Xem nhanh
WannaCry chỉ mới phát tán từ ngày 12/5 nhưng đã nhanh chóng tạo ảnh hưởng nặng nề đến toàn bộ thế giới Internet, bài viết dưới đây sẽ tổng hợp những điều cần biết về virus này.
WannaCry là virus với mục đích lây lan vào hệ thống thông qua một lỗi bảo mật khá xưa cũ của Windows, tên chính xác là là WannaCrypt. Tác giả viết virus này đã chơi chữ, có nghĩa là người bị dính thì “chỉ có muốn Khóc”
Cách WannaCry lây lan trên diện rộng
WannaCry hiện có 2 cách lây lan chính:
1. Tác giả của ransomware này vẫn đang phát tán nó qua phương thức thông thường là nhúng vô các bản ‘crack’ của phần mềm rồi chia sẻ lên mạng, nhúng vô các website có nhiều người truy cập (website khiêu dâm, chia sẻ phần mềm lậu – không bản quyền). Mục đích là dụ người dùng tải về và kích hoạt, hoặc truy cập vào các trang web xấu thì dính. Về kỹ thuật, WannaCry đang phát tán qua các mạng lưới phát tán malware và các Exploit Kit.
2. WannaCry còn đặc biệt lây lan mạnh vì nó không chỉ phát tán theo cách truyền thống, mà còn lây lan qua mạng LAN do tận dụng các công cụ khai thác lỗi SMB mà NSA (Cơ quan an ninh quốc gia Hoa Kỳ) phát triển bí mật, nhưng sau đó đã bị nhóm ShadowBroker đánh cắp và tung ra public từ hơn tháng trước. Lúc Shadow Broker tung ra các công cụ này thì các chuyên gia bảo mật đã dự đoán trước cảnh khai thác hàng loạt như WannaCry đang làm.
Nếu một máy trong mạng LAN bị nhiễm WannaCry thì toàn bộ các máy trong mạng cũng có thể bị nhiễm nếu như không được vá lỗi trước đó.
Vì cách lây lan số 2 mà việc thực hiện các bước an toàn như tắt SMBv1 và cập nhật cho Windows bản vá lỗi mới nhất là không hoàn toàn an toàn. Nó chỉ ngăn việc con virus này nhảy từ máy khác cùng mạng LAN qua máy bạn.
WannaCry chỉ lây lan trên Windows và mạng máy tính Windows, hiện không có phiên bản biến thể nào hoạt động trên Mac và Linux.
Cách phòng chống WannaCry lây lan:
1. Update bản vá lỗi mới nhất cho Windows: Microsoft hiện đã cập nhật cho Windows nhằm vá lỗi bảo mật SMBv1 để tránh lây lan, bạn nên bật tính năng Windows Update để nhận bản cập nhật này. Tuy vậy Windows XP thì không thể tắt được SMB nên chỉ có thể cập nhật bản vá lỗi bảo mật.
Địa chỉ chính thức của Microsoft để bạn có thể tải bạn vá lỗi tại: https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/
Bạn kéo trang xuống phần Resources rồi bấm vào liên kết chứa nội dung phiên bản cập nhật bảo mật tương ứng với hệ điều hành đang xài để tải về.
2. Disable tính năng SMB: Vào Start > gõ Windows Features > xong bỏ dấu check chỗ SMB 1.0/CIFS File Sharing Support.
3. Cập nhật trình diệt virus: Hiện Windows Defender, McAfee, Symantec, ESET, Bitdefender … tức đều đã cập nhật mẫu ransomware WannaCry. Sau khi cập nhật AV bạn bật tính năng bảo vệ Realtime Protection để ngăn việc máy tính bị nhiễm.
4. Sao lưu dữ liệu là cách duy nhất chặn thiệt hại từ WannaCry và các ransomware. Bạn nên sao lưu (backup) thường xuyên. Với người dùng cá nhân thì nên dùng ổ cứng di động, sao chép các dữ liệu quan trọng ra 1 bản bỏ vô ổ cứng rồi cất đi. Không cắm thường xuyên vô máy, cần mới cắm vô backup hoặc lấy dữ liệu ra.
5. Sử dụng các dịch vụ Cloud Drive như Google Drive, OneDrive, DropBox để thường xuyên sync (đồng bộ) dữ liệu lên Mây (Cloud). Giá của các dịch vụ này rẻ, Google Drive free 15GB, và bán 100 GB có 45 ngàn VND 1 tháng, hoặc 250 ngàn cho 1000 GB (1TB). Hoặc mua Google Enterprise giá có 15 USD/tháng với không gian lưu trữ không giới hạn (Unlimited)
Lý do bạn nên xài dịch vụ Cloud Drive
Khi máy đã dính ransomware thì nó vẫn mã hóa tập tin trên máy và mấy cái tool sync của mấy dịch vụ này vẫn sync bản dữ liệu bị mã hóa lên máy chủ, nhưng các dịch vụ Cloud này có hỗ trợ tính năng File Versions. Tức là tập tin bạn sao lưu trên Cloud thì mấy dịch vụ này nó sẽ lưu cho bản 30 bản khác nhau của 30 ngày gần nhất của tập tin. Tức bạn có thể tải về bất kỳ phiên bản cũ nào của tập tin đã bị ransomware mã hoá.
Cách xử lý khi bị nhiễm Ransomware WannaCry:
1. Bạn cần ngay lập tức ngắt các máy tính bị nhiễm khỏi mạng LAN tránh để nó lây lan qua các máy khác.
2. Trả tiền cho thằng tác giả WannaCry để nhận mật mã giải mã tập tin là quyết định của bạn. Hiện chưa có báo cáo nào về việc hacker có đưa mã giải mã hay không, theo thông tin thì hiện chỉ mới có 160 giao dịch trị giá khoảng 300.000USD được gửi tới cái địa chỉ BitCoin mà hacker nàycung cấp. Chính thức thì WannaCry đòi 2 BitCoin tức tương đương 80 triệu đồng, một con số khá chua chát.
3. Hiện có thông tin WannaCry có lỗi trong cách thức mã hóa dữ liệu, nên các chuyên gia bảo mật đang thử tìm cách khai thác và viết công cụ giải mã. Nếu dữ liệu quá quan trọng thì có thể cất ổ cứng đi chờ công cụ được cung cấp.
4. Nếu không có gì để mất thì bạn có thể format toàn bộ ổ cứng và cài lại Windows, rất có thể ransomware này cài cắm ở nhiều vị trí nên cần nhất là phải format toàn bộ ổ cứng.
Video demo 2 máy tính bị nhiễm WannaCry, bên trái là máy bị nhiễm đầu tiên, bên phải là máy sạch trong cùng mạng LAN cũng bị lây ngay sau đó