WannaCry là gì? Có Ăn Được Không?
WannaCry là một loại virus (mình xin được gọi vậy cho bạn dễ hiểu và hình dung hơn) mà một khi máy vi tính của bạn chẳng may bị nhiễm thì nó sẽ mã hóa toàn bộ các file, dữ liệu có trên máy của bạn và nó thực hiện tống tiền nên nó được gọi là Ransomware (mã độc tống tiền). Loại này có tên khoa học là WannaCrypt. Cái tên này thực chất là tên của tác giả hay gọi là thằng đi nó đặt trong mã nguồn Code. Khi bạn bị dính mã độc thì còn nước khóc ra miếng thôi vì hiện tại các chuyên gia bảo mật đang đau đầu để tháo gỡ trừ khi bạn nộp tiền cho nó để giải mã. Mà chắc gì nó đã giải mã cho 🙂
| Cách lây lan mã độc Ransomware WannaCry
Thứ 1: loại này LAN truyền cực kỳ nhanh chóng. Tác giả con virus này phát tán nó qua phương thức thông thường đó là nhúng vào các phần mền độc hại, các trang web có nhiều người truy cập (chẳng hạn như trang Sếch XYZ ,…). Hay bạn chẳng may tải về hoặc truy cập các trang linh không rõ nguồn ngốc thì khả năng dính trưởng khá là cao.
(Về kỹ thuật thì nó vẫn đang phát tán malware qua các mạng lưới phát tán malware và các exploitkit.)
Thức 2: WannaCry lây lan mạnh vì nó không chỉ phát tán theo cách thông thường như trên mà nó còn lây lan qua mạng LAN do tận dụng các công cụ khai thác lỗi SMB mà NSA (Cơ quan an ninh quốc gia Hoa Kỳ) phát triển bí mật, nhưng không may thay bị nhóm ShadowBroker đánh cắp và tung ra công khai từ tháng trước. Lúc bọn Shadow Broker tung ra các công cụ này thì đám chuyên gia bảo mật đã kháo nhau là thế méo nào cũng sẽ có cảnh khai thác hàng loạt như con Wanna Cry đang làm.
Để bạn dễ hiểu hơn mình lấy một ví dụ đơn giản như sau: Nếu một máy trong mạng LAN bị nhiễm WannaCry thì toàn bộ các máy trong mạng LAN cũng có thể bị chung nếu như không được vá lỗi trước đó. Ví dụ như này: Có một cô bé đồng nghiệp xinh đẹp vãi mà éo biết mie gì xách laptop Windows ra cafe ngồi tải cái mie gì đó để dính, xong mang máy về công ty kêu IT sửa, IT ngu ngơ cắm máy vô mạng mở lên. Bùm xong mie công ty 🙂
Vì cách lây lan như trên mà việc thực hiện các bước an toàn như tắt SMBv1 và cập nhật cho Windows bản vá lỗi mới nhất KHÔNG HOÀN TOÀN AN TOÀN . Nó chỉ ngăn việc con virus này nhảy từ máy khác cùng mạng LAN qua máy bạn. Không ngăn việc bạn xui xẻo tải trúng nó từ internet.
Con này chỉ lây lan trên Windows và mạng máy tính Windows, hiện không có phiên bản biến thể nào hoạt động trên Mac và Linux :v nói thế cho đỡ đồn linh cmn tinh.
| Cách phòng chống mã độc Ransomware WannaCry
Cách thứ 1: Update bản vá lỗi mới nhất cho Windows. Mấy thằng ngu chỉ người ta tắt Windows Update thì giờ im mie mồm đi. Xài Windows éo update như kiểu ngủ trên đống mìn khi nào nổ éo biết.
Cách thứ 2: Disable tính năng SMB bằng cách vô Start, search Windows Features, xong bỏ dấu check chỗ SMB … đi là được.
Cách thứ 3: Cập nhật các phần mền Antivirus. Hiện tại thì Windows Defender, McAfee, Symantec, ESET, Bitdefender … tức là các hãng nổi tiếng thì đều đã cập nhật WannaCry rồi. Sau khi cập nhật AV thì bạn hãy nhớ bật tính năng bảo vệ Realtime Protection (hoặc có cái tên nào giống giống như vậy). Tại sao phải làm như vậy? Đơn giản thôi để ngăn việc máy tính bị lây nhiễm 🙂
Cách thứ 4: BACKUP DỮ LIỆU QUAN TRỌNG LÀ CÁCH DUY NHẤT CHỐNG RANSOMWARE.
Nhớ backup dữ liệu thường xuyên. Nếu là cá nhân thì nên mua 1 cái ổ cứng di động (Nó là ổ cứng trên máy tính bạn ý nhưng thay vì gắn vào vi tính thì nó để rời và có 1 cái Box ổ cứng để truyền dữ liệu qua lại ổ cứng rời <=> máy tính)(giờ giá thì cũng rẻ bèo, 1TB có 1 triệu rưởi chứ mấy), copy dữ liệu quan trọng ra 1 bản bỏ vô ổ cứng rồi cất đi. Không cắm thường xuyên vô máy, cần mới cắm vô backup hoặc lấy dữ liệu ra. Như vậy cho nó an toàn.
Cách thứ 5: Nên dùng các dịch vụ lưu trữ nào đó Cloud Drive như DropBox, Google Drive, OneDrive, để thường xuyên sync (đồng bộ) dữ liệu lên đám Mây (Cloud). Giá của các dịch vụ này cũng khá là rẻ, Google Drive miễn phí 15GB, và bán 100 GB có 45 ngàn VND 1 tháng, hoặc 250 ngàn cho 1000 GB (1TB). Hoặc mua luôn Google Enterprise giá có 15$/tháng nhưng Unlimited nghĩa là không giới hạn 🙂
Tại sao nên xài dịch vụ Cloud Drive ?
Lỡ dính ransomware thì nó vẫn mã hóa file trên máy và mấy cái tool đồng bộ của mấy dịch vụ này vẫn sync bản dữ liệu bị mã hóa lên máy chủ, NHƯNG bọn Cloud này có hỗ trợ tính năng File Versions (Phiên bản). Có nghĩa là 1 file bạn backup trên đám mây thì mấy dịch vụ này nó sẽ lưu cho bản thành 30 bản khác nhau của 30 ngày gần nhất của cái file. Tức là bạn có thể tải về bất kỳ phiên bản cũ nào của cái file đã bị ransomware nó ăn 🙂
| Cách xử lý khắc phục khi bị nhiễm Ransomware WannaCry
Phương pháp 1: Bạn hãy nhanh tay ngắt ngay lập tức các máy tính bị nhiễm khỏi mạng LAN, tránh để nó lây lan qua các máy khác. Nếu không làm thế hậu quả khôn lường.
Phương pháp 2: Trả tiền cho thằng tác giả WannaCry để nó đưa mật mã giải mã file là quyết định của bạn. Hiện chưa có báo cáo nào về việc chúng nó có đưa mã giải mã hay không? Theo thông tin mình được biết thì hiện tại chỉ mới có 160 giao dịch trị giá khoảng 300.000$ được gửi tới cái địa chỉ BitCoin mà thằng tác giả nó cung cấp. Nó đòi 2 BitCoin tức tương đương 80 triệu VND đồng đó. Số tiền không rẻ phải không?
Phương pháp 3: Hiện có thông tin là con WannaCry có lỗi trong cách thức nó mã hóa dữ liệu, nên các chuyên gia bảo mật đang thử tìm cách khai thác và viết công cụ giải mã. Nên nếu dữ liệu quá quan trọng thì có thể cất ổ cứng đi chờ công cụ được cung cấp. Con này nó ảnh hướng quá nên giới chuyên gia sẽ để tâm và công sức làm tool giải mã.
Phương pháp 4: Còn không có gì để mất thì format toàn bộ ổ cứng và cài lại win :v thì sẽ sạch, nhớ là chỉ FORTMAT TOÀN BỘ Ổ CỨNG thì mới sạch chứ chỉ format ổ C rồi cài lại thì méo sạch đâu 🙂
Đó đơn giản dễ hiểu vậy thôi. BACKUP NGAY ĐI TRƯỚC KHI BỊ DÍNH RANSOMWARE !!! đừng có mất bò mới lo làm chuồng thì lúc đó đã muộn rồi.
Nhớ bấm SHARE bài này đi để mọi người đỡ đồn đoán rồi lo lắng linh tinh. Có tin đồn là WannaCry đã ra tới phiên bản 4.0. Dm thằng tác giả con này moá nó update nhanh như choá.
Dưới đây mình xin đưa ra một số địa chỉ IP máy chủ điều khiển mã độc phát tán WannaCry
Và danh sách các máy chủ điều khiển mã độc (C&C Server).
Các bạn nên lưu ý để phòng ngừa!
Tổng Kết
Mấy bạn thích kỹ thuật thì có thể đọc bài này, phân tích kỹ thuật chuyên sâu về con WannaCry. Vụ này ngay từ hôm đầu nó lây lan thì trong group HVA Online đã bàn về con này chuyên sâu về mặt kỹ thuật rồi.
Ransomware là vấn nạn 3 năm nay rồi, giờ mới có con nó lan nhanh quá nên chúng dân mới để ý chứ trước giờ nạn nhân của ransomware nhiều không kể xiết rồi. Hàng tỉ tỉ đô mất đi vì bọn ransomware này rồi 🙁
