Cảnh báo

Hiện tại, mã độc tấn công đòi tiền chuộc (ransomware) có tên WannaCry (WanaCrypt0r) đang khai thác một số lỗ hổng trên hệ điều hành Windows để tấn công vào các máy tính với mục tiêu mã hóa dữ liệu để đòi tiền chuộc, ảnh hưởng tới nhiều tổ chức, cá nhân trên phạm vi toàn cầu.
Cho đến 15/5/2017, "Cơn bão" mã độc tống tiền WannaCry tiếp tục lan rộng và theo thống kê của BBC, số máy tính bị ảnh hưởng đã lên đến 200 nghìn máy, tại 150 quốc gia. Rất nhiều trong số đó là các doanh nghiệp, tập đoàn lớn. "Quy mô của cuộc tấn công lớn chưa từng có", BBC nói.

Cách thức hoạt động

WannaCry, còn được biết đến với các tên khác như WannaCrypt, WanaCrypt0r 2.0... tấn công vào máy nạn nhận qua file đính kèm email hoặc link độc hại, như các dòng ransomware khác. Tuy nhiên, mã độc này được bổ sung khả năng lây nhiễm trên các máy tính ngang hàng.

 
Về cách lây nhiễm, mã độc WannaCry tìm ra lỗ hổng bảo mật và lây nhiễm chúng bên trong tổ chức bằng cách khai thác lỗ hổng được công bố bởi công cụ NSA đã bị đánh cắp bởi nhóm hacker The Shadow Brokers. Mã độc tống tiền này chủ yếu khai thác vào lỗ hổng của giao thức SMB mà các tổ chức cá nhân chưa vá lỗ hổng kịp thời, tập trung vào Win2k8 R2 và Win XP

Không dừng lại, một phiên bản nâng cấp tinh vi hơn của của WannaCry là WannaCry 2.0 vừa được nhóm tin tặc phát tán và đang tiếp tục lây nhiễm sang hàng trăm nghìn máy tính trên toàn cầu.

Cách phòng chống và đối phó WannaCry

Việc giải mã hiện không có công cụ để thực hiện vào thời điểm này nhưng Symantec và nhiều hãng khác đang đang nghiên cứu. Symantec khuyên bạn không nên trả tiền chuộc. Các tệp được mã hóa sẽ được khôi phục từ các bản sao lưu nếu có thể. Phương pháp duy nhất để chống lại nhiễm độc là không bị lây nhiễm ngay từ đầu.

Symantec đưa ra các khuyến nghị dành cho người dùng và kỹ thuật viên như sau

- Sử dụng tường lửa để chặn tất cả các kết nối từ Internet đến các dịch vụ không được công khai. Theo mặc định, bạn nên từ chối tất cả các kết nối đến và chỉ cho phép dịch vụ bạn muốn cung cấp một cách rõ ràng ra bên ngoài.

-  Tiến hành đặt mật khẩu. Mật khẩu phức tạp làm cho ransomware khó khăn để giải mã các mật khẩu của file trên các máy tính bị xâm nhập. Điều này giúp ngăn ngừa hoặc hạn chế thiệt hại khi máy tính bị xâm nhập.

- Đảm bảo rằng các chương trình và người dùng của máy tính sử dụng mức ưu tiên thấp nhất cần thiết để hoàn thành một tác vụ. Khi được nhắc mật khẩu gốc hoặc mật khẩu UAC, hãy đảm bảo rằng chương trình yêu cầu quyền truy cập cấp quản trị là một ứng dụng hợp pháp.

- Vô hiệu hoá AutoPlay để ngăn chặn việc tự động khởi chạy các tập tin thực thi trên mạng và ổ đĩa rời, và ngắt kết nối các ổ đĩa khi không yêu cầu. Nếu không yêu cầu quyền truy cập ghi, hãy bật chế độ chỉ đọc nếu tùy chọn có sẵn.

- Tắt chia sẻ tập tin nếu không cần thiết. Nếu yêu cầu chia sẻ tệp, hãy sử dụng ACL và mật khẩu bảo vệ để hạn chế quyền truy cập. Vô hiệu hóa truy cập nặc danh đến các thư mục chia sẻ. Các thư mục được chia sẻ chỉ cho phép các tài khoản có mật khẩu mạnh được truy cập.

- Tắt và gỡ bỏ các dịch vụ (services) Windows không cần thiết. Theo mặc định, nhiều hệ điều hành cài đặt các dịch vụ phụ không quan trọng. Những dịch vụ này có thể đóng vai trò là những con đường dẫn đến tấn công. Nếu chúng được loại bỏ, vô hiệu hóa thì mối nguy hại sẽ bị hạn chế.

- Nếu một mối đe dọa khai thác một hoặc nhiều dịch vụ mạng (network services), hãy vô hiệu hóa, hoặc chặn truy cập các dịch vụ đó cho đến khi một bản vá được phát hành.

- Luôn cập nhật các bản vá lỗi của hệ điều hành, đặc biệt là trên các máy tính lưu trữ các dịch vụ công và có thể truy cập qua tường lửa, chẳng hạn như các dịch vụ HTTP, FTP, mail và DNS.

- Cấu hình máy chủ email (mail servers) của bạn để chặn hoặc xóa email có chứa tệp đính kèm thường được sử dụng để phát tán các mối đe dọa, chẳng hạn như tệp .vbs, .bat, .exe, .pif và .scr.

- Cô lập các máy tính đã bị xâm nhập một cách nhanh chóng để ngăn chặn các mối đe dọa lây lan rộng hơn.

- Thực hiện phân tích máy tính và khôi phục các dữ liệu bởi các ứng dụng đáng tin cậy.

- Hướng dẫn nhân viên không mở tài liệu đính kèm lạ hoặc không cần thiết. Ngoài ra, không tải phần mềm từ Internet trừ khi nó đã được quét virus. Đơn giản ví dụ như thế này: chỉ cần truy cập vào một trang web bị cài mã độc có thể gây nhiễm độc nếu trình duyệt không được vá.

- Nếu không dùng Bluetooth cho thiết bị di động, cần tắt tính năng này đi. Nếu bạn cần sử dụng nó, đảm bảo rằng khả năng hiển thị của thiết bị được đặt là "Ẩn" để nó không thể được quét bởi các thiết bị Bluetooth khác. Nếu đồng bộ thiết bị  (pairing), đảm bảo rằng tất cả thiết bị được đặt  "Không được phép" (Unauthorized), yêu cầu ủy quyền cho mỗi yêu cầu kết nối. Không nhận các ứng dụng không phải bạn yêu cầu hoặc được gửi từ các nguồn không xác định.

- Sao lưu & cập nhật các bản vá lỗi Windows

 

Hướng dẫn từ Kaspersky Lab


Đối với cá nhân

-   Liên hệ với quản trị mạng hoặc thực hiện cập nhật ngay các phiên bản hệ điều hành windows đang sử dụng.

-   Cập nhật ngay các chương trình Antivius đang sử dụng. Đối với các máy tính không có phần mềm Antivirus cần tiến hành cài đặt ngay phần mềm Antivirus có bản quyền.

-  Cẩn trọng khi nhận được email có đính kèm và các đường link lạ được gửi trong email, trên các mạng xã hội, công cụ chat…

-   Chú ý thận trọng khi mở các file đính kèm ngay cả khi nhận được từ những địa chỉ quen thuộc. Sử dụng các công cụ kiểm tra phần mềm độc hại trực tuyến hoặc có bản quyền trên máy tính với các file này trước khi mở ra.

-   Không mở các đường dẫn có đuôi .hta hoặc đường dẫn có cấu trúc không rõ ràng, các đường dẫn rút gọn link, nếu có nghi ngờ cần liên hệ với cán bộ phụ trách IT ngay.

-   Thực hiện biện pháp lưu trữ (backup) dữ liệu quan trọng ngay lập tức.

Đối với các quản trị viên hệ thống

-          Thực hiện lệnh quét virusscan cho vùng Critical Areas, nếu phát hiện malware dạng

MEM:Trojan.Win64.EquationDrug.gen cần khởi động lại máy tính ngay.

-          Thực hiện biện pháp lưu trữ (backup) dữ liệu quan trọng ngay.

-          Cập nhật đầy đủ cho các máy chủ/máy trạm đang sử dụng hệ điều hành Windows, đặc biệt là bản vá lỗi EternalBlue (MS17-010) theo đường dẫn dưới đây :

Security Update for Microsoft Windows SMB Server (MS17-010 – Critical)

-          Riêng đối với các máy tính sử dụng Windows XP, sử dụng bản vá dưới đây :  Security Update for Windows XP SP3 (KB4012598)

hoặc tìm kiếm theo từ khóa bản cập nhật KB4012598 trên trang chủ của Microsoft.

-          Tạo các bản snapshot đối với các máy chủ ảo hóa đề phòng việc bị tấn công.

-          Kiểm tra tình trạng hoạt động của phần mềm diệt virus đang được cài đặt với đầy đủ các tính năng bảo vệ, đặc biệt là tính năng System Watcher , thông báo người dùng không được tự ý tắt hay gỡ bỏ.

-          Cập nhật cơ sở dữ liệu mới nhất cho các máy chủ, máy trạm đã được trang bị hệ thống Antivirus Endpoint Security.

-          Kiểm tra ngay các máy chủ và tạm thời khóa (block) các dịch vụ đang sử dụng các cổng 445/137/138/139.

-          Tận dụng các công cụ, giải pháp an toàn thông tin để theo dõi, giám sát và bảo vệ hệ thống trong thời điểm nhạy cảm này.

-          Ngăn chặn (block) việc sử dụng các phần mềm chia sẻ file ngang hàng Tor trong hệ thống mạng.

-          Cảnh báo tới người dùng trong đơn vị và thực hiện các biện pháp như nêu trên đối với người dùng.

-          Trong trường hợp phát hiện máy tính bị lây nhiễm, không làm theo các hướng dẫn của hacker để tránh mất tiền và lây nhiễm virus thêm.

-          Xác định và ngắt máy tính bị lây nhiễm khỏi hệ thống mạng, update chương trình diệt virus và quét lại toàn bộ máy tính để làm sạch virus trước khi cài đặt lại.

-          Liên hệ ngay với các cơ quan chức năng cũng như các tổ chức, doanh nghiệp trong lĩnh vực an toàn thông tin để được hỗ trợ khi cần thiết.


Công cụ

Các hãng bảo mật đã có nhưng cảnh báo sớm và kịp thời trong ngày 13/5 vừa qua, đồng thời Microsoft cũng đã Update các bản vá ransomware vào tháng 3 dành cho Windows 10.

TrendMicro: Machine Learning Assessment Tool - https://www.trendmicro.com/product_trials/service/index/us/164

Symantec: 

Cho người dùng Norton
 

Removal Tool 


If you have an infected Windows system file, you may need to replace it using the Windows installation CD


How to reduce the risk of infection 
The following resources provide further information and best practices to help reduce the risk of infection. 




FOR BUSINESS USERS 
If you are a Symantec business product user, we recommend you try the following resources to remove this risk. 


Identifying and submitting suspect files 
Submitting suspicious files to Symantec allows us to ensure that our protection capabilities keep up with the ever-changing threat landscape. Submitted files are analyzed by Symantec Security Response and, where necessary, updated definitions are immediately distributed through LiveUpdate™ to all Symantec end points. This ensures that other computers nearby are protected from attack. The following resources may help in identifying suspicious files for submission to Symantec. 



Removal Tool 

Bkav kiểm tra: http://www.bkav.com.vn/Tool/CheckWanCry.exe