Tóm Tắt
Theo thông tin mới nhất mà an ninh mạng đã đưa tin trên các báo và các kênh truyền thông về Ransomware mang tên WanaCrypt0r 2.0, vậy bài viết nói về nó cũng không ít rồi nhưng bài viết này tôi tổng hợp và phân tích về nó củng như đưa ra vài biện pháp hỗ trợ các bạn. Cùng tôi nghiên cứu nó nhé.
Ransomware là gì?
Ransomware là một loại phần mềm độc hại cực kỳ khó chịu, nó chặn đường truy cập vào máy tính hoặc dữ liệu và yêu cầu trả tiền chuộc mới giải phóng dữ liệu.
Ransomware hoạt động như thế nào?
Khi một máy tính bị lây nhiễm, ransomware thường liên lạc với máy chủ trung tâm để có thông tin cần thiết kích hoạt, và sau đó nó bắt đầu mã hóa các tập tin trên máy tính bị nhiễm. Một khi tất cả các file được mã hóa, nó sẽ gửi một tin nhắn yêu cầu thanh toán để giải mã các tập tin - và đe dọa phá hủy dữ liệu nếu không được trả tiền, lời đe dọa thường đi kèm với một bộ đếm thời gian để tăng áp lực.
Ransomware lây nhiễm như thế nào?
Hầu hết các ransomware đều được ẩn trong tài liệu Word, các tệp PDF và các tệp tin thông thường khác, chúng được gửi qua email hoặc thông qua nhiễm độc thứ cấp trên các máy tính đã bị ảnh hưởng, cung cấp cửa sau để tiếp tục tấn công.
WanaCrypt0r 2.0 là gì?
Mã độc đang lây nhiễm trong hãng viễn thông Telefónica ở Tây Ban Nha và hàng chục ngàn máy tính trên thế giới là phần mềm tương tự: một ransomware lần đầu tiên bị các chuyên gia bảo mật MalwareHunterTeam phát hiện lúc 9:45 sáng ngày 12/5 (giờ Mỹ).
Chưa đầy 4 tiếng sau, ransomware đã lây nhiễm đến các máy tính của NHS và nhiều hệ thống máy tính trên thế giới. Hiện ransomware này đang được gọi là Wanna Decryptor 2.0, WCry 2, WannaCry 2 và Wanna Decryptor 2.
Hiểu đúng về mã độc tống tiền WanaCrypt0r 2.0?
WanaCrypt0r 2.0 (hay còn gọi là Wannacry) là một loại mã độc tống tiền (ransomware) mới được phát hiện và đang tiếp tục lây lan trên diện rộng trên toàn thế giới. Giống như các loại mã độc ransomware khác, khi lây nhiễm vào máy tính mã độc này sẽ mã hóa các dữ liệu quan trọng của người dùng (bao gồm các tệp tin văn bản, tệp tin hình ảnh, tệp tin video, media…) và đưa ra các thông báo đòi tiền nếu muốn lấy lại dữ liệu. Mã độc WanaCrypt0r yêu cầu người dùng phải trả một khoản tiền là 300$ qua một tài khoản bitcoin thì mới có thể nhận được bộ khóa để giải mã dữ liệu.
Cách thức hoạt động và phương thức lây lan, phát tán của mã độc?
Thông thường các loại mã độc ransomware thường được tin tặc phán tán chính thông qua các hình thức lừa đảo, giả mạo hoặc các thư rác để lừa người dùng tải và thực thi một tệp tin đã bị đính kèm mã độc. Ban đầu, wanaCrypt0r cũng sử dụng cách thức tương tự để lây lan tới các máy tính. Một số trường hợp thực tế cho thấy WanaCrypt0r 2.0 được phát tán thông qua một liên kết hoặc tệp tin đính kèm tới một tệp tin PDF chứa mã độc, nếu tệp tin được mở thì mã độc Wanna Cryptor sẽ được kích hoạt trên máy tính đó.
Điểm đặc biệt trong các hoạt động của WanaCrypt0r 2.0 là mã độc này lợi dụng một bộ công cụ khai thác mới do nhóm tin tặc Shadow Brokers mới công bố vào ngày 14/04/2017 có tên là EternalBlue để tiếp tục dò quét các máy tính (các dải địa chỉ IP) trong mạng nội bộ (LAN) và mạng các dải IP trên Internet để khai thác lỗ hổng MS17-010 sau đó chiếm quyền điều khiển của máy tính mục tiêu và tiếp tục lây lan mã độc lên các máy tính này. Do đó mã độc WanaCrypt0r có tốc độ lây lan rất nhanh trên toàn thế giới trong vài ngày qua.
EternalBlue là gì? Đây là một module khai thác nằm trong bộ công cụ khai thác do nhóm tin tặc Shadow Brokers đã công bố sau khi tấn công và đánh cắp dữ liệu của 1 nhóm tin tặc khác là: Equation Group (được cho là của NSA). Ngoài EternalBlue, trong bộ dữ liệu công khai của nhóm Shadow Brokers còn chứa khá nhiều module khai thác khác có ảnh hưởng tới các phiên bản của hệ điều hành Windows.
Hacker đòi bao nhiêu tiền chuộc?
WanaCrypt0r 2.0 đang đòi 300 USD tiền chuộc bằng bitcoin để mở khóa các nội dung trên máy tính.
Chúng là ai?
Những kẻ tạo ra mảnh ransomware này vẫn chưa được biết đến, nhưng WanaCrypt0r 2.0 là nỗ lực thứ hai của chúng để tống tiền. Một phiên bản trước đó, được đặt tên WeCry, đã được phát hiện hồi tháng 2 năm nay: nó đòi người dùng tiền chuộc 0.1 bitcoin (hiện tại có giá trị 177 USD) để mở các tập tin và chương trình.
NSA có liên quan thế nào đến vụ tấn công này?
Một khi người dùng vô tình cài đặt ransomware trên máy tính, nó sẽ cố gắng lây lan sang các máy tính khác trong cùng mạng lưới. Để thực hiện việc này, WanaCrypt0r sử dụng một lỗ hổng trong hệ điều hành Windows, lây lan giữa PC và PC. Lỗ hổng này lần đầu tiên bị tiết lộ là một phần trong các công cụ của NSA bị rò rỉ, và nó được một nhóm hacker vô danh "Shadow Brokers" công bố hồi vào tháng Tư.
Microsoft có hành động nào để bảo vệ người dùng không?
Có. Ngay trước khi Shadow Brokers công bố các tệp tin, Microsoft đã phát hành bản vá cho các phiên bản Windows bị ảnh hưởng, đảm bảo lỗ hổng không thể bị lợi dụng để lây lan phần mềm độc hại giữa các phiên bản đã cập nhật đầy đủ của hệ điều hành. Nhưng vì nhiều lý do, các tổ chức thường chậm cài đặt các bản cập nhật bảo mật trên quy mô rộng.
Shadow Brokers là ai? Có phải chúng đứng sau vụ tấn công này?
Có vẻ Shadow Brokers không trực tiếp tham gia cuộc tấn công, thay vào đó, một nhà phát triển cơ hội nào đó dường như đã phát hiện ra thông tin trong các tệp bị rò rỉ và cập nhật phần mềm của riêng họ. Bản thân Shadow Brokers là ai thì không ai thực sự biết, nhưng nhiều nghi vấn cho rằng đó là các thủ phạm người Nga
Có nên trả tiền chuộc để giải mã dữ liệu?
Đôi khi việc trả tiền chuộc sẽ được giải mã dữ liệu, nhưng đôi khi lại không. Đối với ransomware Cryptolocker một vài năm trước đây, một số người dùng báo cáo rằng họ thực sự đã lấy lại được dữ liệu sau khi trả tiền chuộc, thường khoảng 300 bảng Anh. Nhưng không có đảm bảo nào việc trả tiền sẽ giúp ích, bởi vì bọn tội phạm trực tuyến không phải là những người đáng tin cậy.
Ngoài ra, còn có vấn đề đạo đức: trả tiền chuộc sẽ tiếp sức cho các tội ác xảy ra.
Làm thế nào để phòng chống WanaCrypt0r 2.0 tấn công và lây lan?
1. Đối với người dùng máy tính thông thường
Trước tiên, người dùng nên hạn chế việc tải về và mở các tệp tin không rõ nguồn gốc từ Internet ví dụ như: Các tệp tin đính kèm gửi qua thư điện tử, các đường dẫn gửi qua các công cụ nhắn tin, các tệp tin chia sẻ trên mạng xã hội… một số tệp tin văn bản thường bị đính kèm mã độc là: tệp tin văn bản word/excel; tệp tin pdf, .exe.
Mã độc hoàn toàn có thể giả mạo thư điện tử của người khác (bạn bè, đối tác, đồng nghiệp…) để gửi thư điện tử đính kèm tệp tin hoặc đường dẫn lừa đảo, bạn cũng rất cần phải lưu ý khi nhận được các thư điện tử như vậy.
Nếu bạn đang sử dụng Windows XP, Windows 7, Windows 8 thì bạn cần cập nhật bản vá mới của hệ điều hành Windows cho máy tính của mình và giữ thói quen cập nhật máy tính ngay khi có thông báo từ Microsoft.
2. Đối với các bộ phận quản trị mạng?
Để hạn chế việc toàn cơ quan, hệ thống mạng của tổ chức bị nhiễm mã độc này bạn có thể thực hiện ngay các biện pháp phân chia vùng mạng lớn của tổ chức thành các vùng mạng nhỏ hơn tùy theo vị tri hoặc chức năng nhiệm vụ và cấu hình hạn chế truy cập từ các vùng này với nhau và nếu bạn đang sử dụng một thiết bị tưởng lửa hãy cấu hình chặn việc truy cập vào các cổng 445 và 137, 138, 139 giữa các máy trong các vùng mạng này nếu không có các nhu cầu về chia sẻ tài liệu thông qua giao thức SMB của hệ điều hành Windows.
Việc này sẽ hạn chế được việc lây lan mã độc trong trường hợp một số máy tính không thể cập nhật được bản vá lỗi.
3. Đối với các nhà quản trị hệ thống và các cơ quan, tổ chức đang sử dụng máy chủ Windows Server làm nền tảng cung cấp dịch vụ?
Đối với các máy chủ, bạn cần xem xét việc có thể cập nhật lên bản vá mới nhất được hay không? Vì một số trường hợp khi cập nhật bản vá hoặc nâng cấp lên bản mới các dịch vụ, phần mềm đang sử dụng sẽ phát sinh các lỗi ngoài mong muốn. Nếu có thể hãy cập nhật bản vá mới nhất cho phiên bản hệ điều hành mà bạn đang sử dụng hoặc cập nhật lên phiên bản mới nhất của hệ điều hành đó.
Trong trường hợp bạn không thể cập nhật bản vá hoặc nâng cấp lên phiên bản mới hãy thực hiện một số biện pháp sau để hạn chế việc bị tấn công bởi mã độc hoặc tin tặc từ bên ngoài.
- Tắt các dịch vụ SMB trên máy chủ;
- Bật tường lửa của Hệ điều hành để chặn lại các cổng của dịch vụ SMB là: 445 và 137, 138, 139. Nếu bạn đang sử dụng tường lửa riêng biệt chung cho cả hệ thống máy chủ của mình, bạn hãy cũng có thể cập nhật bộ luật để chặn các cổng này.
- Nếu bạn đang sử dụng các biện pháp phòng chống tấn công mạng (IPS, Firewall…) thì bạn nên kiểm tra và thực hiện cập nhật bộ luật mới nhất từ nhà cung cấp.
Thứ 2 tới đây các bạn cần đối đầu với nó, nêu 1 số trong các bạn không may bị Encrypt dữ liệu hãy liên hệ ngay với Tôi để được ứng cứu dữ liệu và ứng cứu máy tính.
Dịch vụ bảo mật của tôi là vì lợi ích con người, nhân quyền và dân quyền trên internet. hãy share bài viết này để chúng ta cùng nhau chống Ransomware "WanaCrypt0r 2.0"
Các bạn xem thêm các bài viết của các trang security nhé
ĐÃ ĐẾN VIỆT NAM
Danh cách các website, server việt nam bị nhiểm "WanaCrypt0r 2.0" cập nhật liên tục
[PHP]http://liendoanyogavietnam.vn/[/PHP]
[SPOILER="info"]
IP address 210.245.92.242
Host name
IP range 210.245.80.0-210.245.127.255 CIDR
ISP FPT-STATICIP
Organization FPT Telecom Company
Country Viet Nam (VN)
Region Ha Nội
City Hanoi
Time zone Asia/Ho_Chi_Minh, GMT+0700
Local time 14:34:42 (ICT) / 2017.05.14
[/SPOILER]
[CODE]http://210.245.92.242[/CODE]
Xem Live Analyst tại đây https://intel.malwaretech.com/pewpew.html