanaCrypt0r này.

Vụ tấn công này sẽ kéo dài bao lâu?
Ransomware thường có thời hạn sử dụng ngắn. Khi các nhà cung cấp phần mềm diệt vi rút ra các phiên bản cập nhật mới, họ có thể ngăn ngừa mọi mã độc lây lan và ngăn chặn nguồn gốc lây lan.

Liệu mọi dấu vết có bị xóa hết?
Bitcoin, phương tiện thanh toán mà hacker đang đòi tiền chuộc, rất khó theo dõi, nhưng không phải là không thể. Và với quy mô cuộc tấn công rộng như thế này, các nhà thực thi luật pháp tại nhiều quốc gia sẽ cùng vào cuộc, xem xét họ có thể theo dõi hay không.

Vì sao Cơ quan y tế quốc gia Anh (NHS) lại là mục tiêu?
NHS dường như không phải là mục tiêu đặc biệt, nhưng vì tổ chức này đang dùng phần mềm cũ, không được hỗ trợ. Nhiều đơn vị trong NHS vẫn dùng Windows XP, một phiên bản hệ điều hành của Microsoft từ nửa thập kỷ qua không được cập nhật; và thậm chí những người chạy phiên bản hệ điều hành mới hơn cũng thường không cập nhật bản vá. Đối với một cuộc tấn công lợi dụng lỗ hổng đã được vá cách đây 3 tháng, chỉ cần một chút lơ là cũng có thể trở thành thảm họa.

Làm cách nào ngăn chặn virus WannaCry lây lan vào Việt Nam?

Mã độc WannaCry bắt cóc dữ liệu tống tiền lây lan trên toàn cầu đang đe doạ nghiêm trọng đến nhiều doanh nghiệp và các bộ ngành tại Việt Nam.

CÓ THỂ BẠN QUAN TÂM

Chia sẻ trang này

Tin mới nhất