PACISOFT Vietnam muốn gởi thông điệp tới Quý khách hàng về loại Malware mới nguy hiểm tên là WannaCrytor. Nó đang hoạt động và khả năng khai thác lỗ hỏng hệ điều hành Window rất mạnh, đồng thời mức độ lay lan rất nhanh.
Chúng đã tiến triển rất nhanh chóng! Đối với những người không đọc bất kỳ tin tức nào vào ngày thứ Sáu vừa qua (12/5), bạn cần phải biết rằng một đợt tấn công lớn của phần mềm độc hại trong lĩnh vực bảo mật thông tin đang diễn ra. Thủ phạm là ai? Một họ hàng nhà ransomware, được ESET gọi là WannaCryptor dưới tên gọi khác Wanna Cry và Wcrypt, đã lây lan nhanh chóng và nó sử dụng các tập tin NSA bị rò rỉ, cụ thể là khai thác SMB eternalblue.
Không giống như hầu hết các phần mềm độc hại mã hoá khác, chương trình này có khả năng giống wormlike, cho phép nó tự lây lan. Kết quả là, nó đã lây lan rất nhanh chóng. Đây là những gì nạn nhân gặp phải trên phiên bản tiếng Anh:
Cho đến 15/5/2017, “Cơn bão” mã độc tống tiền WannaCry tiếp tục lan rộng và theo thống kê của BBC, số máy tính bị ảnh hưởng đã lên đến 200 nghìn máy, tại 150 quốc gia. Rất nhiều trong số đó là các doanh nghiệp, tập đoàn lớn. “Quy mô của cuộc tấn công lớn chưa từng có”, BBC nói.
WannaCry ransomware là gì?
Nói chung, WannaCry có hai phần. Trước hết, đó là một exploit (khai thác dạng ẩn) mà mục đích là lây nhiễm và phát tán. Và phần thứ hai là một bộ mã hóa được tải xuống máy tính sau khi thiết bị đó bị nhiễm ransomware này.
Đây là sự khác biệt chính giữa WannaCry và phần lớn các bộ mã hóa khác. Trước đây, các bộ mã hóa phổ biến để có thể lây nhiễm vào một máy tính, người dùng phải mắc lỗi như nhấp vào liên kết đáng ngờ, cho phép Word chạy macro độc hại hoặc tải xuống một tệp đính kèm đáng ngờ từ email. Một hệ thống có thể bị nhiễm WannaCry thì sẽ không thể làm gì được.
Chúng sẽ làm gì?
WannaCry mã hóa các tập tin dữ liệu và yêu cầu người dùng phải trả một khoản tiền chuộc là 300 đô la Mỹ bằng bitcoins. Bảng thông báo ghi rõ số tiền thanh toán sẽ được tăng gấp đôi sau 3 ngày. Nếu thanh toán không được thực hiện sau 7 ngày, các tệp được mã hóa sẽ bị xóa.
Cách phòng chống và đối phó WannaCry
Việc giải mã hiện không có công cụ để thực hiện vào thời điểm này nhưng Symantec và nhiều hãng khác đang đang nghiên cứu. Symantec khuyên bạn không nên trả tiền chuộc. Các tệp được mã hóa sẽ được khôi phục từ các bản sao lưu nếu có thể. Phương pháp duy nhất để chống lại nhiễm độc là không bị lây nhiễm ngay từ đầu.
Symantec đưa ra các khuyến nghị dành cho người dùng và kỹ thuật viên như sau
– Sử dụng tường lửa để chặn tất cả các kết nối từ Internet đến các dịch vụ không được công khai. Theo mặc định, bạn nên từ chối tất cả các kết nối đến và chỉ cho phép dịch vụ bạn muốn cung cấp một cách rõ ràng ra bên ngoài.
– Tiến hành đặt mật khẩu. Mật khẩu phức tạp làm cho ransomware khó khăn để giải mã các mật khẩu của file trên các máy tính bị xâm nhập. Điều này giúp ngăn ngừa hoặc hạn chế thiệt hại khi máy tính bị xâm nhập.
– Đảm bảo rằng các chương trình và người dùng của máy tính sử dụng mức ưu tiên thấp nhất cần thiết để hoàn thành một tác vụ. Khi được nhắc mật khẩu gốc hoặc mật khẩu UAC, hãy đảm bảo rằng chương trình yêu cầu quyền truy cập cấp quản trị là một ứng dụng hợp pháp.
– Vô hiệu hoá AutoPlay để ngăn chặn việc tự động khởi chạy các tập tin thực thi trên mạng và ổ đĩa rời, và ngắt kết nối các ổ đĩa khi không yêu cầu. Nếu không yêu cầu quyền truy cập ghi, hãy bật chế độ chỉ đọc nếu tùy chọn có sẵn.
– Tắt chia sẻ tập tin nếu không cần thiết. Nếu yêu cầu chia sẻ tệp, hãy sử dụng ACL và mật khẩu bảo vệ để hạn chế quyền truy cập. Vô hiệu hóa truy cập nặc danh đến các thư mục chia sẻ. Các thư mục được chia sẻ chỉ cho phép các tài khoản có mật khẩu mạnh được truy cập.
– Tắt và gỡ bỏ các dịch vụ (services) Windows không cần thiết. Theo mặc định, nhiều hệ điều hành cài đặt các dịch vụ phụ không quan trọng. Những dịch vụ này có thể đóng vai trò là những con đường dẫn đến tấn công. Nếu chúng được loại bỏ, vô hiệu hóa thì mối nguy hại sẽ bị hạn chế.
– Nếu một mối đe dọa khai thác một hoặc nhiều dịch vụ mạng (network services), hãy vô hiệu hóa, hoặc chặn truy cập các dịch vụ đó cho đến khi một bản vá được phát hành.
– Luôn cập nhật các bản vá lỗi của hệ điều hành, đặc biệt là trên các máy tính lưu trữ các dịch vụ công và có thể truy cập qua tường lửa, chẳng hạn như các dịch vụ HTTP, FTP, mail và DNS.
– Cấu hình máy chủ email (mail servers) của bạn để chặn hoặc xóa email có chứa tệp đính kèm thường được sử dụng để phát tán các mối đe dọa, chẳng hạn như tệp .vbs, .bat, .exe, .pif và .scr.
– Cô lập các máy tính đã bị xâm nhập một cách nhanh chóng để ngăn chặn các mối đe dọa lây lan rộng hơn.
– Thực hiện phân tích máy tính và khôi phục các dữ liệu bởi các ứng dụng đáng tin cậy.
– Hướng dẫn nhân viên không mở tài liệu đính kèm lạ hoặc không cần thiết. Ngoài ra, không tải phần mềm từ Internet trừ khi nó đã được quét virus. Đơn giản ví dụ như thế này: chỉ cần truy cập vào một trang web bị cài mã độc có thể gây nhiễm độc nếu trình duyệt không được vá.
– Nếu không dùng Bluetooth cho thiết bị di động, cần tắt tính năng này đi. Nếu bạn cần sử dụng nó, đảm bảo rằng khả năng hiển thị của thiết bị được đặt là “Ẩn” để nó không thể được quét bởi các thiết bị Bluetooth khác. Nếu đồng bộ thiết bị (pairing), đảm bảo rằng tất cả thiết bị được đặt “Không được phép” (Unauthorized), yêu cầu ủy quyền cho mỗi yêu cầu kết nối. Không nhận các ứng dụng không phải bạn yêu cầu hoặc được gửi từ các nguồn không xác định.
– Sao lưu & cập nhật các bản vá lỗi Windows
Nguồn: PACISOFT.com