Wanna Cry là gì?
Trong mấy ngày qua trên không gian mạng đang phải chống đỡ với cuộc tấn công mạng mang tên mã độc Wanna Cry (hay còn gọi bằng các tên khác nhau như WannaCrypt, WannaCrypt0r 2.0 hay Wanna Decryptor). Đây là loại mã độc tống tiền đòi trả chuộc bằng bitcoin lây nhiễm trên diện rộng đối với các máy tính Windows.
WannaCrypt chỉ trong vài giờ đã lây nhiễm tới hơn 100 nghìn máy tính trên thế giới. Theo Bkav ghi nhận thì đã có những trường hợp lây nhiễm mã độc này tại Việt Nam và thực tế trên Facebook đã có chia sẻ những bức ảnh cho thấy cả cơ quan đều dính loại mã độc tống tiền này.
|
Trên Facebook đã có chia sẻ những bức ảnh cho thấy có cơ quan đồng loạt dính loại mã độc tống tiền WannaCrypt. Nguồn: nhóm Facebook Quản Trị & Bảo Mật Hệ Thống. |
Loại mã độc tống tiền màu có khả năng quét toàn bộ các máy tính trong cùng mạng để tìm kiếm và lây trực tiếp vào các máy có chứa lỗ hổng EternalBlue mà không cần người dùng phải thao tác trực tiếp với file đính kèm hay link độc hại, vì vậy chỉ cần một máy tính trong cơ quan, doanh nghiệp bị nhiễm mã độc, toàn bộ các máy tính khác trong mạng sẽ có nguy cơ bị mã độc tấn công, mã hoá dữ liệu.
Theo nhận định của các chuyên gia Bkav, WannaCrypt có thể xếp vào mức nguy hiểm cao nhất vì vừa lây lan nhanh vừa có tính phá hoại nặng nề. Kiểu lây nhiễm của mã độc tuy không mới, nhưng cho thấy xu hướng tận dụng các lỗ hổng mới để tấn công, kiếm tiền sẽ còn được hacker sử dụng nhiều trong thời gian tới, đặc biệt là các lỗ hổng của hệ điều hành.
Tổng hợp cách phòng chống WannaCrypt
Kiểm tra máy tính đã nhiễm WannaCrypt chưa?
Mới sáng nay 15/5 Bkav phát hành công cụ miễn phí giúp người sử dụng quét kiểm tra xem máy tính có đang bị nhiễm WannaCrypt không. Quan trọng hơn, công cụ này có thể kiểm tra và cảnh báo nếu máy tính có chứa lỗ hổng EternalBlue - lỗ hổng mà WannaCrypt đang khai thác để xâm nhập máy tính.
Để tải về công cụ này chúng vào địa chỉ Bkav.com.vn/Tool/CheckWanCry.exe (bấm vào đây). Với công cụ này thì chúng ta không cần cài đặt mà có thể khởi chạy luôn file .exe vừa tải về để quét, và chúng ta có thể chọn quét từng ổ đĩa (Riêng người sử dụng Bkav Pro hoặc Bkav Endpoint sẽ không cần công cụ này vì đã có tính năng tự động bảo vệ).
|
Phòng chống Wanna Crypt: Với công cụ kiểm tra của Bkav thì chúng ta không cần cài đặt mà có thể khởi chạy luôn file .exe vừa tải về để quét, và chúng ta có thể chọn quét từng ổ đĩa |
Phòng tránh WannaCrypt như thế nào?
Trong hướng dẫn mà Cục An toàn thông tin (Bộ TT&TT) mới ban hành có đưa ra những biện pháp khá cụ thể để phòng tránh mã độc tống tiền WannaCrypt. Theo đó đối với cá nhân cần thực hiện cập nhật ngay các phiên bản hệ điều hành Windows đang sử dụng. Riêng đối với các máy tính sử dụng Windows XP, sử dụng bản cập nhật mới nhất dành riêng cho sự vụ này tại đây hoặc tìm kiếm theo từ khóa bản cập nhật KB4012598 trên trang chủ của Microsoft hoặc cụ thể là trên địa chỉ catalog.update.microsoft.com.
Và theo như hướng dẫn của Bkav thì với các thế hệ Windows 7, Windows 8 hay Windows 10, để cập nhật bản mới nhất chúng ta chỉ cần vào Windows Update bằng cách gõ tìm kiếm trong Start Menu hoặc Start Screen, sau đó cập nhật cho đến khi không cập nhật được nữa thì thôi.
|
Phòng chống Wanna Crypt: Với các thế hệ Windows 7, Windows 8 hay Windows 10, để cập nhật bản mới nhất chúng ta chỉ cần vào Windows Update bằng cách gõ tìm kiếm trong Start Menu hoặc Start Screen. |
|
Phòng chống Wanna Crypt: Theo khuyến cáo của Bkav thì để phòng tránh vWannaCrypt chúng ta cần cập nhật Windows cho đến khi không cập nhật được nữa thì thôi. |
Về nâng cao khả năng phòng tránh, Cục An toàn thông tin khuyến cáo các cá nhân cũng cần cập nhật ngay các chương trình diệt virus đang sử dụng. Đối với các máy tính không có phần mềm diệt virus thì người dùng cần tiến hành cài đặt và sử dụng ngay một phần mềm có bản quyền. Bên cạnh đó người dùng cần nâng cao cảnh giác, cẩn trọng khi nhận được email có đính kèm và các đường link lạ được gửi trong email, trên các mạng xã hội, công cụ chat…
Người dùng cũng cần thận trọng khi mở các file đính kèm ngay cả khi nhận được từ những địa chỉ quen thuộc, nên sử dụng các công cụ kiểm tra phần mềm độc hại trực tuyến hoặc có bản quyền trên máy tính với các file này trước khi mở ra. Đặc biệt người dùng không mở các đường dẫn có đuôi .hta hoặc đường dẫn có cấu trúc không rõ ràng, các đường dẫn rút gọn link. Và tất nhiên chúng ta cần thực hiện biện pháp lưu trữ dữ liệu quan trọng ngay.
Đối với tổ chức, doanh nghiệp, đặc biệt là với các quản trị viên hệ thống Cục An toàn thông tin cho biết cần phải kiểm tra ngay lập tức các máy chủ và tạm thời khóa (block) các dịch vụ đang sử dụng các cổng 445/137/138/139. Tổ chức, doanh nghiệp cần tiến hành các biện pháp cập nhật sớm, phù hợp theo từng đặc thù cho các máy chủ Windows của tổ chức; tạo các bản snapshot đối với các máy chủ ảo hóa đề phòng việc bị tấn công; cập nhật các máy trạm đang sử dụng hệ điều hành Windows; cập nhật cơ sở dữ liệu cho các máy chủ Antivirus Endpoint đang sử dụng. Đối với hệ thống chưa sử dụng các công cụ này thì cần triển khai sử dụng các phần mềm Endpoint có bản quyền và cập nhật mới nhất ngay cho các máy trạm.
Tổ chức, doanh nghiệp tận dụng các giải pháp đảm bảo an toàn thông tin đang có sẵn trong tổ chức như Firewall, IDS/IPS, SIEM…để theo dõi, giám sát và bảo vệ hệ thống trong thời điểm nhạy cảm này. Cập nhật các bản cập nhật từ các hãng bảo mật đối với các giải pháp đang có sẵn. Đồng thời thực hiện ngăn chặn, theo dõi các tên miền đang được mã độc WannaCrypt sử dụng.
Tổ chức, doanh nghiệp cần cân nhắc việc ngăn chặn (block) việc sử dụng Tor trong mạng và thực hiện biện pháp lưu trữ (backup) dữ liệu quan trọng ngay, đồng thời cảnh báo tới người dùng các biện pháp như nêu trên.
Để tham khảo thêm công cụ quét kiểm tra WannaCrypt cho Windows Server, chúng ta có thể xem ở đây.
Và để đảm bảo an toàn cho các máy tính trong mạng nội bộ chúng ta có thể tắt tạm thời chức năng SMB, đặc biệt cần thiết khi trong mạng đã có dấu hiệu một máy tính nhiễm mã độc WannaCrypt. Hãy xem thêm hướng dẫn tắt SMB ở đây.
Khi gặp vấn đề với Wanna Crypt các tổ chức, doanh nghiệp hãy liên hệ ngay với các cơ quan chức năng cũng như các tổ chức, doanh nghiệp trong lĩnh vực an toàn thông tin để được hỗ trợ khi cần thiết.