WannaCry là gì? Sự nguy hiểm của mã độc Wanna Cry?

1. WannaCry là gì?

WannaCry là một mã độc nhanh chóng trở lên nổi tiếng toàn cầu, được người dùng hệ điều hành Window Microsoft rất quan tâm. Vậy, WannaCry là gì?

1.1. Nguồn gốc xuất hiện WannaCry:

WannaCry là một mã độc được dịch ra tiếng việt là muốn khóc, có tên gọi khác là WannaDecryptor 2.0. Vào ngày 12 tháng 5 năm 2017, cuộc tấn công không gian mạng quy mô lớn được phát động. Đến thời điểm ngày 15 tháng 5 năm 2017 tức sau đó chỉ 3 ngày đã gây thiệt hại cho 230.000 máy tính ở 150 quốc gia tống tiền yêu cầu tiền chuộc từ 300 đến 600 Euro bằng Bitcoin với 20 ngôn ngữ, đã lừa được khoảng gần 130 người mất tiền để chuộc lại giữ liệu của mình.

Khi lây nhiễm vào một máy tính, mã độc WannaCry này sẽ liên lạc với 1 địa chỉ web từ xa và chỉ bắt đầu mã hóa các tập tin nếu nó nhận ra địa chỉ web đó không thể truy cập được. Tuy nhiên trong trường hợp nó có thể kết nối được, WannaCry sẽ tự xóa bản thân – một chức năng an toàn do người cài đặt. Một chuyên gia công nghệ đã khám phá ra địa chỉ web không được đăng ký này và mua nó với giá chưa đến 10 Euro, nhờ đó vụ tấn công tạm thời được ngăn chặn. Tuy nhiên, không dừng lại ở đó, các biến thể của WannaCry đã được sửa code lại nhanh chóng lây lan trở lại với phiên bản 2.0.

Lỗ hổng của Windows không phải là lỗ hổng zero-day, không phải chưa từng biết đến và không thể khắc phục. Thời điểm trước cuộc tấn công 2 tháng, tức là vào ngày 14 tháng 3 năm 2017, Microsoft đã cung cấp một hotfix dùng để vá lỗi của giao thức Server Message Block (SMB). Microsoft cũng đã thúc giục mọi người ngừng sử dụng giao thức SMB1 cũ và kêu gọi hãy sử dụng giao thức SMB3 mới an toàn hơn. Thời điểm ngày 12 tháng 5 năm 2017 khi WannaCry lây lan, Microsoft đã phát hành bản vá lỗi tương tự bản vá MS17-010 cho các hệ điều hành cũ bao gồm Windows XP và Windows 2003.

Chuyên gia IT của Google, ông Neel Netha vào ngày 15 tháng 5 đã đưa ra các chứng minh loại viruss mang tên WannaCry này có những điểm tương tự với hàng loạt các viruss trong các cuộc tấn công trước đây mà được coi là xuất phát từ Triều Tiên. Đây là một phát hiện mới có dấu ấn quan trọng trong việc tìm kiếm nguồn gốc của WannaCry.

Theo Kaspersky – một công ty phần mềm của Nga nghi ngờ rằng, WannaCry xuất phát từ nhóm tin tặc Lazarus, nhóm hacker đã tấn công vào hãng phim Sony chế giễu lãnh tụ Bắc Triều Tiên, ông Kim Jong Un. Tuy nhiên, chưa có đủ bằng chứng chứng minh điều đó.

1.2. Wannacry là gì?

WannaCry hay còn được gọi là Wanna Crypt là một ví dụ về crypto ransomware, một loại phần mềm độc hại (malware) được tội phạm mạng sử dụng để tống tiền.

Ransomware thực hiện điều này bằng cách mã hóa các tệp có giá trị để bạn không thể đọc chúng hoặc bằng cách khóa bạn khỏi máy tính để bạn không thể sử dụng nó.

Ransomware sử dụng mã hóa được gọi là ransomware tiền điện tử. Loại khóa bạn khỏi máy tính của bạn được gọi là ransomware khóa.

Giống như các loại phần mềm đòi tiền điện tử khác, WannaCry lấy dữ liệu của bạn làm con tin, hứa sẽ trả lại nếu bạn trả tiền chuộc.

WannaCry nhắm mục tiêu các máy tính sử dụng Microsoft Windows làm hệ điều hành. Nó mã hóa dữ liệu và yêu cầu thanh toán tiền chuộc bằng tiền điện tử Bitcoin để trả lại.

Đặc biệt nguy hiểm và đáng báo động khi loại viruss WannaCry này đánh cắp thông tin bị rò rỉ trên hệ thống của cơ quan An ninh Quốc gia Mỹ (NSA) tận công người dùng hệ điều hành Windows thông qua lỗ hổng EternalBlue mà NSA khai thác được.

Có thể hiểu đơn giản rằng, mã độc WannaCry thâm nhập thiết bị, máy tính của người dùng hay máy tính doanh nghiệp sẽ tự động mã hóa hàng loạt các tệp tin, giữ liệu trên hệ thống. Người dùng cá nhân hay người dùng là doanh nghiệp cũng đều không thể tự mở tài liệu đó được. Buộc họ phải bỏ ra một khoản tiền không hề nhỏ để lấy lại các tài liệu đó.

Về cách lây nhiễm, mã độc WannaCry này sẽ tìm ra lỗ hổng bảo mật và thực hiện lây nhiễm bên trong bằng cách khai thác lỗ hỏng của công cụ NSA bị đánh cắp bởi nhóm hacker The Shadow Brokers. Mã độc tống tiền này chủ yếu khai thác vào lỗ hổng của giao thức SMB mà các tổ chức cá nhân chưa vá lỗ hổng kịp thời, tập trung vào Win2k8 R2 và Win XP.

Như vậy, có thể khẳng định rằng WannaCry là một mã độc cực kỳ độc hại và nguy hiểm mà chúng ta cần đề phòng và có những biện pháp diệt mã độc này một cách hiệu quả.

2. Sự nguy hiểm của mã độc WannaCry:

Mật mã WannaCry nguy hiểm như thế nào? WannaCry và các biến thể của nó khai thác một lỗ hổng trên hệ điều hành Windows mà Cơ quan An ninh Quốc gia Mỹ (NSA) nắm giữ để lây lan ransomware.

WannaCry có tốc độ lây lan nhanh chóng và rất nguy hiểm. Khi lỗ hỏng nhiêm trọng được phát hiện vào tháng 2, ngay lập tức trong tháng 3 Windows cũng đã gửi bản vá đến người dùng. Tuy nhiên, rất nhiều máy tính chưa nhận kịp, có nhiều máy tính dùng bản lậu không thể kiểm soát. Những nạn nhận này phải chịu hậu quả nặng nền nhất.

3. Cách diệt mã độc WannaCry:

Để hạn chế sự ảnh hưởng của WannaCry với hệ thống máy tình, cần phải có những biện pháp phòng và chống mã độc này hiệu quả.

Về cách phòng: Từ khuyến cáo của các chuyên gia, người dùng cần tạm thời disable SMB và liên tục cập nhật các bản vá lỗi với hệ điều hành Windows, đặc biệt là với các máy chủ. Bên cạnh đó, người dùng vẫn cần phải đề phòng việc mở các email và file lạ, không rõ nguồn gốc. Người dùng cũng có thể tải bản vá khẩn của Microsoft, dành cho lỗi trong giao thức SMB, sử dụng cho cả những phiên bản không còn được hỗ trợ bao gồm Windows XP, Vista, Windows8, Server2003 và 2008. Người dùng cũng cần lưu ý thực hiện sao lưu dữ liệu thường xuyên để đề phòng rủi ro xảy ra.

Về cách diệt: Cục an toàn thông tin đã đưa ra hướng dẫn cách xử lý khẩn cấp mã độc WannaCry để tránh thiệt hại gây ra. Cụ thể, đối với cá nhân cần cập nhật ngay các phiên bản mới của Windows và phần mềm Antiviruss đang sử dụng. Trường hợp máy của bạn không có phần mềm Antiviruss, cần thực hiện tải phần mềm bản quyền về sử dụng. Đối với doanh nghiệp, phải kiểm tra ngay lập tức các máy chủ và tạm thời khóa (block) các dịch vụ đang sử dụng các cổng 445/137/138/139, tạo các bản snapshot đối với các máy chủ ảo hóa đề phòng việc bị tấn công. Doanh nghiệp cũng cần chú ý thực hiện cập nhật phần mềm, dữ liệu liên tục, tận dụng các giải pháp đảm bảo an toàn thông tin đang có sẵn trong tổ chức như Firewall, IDS/IPS, SIEM…để theo dõi, giám sát và bảo vệ hệ thống. 

Các tổ chức, doanh nghiệp cân nhắc việc ngăn chặn (block) việc sử dụng Tor trong mạng và thực hiện biện pháp lưu trữ (backup) dữ liệu quan trọng ngay. Các tổ chức, doanh nghiệp cảnh báo tới người và thực hiện các biện pháp như nêu trên đối với người dùng. Liên hệ ngay với các cơ quan chức năng cũng như các tổ chức, doanh nghiệp trong lĩnh vực an toàn thông tin để được hỗ trợ khi cần thiết.

Để loại bỏ được viruss gây hại WannaCry, bạn có thể áp dụng thực hiện các bước sau:

Bước 1: Thực hiện loại bỏ các quá trình bị nhiễm:

Tìm kiếm các process (quá trình) đang chạy trên máy tình có liên quan đến mã độc WannaCry.

Nhấn tổ hợp phím Ctrl + Shift + Esc để mở hộp thoại Task Manager

Nhìn kỹ các Processes đẻ tìm các entry lạ.

Quá trình nhiễm độc rất ngốn CPU hay RAM, nên nếu phát hiện entry bất thường, thực hiện click chuột phải chọn Open the File. Tiếp đó nhấn Delete Everything

Bước 2: Thực hiện các chương trình khởi động

Mở starup Programs bằng cách gõ System Configuration trong Task Manager. Nếu phát hiện nhà phát triển lạ hay nghi ngờ, hãy ấn bỏ và chọn ok.

Bước 3: Vào registry 

Mở hộp thoại Run bằng tổ hợp phím Windows + R.

Gõ regedit  rồi nhấn enter.

Mở Registry Editor, nhấn Ctrl + F và gõ tên Ransom.CryptXXX hoặc WannaCry chọn xóa và ấn find next để tìm kiếm kết quả tiếp theo.

Bước 4: Đối với các tệp tin dính viruss. Hãy xóa tất cả các tệp tin nhiễm viruss, các tệp tin nghi ngờ có khả năng nhiễm viruss.

Trên Start Menu, lần lượt gõ từng lựa chọn sau: %AppData%, %LocalAppData%, %ProgramData%, %WinDir%, %Temp%.

Thực hiện tìm kiếm với mỗi tên một, một thư mục sau đó sẽ hiện ra. Người dùng cần lọc theo thời gian và xóa những thư mục, tập tin gần đây nhất. Ngoài ra, bạn có thể vào thư mục Temp để xóa mọi thứ trong đó.

Trên đây là các thông tin về “WannaCry là gì? Sự nguy hiểm của mã độc Wanna Cry?” cũng như một số đề pháp giải quyết để hạn chế tối ưu hậu quả của WannaCry gây ra.