Làm gì để phòng chống và khắc phục nếu lỡ dính mã độc tống tiền WannaCry

Thứ Hai, 15/05/2017, 09:00 [GMT+7]

Theo thống kê của Europol đến ngày 14/5, vụ tấn công mạng bằng mã độc tống tiền WannaCry chưa từng có này đã ảnh hưởng tới 200.000 người ở 150 quốc gia trên toàn thế giới. 


Mã độc WannaCry là gì, cách lây nhiễm ra sao?

WannaCry là loại mã độc khi thâm nhập vào thiết bị, máy tính của người dùng hoặc máy tính trong hệ thống doanh nghiệp sẽ tự động mã hóa hàng loạt các tập tin theo những định dạng mục tiêu như văn bản tài liệu, hình ảnh... Người dùng cá nhân cũng như doanh nghiệp sẽ phải trả một khoản tiền không hề nhỏ nếu muốn lấy lại các dữ liệu đó.

qtv
Mã độc WannaCry. Ảnh minh họa

Theo hãng bảo mật  Kaspersky Lab, mã độc tống tiền lây nhiễm vào máy tính của nạn nhân bằng cách khai thác lỗ hổng của Microsoft Windows được mô tả và có bản vá lỗi tại trang web Microsoft Security Bulletin MS17-010.

Nhận dạng mã độc WannaCry như thế nào?

Các giải pháp bảo mật của Kaspersky Lab đã phát hiện được các mã độc tống tiền liên quan đến WannaCry, gồm: Trojan-Ransom.Win32.Scatter.uf; Trojan-Ransom.Win32.Scatter.tr; Trojan-Ransom.Win32.Fury.fr; Trojan-Ransom.Win32.Gen.djd; Trojan-Ransom.Win32.Wanna.b; Trojan-Ransom.Win32.Wanna.c; Trojan-Ransom.Win32.Wanna.d; Trojan-Ransom.Win32.Wanna.f; Trojan-Ransom.Win32.Zapchast.i; Trojan.Win64.EquationDrug.gen và Trojan.Win32.Generic.

Các phần mở rộng mà mã độc nhắm tới để mã hóa gồm các nhóm định dạng sau:
 
1. Các phần mở rộng tập tin văn phòng thông thường được sử dụng (.ppt, .doc, .docx, .xlsx, .sxi).
2. Các định dạng văn phòng ít phổ biến và đặc thù của quốc gia (.sxw, .odt, .hwp).
3. Lưu trữ, tập tin phương tiện (.zip, .rar, .tar, .bz2, .mp4, .mkv)
4. Email và cơ sở dữ liệu email (.eml, .msg, .ost, .pst, .edb).
5. Các tập tin cơ sở dữ liệu (.sql, .accdb, .mdb, .dbf, .odb, .myd).
6. Mã nguồn và tập tin dự án của nhà phát triển (.php, .java, .cpp, .pas, .asm).
7. Khóa và chứng chỉ mã hóa (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
8. Các tác giả thiết kế đồ hoạ, tác giả và nhiếp ảnh gia (.vsd, .odg, .raw, .nf, .svg, .psd).
9. Tập tin máy ảo (.vmx, .vmdk, .vdi).
qtv
WannaCry đã tấn công người dùng tại 150 nước trên thế giới

Làm thế nào để phòng chống mã độc tống tiền WannaCry

Đối với cơ quan, tổ chức
 
-  Đảm bảo rằng tất cả các máy tính đã được cài đặt phần mềm bảo mật và đã bật các thành phần chống phần mềm tống tiền.
 
- Kiểm tra ngay máy chủ và tạm thời khóa (block) dịch vụ đang sử dụng các cổng 445/137/138/139
 
- Cài đặt bản vá chính thức (MS17-010) từ Microsoft, nhằm vá lỗ hổng SMB Server bị khai thác trong cuộc tấn công này. Đối với Windows XP (là hệ điều hành đã bị khai tử từ năm 2014) và Windows Server 2003, người dùng cần tải bản vá lỗi bảo mật theo link https://www.microsoft.com/en-us/download/details.aspx?id=55245&WT.mc_id=rss_windows_allproducts hoặc tìm kiếm theo từ khóa bản cập nhật KB4012598 trên trang chủ của Microsoft.
 
- Thực hiện quét hệ thống (Critical Area Scan) có trong các giải pháp của Kaspersky Lab để phát hiện các lây nhiễm nhanh nhất (nếu không các lây nhiễm sẽ được phát hiện tự động nhưng sau 24 giờ)
 
- Tiến hành sao lưu dữ liệu thường xuyên vào các nơi lưu trữ không kết nối với Internet.
 
Bên cạnh đó, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) cũng đã yêu cầu các cơ quan, đơn vị cần theo dõi, ngăn chặn kết nối đến các máy chủ điều khiển mã độc WannaCry và cập nhật vào các hệ thống bảo vệ như: IDS/IPS, Firewall … những thông tin nhận dạng về loại mã độc tống tiền mới này, bao gồm 33 địa chỉ IP các máy chủ điều khiển mã độc (C&C Server); 10 tệp tin và 22 mã băm (Hash SHA-256).
 
Đối với cá nhân
 
- Không truy cập các website, đường link, các email lạ. Kể cả các email đến từ các địa chỉ quen thuộc cũng cần thực hiện thao tác quét virus trước khi tải xuống.
 
- Thận trọng khi mở các file đính kèm, không mở các đường dẫn có đuôi .hta hoặc đường dẫn có cấu trúc không rõ ràng, các đường dẫn rút gọn link.
 
- Cập nhật thường xuyên các phần mềm quét virus, các bản vá lỗi theo hướng dẫn của các chuyên gia.
 
- Thông báo ngay cho cơ quan, đơn vị nếu máy tính có dấu hiệu bị nhiễm mã độc.
 
Làm gì nếu không may bị nhiễm mã độc?
 
Các chuyên gia khuyến cáo, nếu không may máy tính bị nhiễm loại mã độc này, người sử dụng cần lưu ý:
 
- Tìm lại các bản sao lưu trước đó và không trả tiền cho hacker;
 
- Cài đặt bản vá đầy đủ hoặc cập nhật cho hệ điều hành.
 
PV (tổng hợp)
.
.
.
.
.
.