Virus Wanna Cry là gì?

Chia sẻ Facebook
01/08/2019 20:40:14

Vừa qua, một cuộc tấn công mạng quy mô cực lớn với khoảng 75.000 máy tính bị lây nhiễm trên 99 quốc gia bởi một loại mã độc tống tiền được biết tới có tên Wanna Cry. Đây là gì và cách phòng chống như thế nào, mời các bạn theo dõi bài viết sau đây.

Xuất hiện vào giữa tháng 5/2017, virus Wanna Cry nhanh chóng trở nên “hot” hơn bao giờ hết vì độ nguy hiểm của mình với máy tính. Vậy virus Wanna Cry là gì ? Mời bạn tìm hiểu ngay trong bài viết dưới đây.


Virus Wanna Cry bắt đầu trở nên nổi tiếng trên toàn thế giới vì tốc độ lây lan cực kỳ nhanh, và có khả năng xâm nhập mạnh mẽ vào nhiều loại máy tính thông qua các lỗ hổng bảo mật. Wanna Cry được các chuyên gia công nghệ nhận định là một loại virus Ransomware điển hình với mục đích chính là mã hoá dữ liệu người dùng, sau đó đòi tiền chuộc.

Ransomware là gì?


Wanna Cry là một loại Ransomware điển hình với mục đích mã hoá dữ liệu và tống tiền người dùng.


Ransomware, hay còn được gọi dưới cái tên mã độc tống tiền là một loại virus chiếm quyền kiểm soát máy tính của người dùng thông qua các lỗ hổng bảo mật trên hệ điều hành, hay các phần mềm “lậu”. Sau khi đã xâm nhập vào máy tính, Ransomware sẽ thực hiện quá trình mã hoá toàn bộ dữ liệu có trên máy tính và đưa ra thông báo cho người dùng để đòi tiền chuộc. Hơn nữa, Ransomware còn có khả năng lây nhiễm nhanh chóng thông qua mạng Lan, khiến rất nhiều máy tính rơi vào trạng thái mất kiểm soát nếu không có giải pháp kịp thời.


Không có cách để mở khoá dữ liệu nếu như người dùng không trả tiền chuộc.


Ransomware bị lây nhiễm vào máy tính của người dùng bằng việc được cài vào các phần mềm “lậu”, hay các tập tin không rõ nguồn gốc. Ngay khi người dùng mở những tập tin này thì Ransomware sẽ tiến hành chiếm quyền kiểm soát và mã hoá toàn bộ dữ liệu đang có trong máy. Lúc này, người dùng gần như không có cách nào để lấy lại dữ liệu nếu như không trả cho những kẻ tấn công một khoản tiền chuộc nhất định. Với sự hiệu quả và mang đến nhiều tiền như vậy, Ransomware đang được xem là một xu hướng tấn công mới của các hacker trên toàn thế giới.

Wanna Cry là gì?


Wanna Cry có khả năng lây nhiễm trên nhiều máy trong cùng mạng với tốc độ rất nhanh.


Cách thức hoạt động của Wanna Cry hay còn được gọi dưới cái tên Wanna Crypt, đây là một loại virus tương tự một Ransomware điển hình khi có cùng mục đích xâm nhập vào máy tính của người dùng, sau đó mã hoá dữ liệu và đòi tiền chuộc. Tuy nhiên, Wanna Cry nguy hiểm hơn các loại Ransomware khác ở chỗ mã độc tống tiền này sử dụng công cụ bị rò rỉ của Cơ quan An ninh Quốc gia Mỹ (NSA), để tấn công hệ điều hành Windows thông qua lỗ hổng EternalBlue mà NSA khai thác được.

Sự nguy hiểm của mã độc tống tiền Wanna Cry là gì?


Mã độc Wanna Cry được bổ sung khả năng lây nhiễm trên các máy tính theo kết nối ngang hàng. Cụ thể hơn, ngay khi lây nhiễm vào máy tính của nạn nhân, Wanna Cry sẽ tiền hành quá trình mã hoá toàn bộ dữ liệu, tiếp theo đó mã độc này sẽ thực hiện việc quét toàn bộ máy tính trong cùng mạng để tìm kiếm thiết bị có lỗ hổng EternalBlue của dịch vụ SMB. Lúc này, Wanna Cry sẽ tiếp tục lây lan sang các máy tính có lỗ hổng Eternal. Quá trình lây nhiễm, quét máy tính sẽ thực hiện liên tục và dừng khi không còn máy tính nào trong cùng mạng có lỗ hổng Eternal.


Wanna Cry khai thác chính lỗ hổng EternalBlue từ chính thông tin rò rỉ của NSA.


Quá trình xâm nhập, mã hoá dữ liệu và lây nhiễm của Wanna Cry diễn ra rất nhanh, do đó bạn hoàn toàn có thể biết được máy tính của mình đã nhiêm Wanna Cry hay chưa. Ngay khi việc mã hoá dữ liệu hoàn tất, một cửa sổ với nền màu đỏ hiện lên để thông báo rằng máy tính đã bị khoá và mọi dữ liệu đều bị mã hoá, người dùng sẽ cần phải trả một khoản tiền Bitcoin đến địa chỉ của kẻ tấn công để có thể lấy lại quyền truy cập dữ liệu. Tuy theo mức độ quan trọng cũng như quy mô dữ liệu mà mức tiền chuộc là ít hay nhiều.


Sau 3 ngày liên tục mà kẻ tấn công không nhận được tiền, mức tiền chuộc để mở khoá dữ liệu sẽ tăng lên gấp 2. Thậm chí sẽ bị mất sạch nếu sau 7 ngày kể từ thời điểm đưa ra thông báo mà hacker vẫn chưa nhận được tiền chuộc. Để tiện hơn cho quá trình trả tiền chuộc, những kẻ tấn công thậm chí còn lập trình Wanna Cry hiển thị thông báo dưới nhiều ngôn ngữ khác nhau tuỳ theo khu vực của máy tính bị lây nhiễm. Như vậy, người dùng có thể thấy được độ nguy hiểm của Wanna Cry và hoàn toàn “muốn khóc” (Wanna Cry) nếu như không may máy tính của mình bị lây nhiễm.


Thông báo của Wanna Cry hiển thị với nhiều thứ tiếng khác nhau.​


Tuy nhiên, một chuyên gia an ninh mạng đến từ Anh có tên Marcus Hutchins hiện đã tìm ra cách vô hiệu hoá Wanna Cry. Bằng cách chuyển hướng kết nối của mã độc Ransomware đến một địa chỉ web khác an toàn hơn và không bị đánh cắp dữ liệu. Dù vậy, bạn vẫn nên chuẩn bị các phương thức bảo mật cho máy tính của mình bằng cách tham khảo bài viết “Những cách phòng chống hiệu quả với "cơn bão" virus WannaCrypt”.

WannaCry chui qua một lỗi bảo mật của hệ điều hành bạn đang dùng (nhờ đó phần mềm nghe lén NSA bí mật chui vào máy bạn lấy data), chui ngầm vào máy mã hóa hết dữ liệu. Thuật toán mã hóa rất cao cấp (NSA cũng hay dùng thuật toán này) nên chỉ còn cách mỗi chủ nhân máy tính bị khóa dữ liệu trong vòng 3 ngày phải chuyển cho chúng là 300 bitcoin.

Màn hình tống tiền của virus


Cách xử lý khẩn cấp mã độc tống tiền WannaCry

Trong trường hợp máy tính của bạn vẫn chưa bị lây nhiễm loại mã độc WannaCry thì việc lập tức tải bản vá để lấp lại lỗ hổng bảo mật mà WannaCry khai thác để xâm nhập vào hệ thống là điều cần thiết để đề phòng loại mã độc này.


Microsoft cho biết người dùng Windows 10 “miễn nhiễm” với loại mã độc WannaCry vì các bản vá lỗi đã được Microsoft phát hành trước đó cho người dùng. Trong khi đó, với người dùng đang sử dụng các phiên bản Windows cũ hơn phải lập tức tải và nâng cấp các bản vá lỗi vừa được Microsoft tổng kết theo link sau: Microsoft Security Bulletin MS17-010 patch.


Đối với Windows XP

Mặc dù đã bị Microsoft “khai tử” và ngừng hỗ trợ, nhưng cho đến nay Windows XP vẫn đang được sử dụng khá phổ biến trên toàn cầu nói chung và tại Việt Nam nói riêng.


Nếu đang sử dụng Windows XP, bạn nên lập tức tải và cài đặt bản vá lỗi được Microsoft phát hành tại đây .


Lưu ý: nếu đang sử dụng Windows XP 32-bit, người dùng phải nâng cấp Windows của mình lên phiên bản Service Pack 3 (SP3) mới có thể cài đặt bản vá lỗi này. Bạn có thể tiến hành nâng cấp thông qua chức năng Update được trang bị trên Windows.


Đối với người dùng Windows 7, Windows 8... có thể theo các link update sau để cập nhật bản vá: Windows Server 2003 SP2 x64 , Windows Server 2003 SP2 x86, Windows XP SP2 x64 , Windows XP SP3 x86 , Windows XP Embedded SP3 x86 , Windows 8 x86, Windows 8 x64

Lưu ý: Sau khi download các bản vá lỗi kể trên, bạn chỉ việc tiến hành cài đặt như phần mềm bình thường và khởi động lại máy tính.

Người sử dụng cần cập nhật ngay các chương trình Antivius đang sử dụng. Đối với các máy tính không có phần mềm Antivirus cần tiến hành cài đặt và sử dụng ngay một phần mềm Antivirus có bản quyền. Và đặc biệt, mỗi người cần cẩn trọng khi nhận được email có đính kèm và các đường link lạ được gửi trong email, trên các mạng xã hội, công cụ chat…

Không những thế, khi mở các file đính kèm ngay cả khi nhận được từ những địa chỉ quen thuộc cũng đều cần hết sức cẩn trọng. Sử dụng các công cụ kiểm tra phần mềm độc hại trực tuyến hoặc có bản quyền trên máy tính với các file này trước khi mở ra.

Cục An toàn thông tin lưu ý, không mở các đường dẫn có đuôi .hta hoặc đường dẫn có cấu trúc không rõ ràng, các đường dẫn rút gọn link và thực hiện biện pháp lưu trữ (backup) dữ liệu quan trọng ngay.


Bkav phát hành công cụ miễn phí quét Wanna Cry tại địa chỉ www.Bkav.com.vn/Tool/CheckWanCry.exe để check!

Công cụ này có thể kiểm tra máy đã nhiễm virus Wanna Cry chưa và cảnh báo nếu máy tính có chứa lỗ hổng EternalBlue – lỗ hổng mà Wanna Cry đang khai thác để xâm nhập máy tính.


Ransomware là gì?


Ransomware - chắc hẳn các bạn đã nghe đến cái tên này nhiều lần rồi. Ransomware, phần mềm gián điệp, phần mềm tống tiền... đều là 1. Đây là tên gọi chung của 1 dạng phần mềm độc hại - Malware, có "tác dụng" chính là ngăn chặn người dùng truy cập và sử dụng hệ thống máy tính của họ (chủ yếu phát hiện trên hệ điều hành Windows). Các biến thể Malware dạng này thường đưa ra các thông điệp cho nạn nhân rằng họ phải nộp 1 khoản tiền kha khá vào tài khoản của hacker nếu muốn lấy lại dữ liệu, thông tin cá nhân hoặc đơn giản nhất là truy cập được vào máy tính của họ. Hầu hết các phần mềm Ransomware đều chiếm quyền và mã hóa toàn bộ thông tin của nạn nhân mà nó tìm được (thường gọi là Cryptolocker ), còn một số loại Ransomware khác lại dùng TOR để giấu, ẩn đi các gói dữ liệu C&C trên máy tính (tên khác là CTB Locker ).


Cái giá mà Ransomware đưa ra cho nạn nhân cũng rất đa dạng, "nhẹ nhàng" thì cỡ 20$ , "nặng đô" hơn có thể tới hàng ngàn $ (nhưng trung bình thì hay ở mức 500 - 600$ ), cũng có trường hợp chấp nhận thanh toán bằng Bitcoin.


Thông báo đòi tiền chuộc khá quen thuộc của 1 dạng Ransomware

Tuy nhiên, các bạn cần phải chú ý rằng cho dù có trả tiền cho hacker thì tỉ lệ người dùng lấy lại được dữ liệu, thông tin cá nhân không phải là 100%.


1. Ransomware - chúng từ đâu tới?

Giống như các phần mềm độc hại khác, Ransomware có thể xâm nhập vào máy tính của người sử dụng khi:

Tìm và dùng các phần mềm crack. Bấm vào quảng cáo. Truy cập web đen, đồi trụy. Truy cập vào website giả mạo. Tải và cài đặt phần mềm không rõ nguồn gốc. File đính kèm qua email spam. ...


2. Ransomware hoạt động như thế nào?

Khi đã xâm nhập và kích hoạt trong máy tính của người dùng, Ransomware sẽ đồng thời thực hiện các tác vụ như sau:

Khóa màn hình máy tính, hiển thị thông báo như hình ví dụ trên. Mã hóa bất kỳ file tài liệu nào mà nó tìm được, tất nhiên là sẽ có mật khẩu bảo vệ.


Nếu trường hợp 1 xảy ra, người dùng sẽ không thể thực hiện được bất kỳ thao tác nào trên máy tính (ngoại trừ việc bật - tắt màn hình). Đồng thời trên màn hình đó cũng sẽ có hướng dẫn chi tiết và cụ thể việc chuyển khoản, tiền cho hacker để lấy lại thông tin cá nhân. Còn trường hợp thứ 2 (thông thường là xấu hơn) vì Ransomware sẽ mã hóa toàn bộ các file văn bản (thường là file Office như *.doc, *.xls... file email và file *.pdf ), những file này sẽ bị đổi đuôi thành những định dạng nhất định nào đó, có mật khẩu bảo vệ, bạn không thể thực hiện bất kỳ thao tác nào như copy, paste, đổi tên, đổi đuôi hoặc xóa.


Ransomware , hoặc gọi là Scareware có cách thức hoạt động tương tự như những phần mềm bảo mật giả mạo - FakeAV (1 loại Malware)


3. Lịch sử hình thành và phát triển của Ransomware:


Thuở khai sinh:


Lần đầu tiên, Ransomware được phát hiện vào khoảng giữa năm 2005 - 2006 tại Nga. Những bản báo cáo đầu tiên của TrendMicro là vào năm 2006, với biến thể TROJ_CRYZIP.A - 1 dạng Trojan sau khi xâm nhập vào máy tính của người dùng, sẽ lập tức mã hóa, nén các file hệ thống bằng mật khẩu, đồng thời tạo ra các file *.txt với nội dung yêu cầu nạn nhân trả phí 300$ để lấy lại dữ liệu cá nhân.


Dần dần phát triển theo thời gian, các Ransomware tấn công tiếp đến các file văn bản và hệ thống như *.DOC, *.XL, *.DLL, *.EXE...


Và cho đến năm 2011, một dạng khác của RansomwareSMS Ransomware đã được phát hiện. Cách thức của SMS Ransomware khác biệt hơn 1 chút, đó là người dùng phải gửi tin nhắn hoặc gọi điện thoại đến số điện thoại của hacker, cho đến khi thực hiện xong thủ tục chuyển tiền cho hacker. Biến thể lần này của Ransomware được phát hiện dưới tên gọi TROJ_RANSOM.QOWA - sẽ liên tục hiển thị thông báo giả mạo trên màn hình máy tính.


Bên cạnh đó, còn 1 biến thể khác của Ransomware - nguy hiểm hơn nhiều với mục tiêu của hacker là tấn công vào Master Boot Record (MBR) của hệ điều hành. Và khi đã tấn công, hệ điều hành - Windows sẽ không thể khởi động được. Cụ thể hơn, các Malware này sẽ copy phần MBR nguyên gốc của hệ thống và ghi đè bằng MBR giả mạo. Khi hoàn tất, quá trình này sẽ tự khởi động lại máy tính, và trong lần tiếp theo, các thông báo của hacker (bằng tiếng Nga) sẽ hiển thị trên màn hình của các bạn.


Vươn ra ngoài lãnh thổ nước Nga:

Ban đầu chúng hoạt động trong nước Nga, nhưng dựa vào sự phổ biến, số lượng nạn nhân, các mục tiêu... các loại Ransomware này dần dần lan rộng ra, trước tiên là khu vực Châu Âu. Đến đầu năm 2012, TrendMicro đã ghi nhận được rất nhiều vụ tấn công xảy ra khắp Châu Âu (thậm chí có cả ở Mỹ, Canada). Cũng khá giống với TROJ_RANSOM.BOV, 1 biến thể Ransomware khác đã từng lây lan rất mạnh ở 2 khu vực chính là Pháp và Nhật, cùng với cách thức hoạt động của Ransomware nguyên bản.


Thời điểm của Reveton hoặc Police Ransomware:


Sao lại có tên là Police Ransomware ? Rất đơn giản, vì các loại Ransomware dạng này khi xâm nhập vào máy tính của nạn nhân, sẽ hiển thị thông báo như 1 đơn vị luật pháp thực thụ (các bạn có thể xem lại hình 1 ở trên kia). Với nội dung đại loại như:

Đến đây chắc các bạn sẽ có câu hỏi:

Làm sao mà chúng - Hacker biết chính xác rằng nạn nhân - người dùng máy tính đang ở địa phương, thành phố... nào để đưa ra nội dung mang tính chất hù dọa cho họ? Đáp án ở đây là hacker dựa vào tính năng dò tìm vị trí địa lý theo cụm địa chỉ IP. Ví dụ, với các nạn nhân ở Mỹ thì chúng sẽ cho hiển thị thông báo đi kèm với hình ảnh của FBI, còn ở Pháp sẽ là cơ quan Gendarmerie Nationale.


Thông báo giả mạo của Ransomware tại nước Pháp, với yêu cầu người dùng "nộp phạt" lệ phí là 100 Euro


.
Các biến thể của Reventon sử dụng nhiều tài khoản, cách thức thanh toán khác nhau để nhận tiền của nạn nhân, thông thường là các hệ thống như UKash, PaySafeCard, hoặc MoneyPak . Hacker dùng những hình thức thanh toán này là vì hệ thống này thường làm mờ (không để hiển thị) tên người nhận tiền, do vậy chúng sẽ yên tâm khi thực hiện giao dịch qua UKash, PaySafeCard, và MoneyPak .


Đến năm 2012, Reventon đã phát triển thêm hình thức, thủ đoạn mới. Đó là chúng dùng các đoạn ghi âm - Recording (bằng giọng của người địa phương) để truyền tải thông tin đến nạn nhân thay vì cách thức thông báo cũ.


4. Thời đại của CryptoLocker:

Vào cuối năm 2013, TrendMicro đã nhận được những bản báo cáo đầu tiên về 1 thể loại Ransomware hoàn toàn mới. Các biến thể này bên cạnh việc mã hóa toàn bộ dữ liệu của nạn nhân, đồng thời khóa toàn bộ hệ thống máy tính của họ. Dựa vào hành động của Ransomware mà chúng đã có tên là CryptoLocker - đặc trưng cho việc nếu Malware có bị xóa đi thì người dùng vẫn phải thực hiện hoàn chỉnh quá trình chuyển tiền, nếu không thì toàn bộ dữ liệu của họ sẽ bị mất.


Thông báo quen thuộc của CryptoLocker


Bên cạnh đó, thông báo "trắng trợn" của hacker chỉ ra rằng dữ liệu của người dùng đã bị mã hóa bằng RSA-2048 nhưng báo cáo của TrendMicro đã chỉ ra rằng thuật toán mã hóa của CryptoLocker lại là AES + RSA ,

Hy vọng rằng những thông tin trên đã giúp các bạn phần nào hiểu được về cơ chế hoạt động của Ransomware, phần mềm gián điệp, phần mềm tống tiền.

Ransomware Wanna Cry là gì?

WannaCry là loại mã độc khi thâm nhập vào thiết bị, máy tính của người dùng hoặc máy tính trong hệ thống doanh nghiệp sẽ tự động mã hoá hàng loạt các tập tin theo những định dạng mục tiêu như văn bản tài liệu, hình ảnh... Người dùng cá nhân cũng như doanh nghiệp sẽ phải trả một khoản tiền không hề nhỏ nếu muốn lấy lại các dữ liệu đó.

Về cách lây nhiễm, mã độc WannaCry tìm ra lỗ hổng bảo mật và lây nhiễm chúng bên trong tổ chức bằng cách khai thác lỗ hổng được công bố bởi công cụ NSA đã bị đánh cắp bởi nhóm hacker The Shadow Brokers. Mã độc tống tiền này chủ yếu khai thác vào lỗ hổng của giao thức SMB mà các tổ chức cá nhân chưa vá lỗ hổng kịp thời, tập trung vào Win2k8 R2 và Win XP.

Màn hình máy tính của Dịch vụ Y tế Quốc gia Anh (NHS) xuất hiện tin nhắn tống tiền 300 USD tiền Bitcoin

Kiểu tấn công này khác với truyền thống là phải dùng sâu máy tính, tức chương trình tự nhân bản chính nó vào hệ thống máy tính và lừa người dùng click chuột vào link độc hại.

Ước tính vụ tấn công mạng diễn ra trên quy mô toàn cầu, ảnh hưởng tới khoảng 99 quốc gia, trong đó có Anh, Mỹ, Trung Quốc, Nga, Tây Ban Nha, Italy, Đài Loan (Trung Quốc), Việt Nam và nhiều quốc gia khác. Theo các chuyên gia của Intel, hiện lỗ hổng đã ghi nhận tại Hà Nội và Hồ Chí Minh, và có thể lan rộng trên toàn quốc.

Tính đến hết ngày 13/5, theo TheHackerNews, cuộc tấn công sử dụng mã độc tống tiền lớn nhất từ trước đến nay WannaCry đã lây nhiễm thành công hơn 200.000 máy tính sử dụng hệ điều hành Windows tại ít nhất 99 quốc gia. Chỉ ngay trong vài giờ đầu phát tán, số tiền nhóm tin tặc đứng đằng sau WannaCry thu được là khoảng 30.000 USD.

Không dừng lại, một phiên bản nâng cấp tinh vi hơn của của WannaCry là WannaCry 2.0 vừa được nhóm tin tặc phát tán và đang tiếp tục lây nhiễm sang hàng trăm nghìn máy tính trên toàn cầu.

Cách kiểm tra mức độ lây nhiễm virus Wanna Cry


Các bạn có thể bấm vào link này: https://intel.malwaretech.com/WannaCrypt.html

Cách phóng chống virus WannaCry

Theo nhận định từ chuyên gia CMC INFOSEC, trong tuần tới, nhóm tin tặc sẽ còn chứng kiến thêm rất nhiều biến thể mới của WannaCry cũng như các loại mã độc mới phức tạp hơn.

Vì vậy, việc làm cấp thiết trong thời điểm hiện tại là tạm thời disable SMB và liên tục cập nhật các bản vá lỗi với hệ điều hành Windows, đặc biệt là với các máy chủ. Bên cạnh đó, người dùng vẫn cần đề phòng việc mở các email và file lạ không rõ nguồn gốc.

Doanh nghiệp và người dùng có thể tải bản vá khẩn của Microsoft, dành cho lỗi trong giao thức SMB, sử dụng cho cả những phiên bản không còn được hỗ trợ bao gồm Windows XP, Vista, Windows8, Server2003 và 2008.

Bên cạnh đó, cần thường xuyên sao lưu dữ liệu và có các phương án backup dữ liệu của doanh nghiệp; đề phòng các link lạ, trong đó đối với các doanh nghiệp tốt nhất nên có một máy riêng để nhân viên remote khi họ nghi ngờ mail không an toàn; đối với người dùng cá nhân luôn cài phần mềm chống virus trên di động và máy tính, đặc biệt là các phần mềm chuyên biệt dành cho mã độc mã hoá dữ liệu.

Tóm lại bạn phải:

Cập nhật ngay các phiên bản hệ điều hành Windows đang sử dụng. Cập nhật ngay các chương trình Anti-vius đang sử dụng. Cẩn trọng khi nhận được email có đính kèm và các đường link lạ, trên các mạng xã hội. Xóa thông tin thẻ trên các website thanh toán/ mua sắm trực tuyến,… Không mở các link có đuôi HTA hoặc đường dẫn có cấu trúc không rõ ràng, các đường dẫn rút gọn link. Thực hiện biện pháp lưu trữ dữ liệu quan trọng.

Cuộc tấn công ransomware WannaCryCác quốc gia bị ảnh hưởng của WannaCry lúc đầuĐịa điểmToàn cầuThời gian12 tháng 5 năm 2017–15 tháng 5 năm 2017 (bùng phát ban đầu)Loại hìnhTấn công mạngNguyên nhânCông cụ tấn công mạng EternalBlueKết quảTrên 200.000 nạn nhân và trên 230.000 máy tính bị nhiễm[1][2]


WannaCry (tạm dịch là "Muốn khóc") còn được gọi là WannaDecryptor 2.0, là một phần mềm độc hại mã độc tống tiền tự lan truyền trên các máy tính sử dụng Microsoft Windows . Vào tháng 5 năm 2017, một cuộc tấn công không gian mạng quy mô lớn sử dụng nó được đưa ra, tính tới ngày 15 tháng 5 (3 ngày sau khi nó được biết đến) gây lây nhiễm trên 230.000 máy tính ở 150 quốc gia, [3] yêu cầu thanh toán tiền chuộc từ 300 tới 600 Euro bằng bitcoin với 20 ngôn ngữ (bao gồm tiếng Thái và tiếng Trung Quốc ). [4] Hiện thời người ta biết tới 5 tài khoản bitcoin của họ, đến nay chỉ có không hơn 130 người chịu trả tiền, thu nhập tối đa chỉ khoảng 30.000 Euro. [5]


Cuộc tấn công này đã ảnh hưởng đến Telefónica và một số công ty lớn khác ở Tây Ban Nha , cũng như các bộ phận của Dịch vụ Y tế Quốc gia (NHS) của Anh , FedEx và Deutsche Bahn . [6] [7] [8] [9] Các mục tiêu khác ở ít nhất 99 quốc gia cũng được báo cáo là đã bị tấn công vào cùng một thời điểm,. [10] [11] Hơn 1.000 máy tính tại Bộ Nội vụ Nga, Bộ Khẩn cấp Nga và công ty viễn thông của Nga MegaFon, được báo cáo là bị dính mã độc này. [12]


WannaCry được cho là sử dụng khai thác lỗ hổng EternalBlue , được Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) phát triển để tấn công máy tính chạy hệ điều hành Microsoft Windows. [13] Mặc dù một bản vá để loại bỏ các lỗ hổng này đã được ban hành vào ngày 14 tháng 3 năm 2017, sự chậm trễ trong việc cập nhật bảo mật làm cho một số người dùng và các tổ chức dễ bị tấn công. [14]

Bối cảnh và diễn biến


Công cụ tấn công mạng EternalBlue được phát hành bởi nhóm hacker Shadow vào ngày 14 tháng 4 năm 2017, [15] [16] cùng với các công cụ khác dường như đã bị rò rỉ từ Equation Group, được cho là một phần của Cơ quan An ninh Quốc gia Hoa Kỳ. [17] [18]


EternalBlue khai thác lỗ hổng MS17-010 [19] của giao thức SMB của Microsoft (Server Message Block). Microsoft đã phát hành một "Critical" advisory, cùng với hotfix cập nhật để lấp lỗ hổng một tháng trước đó, vào ngày 14 tháng 3 năm 2017. [19]


Vào ngày 12 tháng 5 năm 2017, WannaCry bắt đầu gây ảnh hưởng đến các máy tính trên toàn thế giới. Đến nay, đã có hơn 45.000 cuộc tấn công được ghi nhận tại 99 quốc gia. Nga là nước chịu ảnh hưởng nặng nề nhất, tiếp đến là Ukraina , Ấn Độ và Đài Loan , [20] Việt Nam cũng là một trong những nước bị tấn công nhiều nhất. [21] Tuy nhiên tại Triều Tiên lại không thấy dấu vết của mã độc này. [22] Sau khi xâm nhập vào các máy tính, mã độc tống tiền mã hóa ổ đĩa cứng của máy tính, [23] [24] sau đó cố gắng khai thác lỗ hổng SMB để lây lan sang các máy tính ngẫu nhiên trên Internet [25] , và các máy tính trên cùng mạng LAN . [26] Do được mã hóa theo thuật toán RSA 2048-bit rất phức tạp, tính đến thời điểm hiện tại, gần như không có một cách nào để giải mã các file đã bị WannaCry mã hóa. Cách duy nhất để người dùng lấy lại dữ liệu là trả tiền cho hacker từ 300 tới 600 Euro bằng bitcoin , tuy nhiên biện pháp này vẫn không đảm bảo do hacker hoàn toàn có thể "trở mặt". [27]


Khi lây nhiễm vào một máy tính mới, WannaCry sẽ liên lạc với một địa chỉ web từ xa và chỉ bắt đầu mã hóa các tập tin nếu nó nhận ra địa chỉ web đó không thể truy cập được. Nhưng nếu nó có thể kết nối được, WannaCry sẽ tự xóa bản thân – một chức năng có thể đã được cài đặt bởi người tạo ra nó như một " công tắc an toàn " trong trường hợp phần mềm trở nên không kiểm soát được. Một chuyên gia công nghệ khám phá ra địa chỉ web không được đăng ký này và mua nó với giá chưa đến 10 Euro, vụ tấn công tạm thời được ngăn chặn. [28] [29] Ngay sau đó, các biến thể của WannaCry đã được sửa code lại nhanh chóng lây lan trở lại với phiên bản 2.0. [30]


Lỗ hổng của Windows không phải là lỗ hổng zero-day, Microsoft đã cung cấp một hotfix vào ngày 14 tháng 3 năm 2017 [19] - gần như 2 tháng trước đó. Hotfix này dùng để vá lỗi của giao thức Server Message Block (SMB) được sử dụng bởi Windows. [31] Microsoft cũng đã thúc giục mọi người ngừng sử dụng giao thức SMB1 cũ và thay vào đó sử dụng giao thức SMB3 an toàn hơn, mới hơn. [32] Các tổ chức thiếu hotfix an toàn này bị ảnh hưởng vì lý do này, và cho đến nay không có bằng chứng cho thấy bất kỳ mục tiêu nào được nhắm tới bởi các nhà phát triển mã độc tống tiền. [31] Bất kỳ tổ chức nào vẫn chạy Windows XP [33] và các hệ điều hành cũ hơn đều có nguy cơ cao vì không có bản cập nhật bảo mật mới được phát hành.Tuy nhiên, vào ngày 12 tháng 5 năm 2017, không lâu sau khi WannaCry lây lan, Microsoft đã phát hành bản vá lỗi tương tự bản vá MS17-010 vừa được phát hành vào ngày 14 tháng 3 năm 2017 dành cho các hệ điều hành cũ bao gồm Windows XP và Windows Server 2003. [34] [35]

Các định dạng file mà WannaCry mã hóa

Hậu quả


Cuộc tấn công mã độc tống tiền ảnh hưởng đến nhiều bệnh viện NHS ở Anh [36] . Vào ngày 12 tháng 5, một số dịch vụ NHS đã phải từ chối những trường hợp khẩn cấp không trầm trọng lắm, và một số xe cứu thương phải đi nơi khác. [7] [37] Vào năm 2016, hàng ngàn máy tính trong 42 ủy thác NHS riêng biệt ở Anh được báo cáo vẫn đang chạy Windows XP . [33] Nissan Motor Manufacturing UK, Tyne and Wear , một trong những nhà máy sản xuất ô tô hiệu quả nhất của Châu Âu đã ngừng sản xuất sau khi ransomware này nhiễm vào một số hệ thống của họ. Renault cũng ngừng sản xuất tại một số địa điểm trong một nỗ lực để ngăn chặn sự lây lan của ransomware. [38] [39] Hơn 1.000 máy tính tại Bộ Nội vụ Nga, Bộ Khẩn cấp Nga và công ty viễn thông của Nga MegaFon, cũng bị nhiễm [12] .


Ở Anh, vào ngày 13 tháng năm 2017 vụ tấn công WannaCry trở thành một đề tài chính trị tranh cãi ở Anh Quốc, với những cáo buộc là Đảng Bảo thủ (đảng cầm quyền) tài trợ quá ít cho NHS như một phần của các biện pháp thắt lưng buộc bụng của chính phủ, đặc biệt là từ chối trả thêm để giữ bảo vệ hệ thống lỗi thời Windows XP từ các cuộc tấn công như vậy. [40] "Bộ trưởng Y tế" của phe đối lập Jon Ashworth cáo buộc Bộ trưởng Y tế Jeremy Hunt từ chối hành động về một lưu ý quan trọng từ Microsoft, Trung tâm Quốc gia Cyber Security (NCSC) và Cơ quan Tội phạm Quốc gia hai tháng trước đây. [41] Trên thực tế, mã độc tống tiền đã tấn công các bệnh viện đều đặn từ một khoảng thời gian gần đây. Một thăm dò FoI của RES công bố vào tháng 2 cho thấy 88 trong số 260 bệnh viện NHS bị tấn công bởi mã độc tống tiền từ giữa 2015 cho tới cuối năm 2016. Imperial College Healthcare bị tấn công 19 lần trong 12 tháng. [40]

Thủ phạm


Chuyên gia IT của Google Neel Netha vào ngày 15-5 đã đưa mã lên mạng, cho thấy những tương tự giữa WannaCry và một số virus từ một loạt các cuộc tấn công mạng trước đây, mà bị cho là xuất phát từ Bắc Triều Tiên . Công ty an ninh mạng Nga Kaspersky giải thích sau khi phân tích mã này, khám phá của Mehta "hiện tại là dấu vết quan trọng nhất về xuất xứ của WannaCry". Theo Kaspersky những mã này cho thấy nó xuất phát từ nhóm tin tặc Lazarus. Nhóm này bị cho là chịu trách nhiệm cho vụ tấn công vào hãng phim Sony Pictures trong năm 2014. Cuộc tấn công này được cho là để trả thù cho một cuốn phim của Sony, mà chế giễu lãnh tụ Bắc Triều Tiên Kim Jong Un . Tuy nhiên các nhà khoa học cho biết những dấu vết này chưa đủ để chứng minh. [42]


Dường như những người viết đoạn đòi tiền chuộc đã dùng Google Translate để dịch ra. Bản tiếng Trung thì có lẽ không được dịch theo kiểu này. Một lý do là họ có thể dùng một chương trình dịch khác. Hoặc là họ biết nói tiếng Trung. Bản tiếng Hàn cũng như một số các ngôn ngữ khác, có sự thay đổi nhỏ từ bản dịch của Google. [43]

Cơ hội cho thị trường bảo hiểm

Trước thị trường mới tinh và đầy tiềm năng này, các công ty bảo hiểm rất phấn khởi. Điều này xuất phát từ nỗi lo sợ bị mất dữ liệu của nhiều công ty. Mặc dù bỏ tiền ra mua bảo hiểm, song sẽ có một số thiệt hại liên quan khi bị tin tặc tấn công sẽ không được bảo hiểm chi trả. Đó là thiệt hại do việc gián đoạn kinh doanh và thiệt hại danh tiếng. Nhiều công ty lớn trên thế giới đang yêu cầu có thêm các khoản bồi thường này trong các hợp đồng mua bảo hiểm không gian mạng. Khó khăn thứ hai với bên bảo hiểm là thường một vụ tấn công mạng thường xảy ra ở mức độ lớn, cùng lúc với nhiều đối tượng. Trong khi lâu nay giới bảo hiểm chỉ quen và chỉ thích xử lý những trường hợp riêng lẻ bị thiệt hại (như trong trường hợp bị tai nạn xe cộ, bị cháy nổ tài sản, bị hủy chuyến du lịch...).


Theo Financial Times , thị trường bảo hiểm không gian mạng trong mấy năm gần đây đã bắt đầu phát triển, với số tiền đóng bảo hiểm mỗi năm khoảng 3 tỉ USD. Con số này có thể tăng tới 20 tỉ USD vào năm 2025. [44]

Khi mới xuất hiện, chẳng mấy ai quan tâm virus Wanna Cry là gì. Tuy nhiên, đến khi hàng nghìn máy tính trên thế giới bị nhiễm mã độc này, mọi người mới tá hỏa để tìm cách bảo vệ mình trước nguy cơ mất trắng dữ liệu trong máy tính.


Ransomware là gì?

Ransomware nói chung và virus Wanna Cry nói riêng là một hình thức tấn công mạng liên quan đến việc các hacker chiếm quyền kiểm soát máy tính, khiến người dùng không thể truy cập cho đến khi trả tiền chuộc. Cũng chính vì đặc điểm này, ransomware thường được gọi là mã độc tống tiền. Các hacker đơn giản là muốn kiếm tiền từ nạn nhân chứ không có lý do nào khác.

Các hacker truy cập được máy tính trong trường hợp nạn nhân tải nhầm một tài liệu hoặc phần mềm đã bị nhiễm mã độc ransomware. Sau khi mã độc thâm nhập, nó sẽ bắt đầu quá trình mã hóa từng tệp tin trong máy tính của nạn nhân.


Virus Wanna Crypt là gì?

Cách thức hoạt động của ransomware Wanna Crypt (Wanna Cry) và các biến thể của mã độc tống tiền này rất đơn giản. Nó khai thác một lỗ hổng trên hệ điều hành Windows được nắm giữ bởi Cơ quan An ninh Quốc gia Mỹ (NSA) và sử dụng chính những công cụ của NSA để lây lan mã độc Wanna Cry.

Tuy nhiên, mã độc này được bổ sung khả năng lây nhiễm trên các máy tính ngang hàng. Cụ thể, Wanna Cry sẽ quét toàn bộ các máy tính trong cùng mạng để tìm kiếm thiết bị chứa lỗ hổng EternalBlue của dịch vụ SMB (trên hệ điều hành Windows). Từ đó, mã độc có thể lây lan vào các máy có lỗ hổng mà không cần người dùng phải thao tác trực tiếp với file đính kèm hay link độc hại.

Người dùng sẽ không biết máy tính của mình đã nhiễm Wanna Cry hay chưa cho đến khi nó tự gửi một thông báo cho biết thiết bị đã bị khóa và mọi tập tin đều bị mã hóa. Để lấy lại quyền truy cập và khôi phục dữ liệu, người dùng buộc phải trả cho hacker ít nhất 300 USD (khoảng 6,6 triệu đồng) thông qua tiền ảo Bitcoin.

Sau 3 ngày mà hacker không nhận được tiền, mức tiền chuộc sẽ tăng gấp 2 lần và quá thời hạn 7 ngày mà chưa thanh toán, toàn bộ dữ liệu trong máy tính đã bị nhiễm mã độc Wanna Cry sẽ mất sạch. Đặc biệt, virus ransomware này ghi đầy đủ thông tin thanh toán và cài cả ứng dụng đếm ngược thời gian bằng nhiều ngôn ngữ khác nhau.


Theo thông tin mới nhất, một chuyên gia IT 22 tuổi đến từ Anh đã tìm ra cách vô hiệu hóa phần mềm gián điệp tống tiền (ransomware) Wanna Cry đang lây lan. Marcus Hutchins hiện đang làm việc cùng chính phủ để ngăn chặn con virus thứ hai.

Ransomware Wanna Cry là gì?


Ransomware Wanna Cry hay mã độc tống tiền là một loại mã độc khi thâm nhập vào thiết bị máy tính của người dùng hoặc hệ thống máy tính của cả doanh nghiệp có kết nối chung mạng internet sẽ tự động mã hóa toàn bộ các tập tin theo định dạng mục tiêu như hình ảnh, tài liệu,..Lúc này, kẻ xấu sẽ sử dụng mã độc tống tiền để gửi thông tin đòi tiền chuộc và tiền bạn phải gửi cho chúng là tiền Bitcoin chứ không phải bất cứ loại tiền tệ thông thường nào khác, nếu bạn đồng ý gửi tiền thì chúng sẽ cung cấp mã để hóa giải dữ liệu, nếu không dữ liệu coi như bị mất hẳn.

Theo thông tin nhận được từ nhiều trang báo và mạng xã hội thì nhiều hình ảnh được đăng tải cho thấy màn hình máy tính của Dịch vụ Y tế Quốc gia Anh (NHS) xuất hiện tin nhắn tống tiền $300 với tuyên bố “Dữ liệu của bạn đã bị mã hóa”. Hình ảnh cho thấy kể xấu yêu cầu thanh toán tiền trong vòng 3 ngày bằng không chúng sẽ tăng giá lên gấp đôi, và trong 7 ngày không thanh toán thì các dữ liệu sẽ bị xóa hoàn toàn.

Cách virus tống tiền này xâm nhập vào máy tính


Về cách lấy nhiễm thì loại mã độc WannaCry này đã lợi dụng lỗ hổng bảo mật trong giao thức SMB của Windows để lấy nhiễm, tập trung vào Win2k8 và Win XP.

Kiểu tấn công này khác với các hình thức tấn công thông thường là phải dùng sâu máy tính, tức là chương trình sẽ tự nhân bản chính nó vào hệ thống máy tính và lừa người dùng click vào một link độc hại.


Dưới đây là một số cách mà Ransomware Wanna Cry dùng để xâm nhập vào máy tính của bạn:

Hacker sẽ gửi Email kèm đường link dẫn lạ hoặc một file chứa mã độc, khi bạn click vào đó ngay lập tức máy tính sẽ bị nhiễm WannaCry. Và nó có thể lấy nhiễm từ máy tính này qua máy tính khác nếu hệ thống máy tính kết nối chung 1 mạng internet.

Khi bạn truy cập vào một trang web giả mạo, web đen, web sex

Do bạn cài đặt các phần mềm không rõ nguồn gốc

Download và cài các phần mêm Crack


Vụ tấn công mạng này có quy mô toàn cầu, ảnh hưởng tới khoảng 99 quốc gia trên thế giới, trong đó có Mỹ, Anh, Nga, Trung Quốc, Italy, Tay Ban Nha, Đài Loan (Trung Quốc), Việt Nam và rất nhiều quốc gia khác nữa. Theo ghi nhận từ các chuyên gia của Intel thì hiện nay tại Việt Nam đã phát hiện loại mã độc tống tiền này ở Hà Nội và TP. Hồ Chí Minh và rất có thể sẽ lan rộng trên cả nước.

99 quốc gia bị ảnh hưởng bởi WannaCry


Theo TheHackerNews, tính tới hết ngày 13/5, cuộc tấn công sử dụng virus tống tiền lớn nhất từ trước đến nay Wanna Cry Ransomware đã lấy nhiễm thành công khoảng 200.000 máy tính đang sử dụng hệ điều hành Windows tại ít nhất 99 đất nước. Chỉ trong khoảng vài giờ phát tán, nhóm tin tặc đứng đằng sau Wanna Cry đã thu về khoảng $30.000 USD.
Chưa dừng lại ở đó, Nhóm hacker này đã tạo ra một phiên bản nâng cấp tinh vi hơn của Wanna Cry gọi là Wanna Cry 2.0 và đang tiếp tục lây nhiễm sang hàng trăm nghìn máy tính trên toàn thế giới.

Cách phòng chống và đối phó với Ransomware Wanna Cry?


Theo nhận định từ các chuyên gia CMC INFOSEC thì rất có thể trong tuần tới nhóm hacker này sẽ còn tạo ra rất nhiều biến thể mới của WannaCry cũng như các loại mã độc mới phức tạp hơn. Một điểm khác biệt của dòng Virus tống tiền này là chúng không lây nhiễm qua các Email hay link có chưa mã độc mà lây nhiễm dựa vào lỗ hổng trong giao thức SMB của Windows nên tốc độ lây lan của chúng rất nhanh.

Vì thế, cách phòng chống lúc này là tạm thời disable SMB đi và thường xuyên cập nhật các bản vá lỗi với hệ điều hành Windows, đặc biệt là các máy chủ. Bên cạnh đó, người dùng không nên click vào những link lạ trong email hay các file lạ không rõ nguồn gốc.


Hiện nay Microsoft đã có bản vá lỗi khẩn cấp dành cho giao thức SMB, người dùng và doanh nghiệp có thể tải bản vá khẩn cấp này, sử dụng cho cả những phiên bản không còn được hỗ trợ như Windows XP, Windows8, Vista, Server2003 và 2008. Bạn có thể cập nhật thủ công theo link sau: https://www.microsoft.com/en-us/download/details.aspx?id=55245&WT.mc_id=rss_windows_allproducts

Wannacry 2.0 tinh vi hơn

Cũng theo các chuyên gia của CMC InfoSec, mã độc tống tiền này chủ yếu khai thác lỗ hổng phiên bản máy chủ Windows 2008 R2 và đa số các cơ quan nhà nước Việt Nam cũng như doanh nghiệp đang dùng phiên bản này và Windows XP vẫn còn tồn tại cũng không ngoại lệ. Thời điểm hiện tại loại mã độc này mới xuất hiện nên phần lớn cá doanh nghiệp, cá nhân chưa nắm bắt thông tin kịp thời để vá lỗ hổng nên dẫn đến nguy cơ lấy nhiễm là rất cao.


Các chuyên gia từ CMC Infosec khuyến nghị các cá nhân, doanh nghiệp nên sao lưu dữ liệu và có các phương án backup dữ liệu để đề phòng các link lạ, đặc biệt là doanh nghiệp tốt nhất nên có một máy tính riêng để nhân viên remote khi họ nghi ngờ Mail không an toàn, đối với cá nhân thì luôn phải cài phần mềm diệt Virus trên máy tính và cả di động, đặc biệt là cá phầm mềm chuyên biệt dành cho mã độc mã hóa dữ liệu để ngăn chặn mã độc tống tiền Wanna Cry .

Cách xử lý khi bị nhiễm Ransomware WannaCry

Bạn phải ngắt ngay lập tức các thiết bị máy tính bị nhiễm virus WannaCry khỏi mạng LAN, tránh để nó lây lan sang các máy tính khác


Trả tiền chuộc cho những kẻ đứng sau WannaCry để nhận mã giải cứu máy tính hay không là quyết định ở bạn. Vì hiện tại cũng chưa có báo cáo nào về việc người dùng sẽ nhận được mã giải cứu sau khi thanh toán tiền cho chúng. Hiện mới chỉ có 160 giao dịch được gửi tới địa chỉ Bitcoin mà kẻ xấu cung cấp, ước tính khoảng 300.000USD. Tại Việt Nam giá “cứu” một máy tính bị nhiễm mã độc WannaCry là 2 Bitcoin đổi ra tiền VNĐ vào khoảng 80 triệu đồng, không hề rẻ chút nào.


Vẫn có thông tin cho rằng bên trong Wanna Cry tồn tại lỗi trong cách thức nó mã hóa dữ liệu, nên các chuyên gia về bảo mật trên thế giới vẫn đang tìm cách để khai thác và viết công vụ giải mã. Nếu dữ liệu quan trọng thì bạn có thể cất ổ cứng bị nhiễm virus WannaCry đi và chờ công cụ này được phát hành.

Nếu ổ cứng của bạn không có gì quan trọng thì hãy Format toàn bộ ổ cứng và cài lại Windows cho máy tính. Bạn nên nhớ chỉ khi bạn Format toàn bộ ổ cứng thì mới loại bỏ được hoàn toàn WannaCry, chứ chỉ format ổ C rồi cài lại thì không giải quyết được vấn đề gì cả.


Update : Mình mới biết được một phầm mềm chống loại virus này gần như hoàn toàn 99% miễn phí có tên RansomFree của cybereason , các bạn chỉ cần download nó về và cài đặt trên máy tính của mình, khi bạn click hay có hiện tượng xêm nhập của WannaCry thì phần mềm sẽ tự động ngăn chặn. Bạn download tại đây và cài đặt như bình thường nhé. Mình sẽ update liên tục tại topic này vì thế mọi người nhớ theo dõi nhé.

Xem video hướng dẫn cách xử lý khi bị nhiễm Virus Wanna Cry

WannaCry là gì?

WannaCry (còn có tên gọi khác là WannaCrypt0r 2.0 hay WCry) là tên của 1 loại virus máy tính, một dạng chương trình chứa mã độc tống tiền (ransomware) mà khi máy tính bị nhiễm virus này nó sẽ mã hoá toàn bộ các tệp dữ liệu (file trong máy tính) như văn bản, âm thanh, hình ảnh, và nhiều loại file tài liệu khác thông dụng… sau đó hiện lên thông báo đòi tiền chuộc.

Khi bạn gửi tiền chuộc thì liệu có nhận được mã giải khóa và không tái nhiễm về sau ?

Điều đáng nói là không có gì đảm bảo rằng sau khi bạn gửi tiền chuộc theo hướng dẫn của virus thì sẽ nhận được mã giải khóa và không tái nhiễm về sau.

Virus này bắt đầu gây ảnh hưởng đến các máy tính trên toàn thế giới vào cuối tuần trước, ngày 12/5/2017. Trong hơn một ngày đầu, các chuyên gia ghi nhận có khoảng 45.000 máy tính bị lây nhiễm tại hơn 80 quốc gia.

Màn hình máy tính sau khi bị nhiễm WannaCry chứa rất nhiều file lạ ro virus sinh ra, các file dữ liệu trên màn hình cũng bị mã hóa không còn sử dụng được nữa

Thông báo tống tiền của WannaCry hỗ trợ nhiều ngôn ngữ bao gồm cả Tiếng Việt

Các cách thức lây nhiễm của WannaCry?

Bạn vô tình hoặc cố ý click vào 1 đường link không rõ nguồn gốc, hoặc mở 1 email lạ.

Chạy các chương trình, phần mềm không rõ nguồn gốc chứa mã virus WannaCry.

Đặc biệt, virus tự quét (scan địa chỉ IP) các máy tính trong cùng mạng nội bộ (tiếng Anh gọi là LAN) trong đó bao gồm máy tính của bạn để phát hiện lỗ hổng bảo mật và lây nhiễm vào máy tính của bạn ngay cả khi bạn không thực hiện các hành động ở trên, miễn là máy tính của bạn đang bật và có kết nối mạng nội bộ với máy tính đã nhiễm virus này.

Các máy tính nào có thể bị nhiễm Virus?

Máy tính sử dụng Hệ điều hành cũ của Micrisoft mà chưa cập nhật bản vá lỗi: Windows XP, Windows 7, Windows 8…

Máy tính sử dụng Hệ điều hành Linux, MacOS hoặc Windows 10 sẽ không bị ảnh hưởng, tuy nhiên nếu máy này có chia sẻ ổ cứng với 1 máy Windows nhiễm WannaCry thì ổ cứng được share đó cũng sẽ bị mã hóa dữ liệu.

WannaCry mã hóa những gì?

WannaCry sử dụng một chìa mã hóa riêng để mã hóa các dữ liệu mà chỉ những kẻ tấn công mới biết. Nếu tiền chuộc không được thanh toán, dữ liệu sẽ bị mất mãi mãi.

Khi chiếm được một máy tính, kẻ tấn công thường tìm mọi cách để người dùng tiếp cận được yêu cầu của chúng. WannaCry sẽ thay thế hình nền, tự mở cửa sổ hướng dẫn cụ thể cách thức trả tiền để khôi phục các tập tin. Thậm chí, hướng dẫn này còn được dịch đầy đủ sang ngôn ngữ của hầu hết các nước. Số tiền thường được đòi là từ 300 đến 500 USD. Giá có thể tăng lên gấp đôi nếu tiền chuộc không được thanh toán sau 3 ngày. Trong trường hợp của WannaCry, kẻ gian đòi tiền chuộc bằng bitcoin, một loại tiền ảo nên rất khó để các cơ quan pháp luật nắm bắt.

Các định dạng file mà WannaCry mã hóa:

Dưới đây là hình ảnh mô phỏng cách thức phá hoại bằng việc mã hóa file của WannaCry trên máy tính bị nhiễm:

Các file vẫn sử dụng được bình thường khi máy tính chưa bị nhiễm virus WannaCry (Ảnh: GenK.vn)

Các file đã bị mã hóa và không thể sử dụng được nữa khi máy tính nhiễm virus WannaCry (Ảnh: GenK.vn)

Tại sao WannaCry lại nguy hiểm nhất thế giới?

Các phần mềm tống tiền (ransomware) rất nguy hiểm bởi chúng "hiểu" dữ liệu của người dùng luôn quan trọng nhất với chính người đó. Việc giữ dữ liệu làm "con tin" sẽ có hiệu quả hơn là chỉ đánh cắp hoặc xóa đi.

WannaCry và các biến thể của nó khai thác một lỗ hổng trên hệ điều hành Windows rất phổ biến trên các máy tính mà hầu hết chúng ta đang sử dụng. Lỗ hổng nghiêm trọng này mới chỉ được phát hiện vào tháng 2 năm nay. Hãng Microsoft là sở hữu của các phiên bản hệ điều hành Windows đã tung ra bản cập nhật sửa lỗi vào ngay tháng 3 nhưng có rất nhiều máy tính trên thế giới không được nhận kịp thời bản cập nhật này. Trong đó, đáng kể là các nước đang phát triển sử dụng hệ điều hành, ứng dụng "lậu" như Việt Nam, Nga, Trung Quốc.

Các công ty, tổ chức hạn chế kết nối mạng ngoài cũng khó lòng cập nhật các bản vá kịp thời. Đây cũng là lý do các bệnh viện, tổ chức y tế tại Anh, công ty viễn thông Telefónica của Tây Ban Nha, dịch vụ chuyển phát nhanh FedEx của Mỹ cũng nằm trong danh sách nạn nhân ảnh hưởng nặng nề nhất.

Nhiều công sở, trường học, bệnh viện bị nhiễm virus WannaCry

Các ATM tại Trung Quốc bị tê liệt khi bị nhiễm virus WannaCry, không thể thực hiện giao dịch, đồng thời hiện thông báo đòi tiền chuộc màu đỏ trên màn hình.

Sở cảnh sát Tô Châu đã không thể tiến hành kiểm tra và cấp giấy phép kinh doanh do máy tính bị nhiễm WannaCry

Thiệt hại do WannaCry gây ra cho thế giới?

Theo thống kê của BBC, số máy tính bị ảnh hưởng bởi mã độc tống tiền (ransomware) đã lên đến 300.000 máy, tại 150 quốc gia. Con số trên được dự báo vẫn đang và sẽ tiếp tục tăng.

Theo dự đoán, tin tặc có thể bỏ túi hơn 1 tỷ USD từ nạn nhân trên khắp thế giới trước khi thời hạn đòi tiền chuộc kết thúc.

Những cái tên nổi tiếng chịu tác động từ cuộc tấn công này bao gồm gã khổng lồ vận tải FedEx, Hệ thống Dịch vụ Y tế Quốc gia Anh và Bộ Nội vụ Nga.

Châu Á cũng ghi nhận nhiều trường hợp lây nhiễm ransomware, trong đó đánhg chú ý là việc sinh viên các trường đại học không thể truy cập vào bài tiểu luận và giấy tờ quan trọng khác phục cho kỳ thi tốt nghiệp.

Trên bình diện quốc tế, hơn 45.000 cuộc tấn công được ghi nhận tại 99 quốc gia. Theo công ty an ninh mạng Kaspersky Lab, Nga là nước chịu ảnh hưởng nặng nề nhất, tiếp đến là Ukraina, Ấn Độ và Đài Loan.

Ít nhất 45 bệnh viện ở Anh và các cơ sở y tế khác phải chịu tổn thất lớn, cản trở hoạt động thăm khám, chữa trị cho bệnh nhân. Thậm chí, nhiều trường hợp đã phải chuyển tới khu vực khác. Thủ tướng Theresa May lên tiếng khẳng định, chưa tìm thấy bất kỳ dấu hiệu nào chứng tỏ dữ liệu của bệnh nhân bị đánh cắp.

Đến thứ Bảy (13/5/2017) , giới chức Anh cho biết có 48 trên tổng số 248 cơ sở y tế công (chiếm gần 20%) bị tấn công. Trong đó, 42 trung tâm, bệnh viện đã khắc phục sự cố để trở lại hoạt động bình thường. Trong tương lai, những loại mã độc như vậy có thể giết chết con người.

Một số trường hợp khác cũng ghi nhận tình trạng lây nhiễm, nhưng không làm gián đoạn hoạt động như Công ty vận tải Đức Deutsche Bahn, Hãng viễn thông Tây Ban Nha Telefónica và Nhà sản xuất ôtô Pháp Renaut.

Bộ Nội vụ Nga xác nhận 1.000 máy tính của họ bị tấn công.

Công ty bảo mật trực tuyến Trung Quốc Qihoo 360 đưa ra cảnh báo về phần mềm tống tiền, đồng thời cho hay, nhiều máy tính nước này đã nhiễm ransomware, trong đó có những hệ thống đang sử dụng tiền ảo Bitcoin.

Các vùng bị nhiễm virus WannaCry trên thế gới

Việt Nam nằm trong nhóm 20 quốc gia bị ảnh hưởng nặng nhất bởi WannaCry. Nguồn: Kaspersky.

Giới chuyên gia nhận định, chủng WannaCry có thể “tiến hóa” thành những dạng khác. Một khi mã gốc của chúng được thay đổi, thế giới sẽ đứng trước nguy cơ bùng phát một cuộc tấn công mới nguy hiểm hơn.

Cần làm gì để hạn chế lây nhiễm WannaCry cho máy tính của bạn?

Copy toàn bộ dữ liệu quan trọng ra ổ cứng / USB ngoài hoặc tải dữ liệu lên các dịch vụ cloud như Dropbox, Google Drive, OneDrive,...

Tắt (disable) tính năng SMB bằng cách vô "Start", tìm "Windows Features", xong bỏ dấu check chỗ SMB. Xem hướng dẫn tại đây

Không được truy cập các trang web đen, không tải các file đính kèm từ người lạ hoặc kể cả người quen biết nhưng có nghi vấn file lạ

Không tải các phần mềm lậu, các bản crack

Sử dụng phần mềm diệt virus đủ mạnh, từ các hãng phần mềm nổi tiếng như Kaspersky, Avast, AVG... và bật chế độ bảo vệ thời gian thực cho máy (thường được kích hoạt sẵn), thường xuyên quét virus và cập nhật cho phần mềm này.

Không dùng máy tính truy cập vào wifi công cộng

Làm gì khi dính mã độc WannaCry?

Ngắt ngay lập tức các máy tính bị nhiễm khỏi mạng LAN, tránh để nó lây lan qua các máy khác.

Nếu bạn không có gì để mất thì hãy format toàn bộ ổ cứng và cài lại Windows.

Trả tiền cho tác giả của WannaCry để nhận mã giải cứu hay không là quyết định của bạn. Hiện chưa có báo cáo nào về việc chúng có đưa mã giải mã cho nạn nhân sau khi nhận tiền hay không.

Hiện có thông tin bên trong WannaCry tồn tại lỗi trong cách thức nó mã hóa dữ liệu, nên các chuyên gia bảo mật đang thử tìm cách khai thác và viết công cụ giải mã. Nếu dữ liệu quá quan trọng thì bạn có thể cất ổ cứng bị nhiễm WannaCry đi chờ công cụ này. WannaCry quá ảnh hướng nên giới chuyên gia sẽ để tâm và công sức làm phần mềm giải mã.

Chia sẻ Facebook