CMC Infosec cảnh báo khẩn về mã độc tống t.iền WannaCry đã tấn công Việt Nam
CMC Infosec đã lên tiếng cảnh báo một cuộc tấn công mạng quy mô lớn với khoảng 75.000 máy tính bị lây nhiễm trên toàn thế giới, trong đó có cả Việt Nam đã diễn ra ngày 12/5 bởi một mã độc được biết tới là WannaCry.
Mã độc WannaCry tìm ra lỗ hổng bảo mật và lây nhiễm chúng bên trong tổ chức bằng cách khai thác lõ hổng được công bố bởi công cụ NSA đã bị đ.ánh cắp bởi một nhóm các hacker có tên là The Shadow Brokers. Chủ yếu khai thác vào lỗ hổng của giao thức SMB mà các tổ chức cá nhân chưa vá lỗ hổng kịp thời, tập trung vào Win2k8 R2 và Win XP là kiểu tấn công này khác với truyền thống là phải dùng sâu máy tính – chương trình tự nhân bản chính nó vào hệ thống máy tính và lừa người dùng click chuột và link độc hại.
Ảnh công cụ NSA đã bị công bố
Khai thác lỗ hổng EthernalBlue – Ảnh: ExtremeTech
Các nguồn tin cho biết, vụ tấn công mạng diễn ra trên quy mô toàn cầu, ảnh hưởng tới khoảng 90 quốc gia, trong đó có Anh, Mỹ, Trung Quốc, Nga, Tây Ban Nha, Italy và vùng lãnh thổ Đài Loan, Việt Nam và nhiều quốc gia khác. Theo ghi nhận của các chuyên gia của Intel hiện tại ghi nhận lỗ hổng ở hai thành phố Hà Nội và Hồ Chí Minh, lỗ hổng có thể lan rộng trên toàn quốc.
Hình ảnh được lấy từ malwaretech cho thấy đã có xuất hiện ở Việt Nam
Việt Nam nằm trong Top 20 quốc gia bị lây nhiễm bởi WannaCry
Các hình ảnh được tải lên mạng xã hội cho thấy màn hình máy tính của Dịch vụ Y tế Quốc gia Anh (NHS) xuất hiện tin nhắn trả 300 USD t.iền Bitcoin với tuyên bố: “Ồ, dữ liệu của bạn đã bị mã hóa”. Thông điệp yêu cầu đòi thanh toán t.iền trong 3 ngày, nếu không giá sẽ tăng lên gấp đôi, và nếu t.iền không được thanh toán trong 7 ngày, các dữ liệu sẽ bị xóa.
Theo nhận định của chuyên gia CMC InfoSec, mã độc chủ yếu khai thác lỗ hổng phiên bản máy chủ Windows 2008 R2, phiên bản mà đa số các doanh nghiệp và cơ quan nhà nước Việt Nam vẫn đang sử dụng và Windows XP vẫn còn tồn tại cũng không ngoại lệ. Bên cạnh đó lỗ hổng khai thác chủ yếu qua giao thức SMB, giao thức chia sẻ tập tin và máy in được sử dụng nhiều tại các tổ chức cá nhân trên toàn thế giới, từ đó dẫn đến nguy cơ lan rộng rất cao.
Hơn nữa, lỗ hổng xuất hiện gần đây, nhiều tổ chức cá nhân chưa kịp nắm bắt thông tin kịp thời để vá hổng từ đó dẫn đến nguy cơ rất cao trong việc lây nhiểm mã độc cũng như Ransomware trên diện rộng.
CMC INFOSEC đang tiến hành phân tích sâu hơn về hành vi của ransomware này và sẽ tiếp tục cập nhật lien tục về WannaCry.
Video đang HOT
Chuyên gia CMC InfoSec gửi khuyến nghị đến các tổ chức, doanh nghiệp, khách hàng cá nhân nên:
- Ngay lập tức vá các lỗ hổng bảo mật máy chủ Windows, chủ yếu lỗ hổng EternalBlue(MS17-010).
- Thường xuyên sao lưu dữ liệu và có các phương án backup dữ liệu của doanh nghiệp
- Đề phòng các link lạ. Đối với các doanh nghiệp tốt nhất nên có một máy riêng để nhân viên remote khi họ nghi ngờ mail không an toàn.
- Đối với người dùng cá nhân luôn cài phần mềm chống virus trên di động và máy tính, đặc biệt là các phần mềm chuyên biệt dành cho mã độc mã hóa dữ liệu.
(Theo ICT News)
Việt Nam đứng trong tốp 20 nước bị mã độc tống t.iền WannaCry tấn công, cảnh giác bằng cách nào?
Hôm qua, Kaspersky Lab đã phát hiện và ngăn chặn thành công một số lượng lớn các cuộc tấn công Ransomware (tấn công đòi t.iền chuộc) trên toàn thế giới, trong đó có Việt Nam.
Trao đổi với Phóng viên Báo Tin Tức, đại diện Kaspersky cho biết, trước khi các thông tin gây chấn động về mã độc này được báo chí đề cập thì các sản phẩm của Kaspersky Lab đã phát hiện và ngăn chặn thành công một số lượng lớn các cuộc tấn công ransomware trên khắp thế giới. Trong các cuộc tấn công này, dữ liệu được mã hóa với phần mở rộng ".WCRY" được thêm vào tên tập tin.
Việt Nam đứng trong tốp 20 nước bị mã độc tống t.iền WannaCry tấn công, cảnh giác bằng cách nào?
Hiện tại, Kaspersky Lab đã ghi nhận hơn 45.000 cuộc tấn công của công cụ ransomware WannaCry tại 74 quốc gia trên thế giới, chủ yếu ở Nga. Việt Nam nằmtrong top 20 các quốc gia bị tấn công nhiều nhất cùng với các nước khác, như Nga Ukraine, Ấn Độ, Đài Loan, Tajkistan, Kazakhstan, Luxembour, Trung Quốc, Romania...
Các giải pháp bảo mật của Kaspersky Lab đã phát hiện được các mã độc tống t.iền liên quan đến WannaCry, bảo vệ người dùng cá nhân và doanh nghiệp an toàn trước sự bùng phát nguy hiểm.
Tên các phát hiện của Kaspersky Lab liên quan đến WannaCry:
Trojan-Ransom.Win32.Gen.djd
Trojan-Ransom.Win32.Scatter.tr
Trojan-Ransom.Win32.Wanna.b
Trojan-Ransom.Win32.Wanna.c
Trojan-Ransom.Win32.Wanna.d
Trojan-Ransom.Win32.Wanna.f
Trojan-Ransom.Win32.Zapchast.i
PDM: Trojan.Win32.Generic
Cách thức tấn công
Phân tích của Kaspersky cho thấy cuộc tấn công, được gọi là "WannaCry", bắt đầu thông qua việc triển khai mã từ xa SMBv2 trong Microsoft Windows. Khai thác này (có tên mã là "EternalBlue") đã được làm sẵn trên internet thông qua Shadowbrokers dump vào ngày 14/4/2017 và được vá bởi Microsoft vào ngày 14/3. Thật không may, có vẻ như nhiều tổ chức và người dùng chưa cài đặt bản vá này.
Điều đáng lo ngại là không những các máy tính Windows chưa được vá đang phơi bày các dịch vụ SMB của họ có thể bị tấn công từ xa bằng khai thác "EternalBlue" và bị lây nhiễm bởi WannaCry, mà kể cả các máy tính không tồn tại lỗ hổng vẫn có khả năng bị hạ gục dễ dàng. Tuy nhiên, lỗ hổng này được xem là yếu tố chính gây ra sự bùng nổ của WannaCry.
Lưu ý rằng "số t.iền cần thanh toán sẽ được tăng lên" sau một lần đếm ngược cụ thể, cùng với màn hình hiển thị khác làm tăng mức độ khẩn cấp để trả t.iền, đe dọa rằng người dùng sẽ hoàn toàn mất tập tin của họ sau khoảng thời gian đã thông báo. Không phải tất cả ransomware đều cung cấp bộ đếm thời gian này như WannaCry.
Để đảm bảo rằng người dùng không bỏ lỡ cảnh báo, công cụ sẽ thay đổi hình nền của người dùng bằng các hướng dẫn về cách tìm bộ giải mã.
Để sử dụng cách thanh toán bằng bitcoin, phần mềm độc hại hướng tới một trang có mã QR ở btcfrog, liên kết với một ví bitcoin chính 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94. Siêu dữ liệu hình ảnh không cung cấp bất kỳ thông tin bổ sung nào
Các phần mở rộng mà mã độc nhắm tới để mã hóa gồm các nhóm định dạng sau:
Các phần mở rộng tập tin văn phòng thông thường được sử dụng (.ppt, .doc, .docx, .xlsx, .sxi).
Các định dạng văn phòng ít phổ biến và đặc thù của quốc gia (.sxw, .odt, .hwp).
Lưu trữ, tập tin phương tiện (.zip, .rar, .tar, .bz2, .mp4, .mkv) Email và cơ sở dữ liệu email (.eml, .msg, .ost, .pst, .edb).
Các tập tin cơ sở dữ liệu (.sql, .accdb, .mdb, .dbf, .odb, .myd).
Mã nguồn và tập tin dự án của nhà phát triển (.php, .java, .cpp, .pas, .asm)
Khóa và chứng chỉ mã hóa (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
Các tác giả thiết kế đồ họa, tác giả và nhiếp ảnh gia (.vsd, .odg, .raw, .nf, .svg, .psd).
Tập tin máy ảo (.vmx, .vmdk, .vdi).
Những người thiết kế WannaCry đã chuẩn bị sẵn phần "Hỏi - Đáp" bằng các ngôn ngữ khác nhau, bao gồm tiếng Việt, Tiếng Trung Quốc, Đan Mạch, Hà Lan, Tiếng Anh, Philippin, Tiếng Pháp, Tiếng Nhật v.v.
Những "Hỏi - Đáp" này dạng như: Tôi có thể phục hồi các tập tin của mình không? Tôi trả t.iền như thế nào? Làm sao để liên hệ?...
Thành phần Kaspersky System Watcher (Giám sát hệ thống) có trong giải pháp Kaspersky Internet Security cho người dùng cá nhân và Kaspersky Security for Business là lá chắn then chốt để bảo vệ dữ liệu của người dùng trước sự tấn công của WannaCry hay bất kỳ phần mềm tống t.iền nào.
Thành phần System Watcher có khả năng phục hồi lại trạng thái ban đầu những thay đổi được thực hiện bởi phần mềm tống t.iền trong trường hợp một mẫu độc hại đã vượt qua các lớp phòng thủ khác.
Khuyến nghị phòng chống WannaCry:
Đảm bảo rằng tất cả các máy tính đã được cài đặt phần mềm bảo mật và đã bật các thành phần chống phần mềm tống t.iền.
Cài đặt bản vá chính thức (MS17-010) từ Microsoft nhằm vá lỗ hổng SMB Server bị khai thác trong cuộc tấn công này.
Đảm bảo rằng các sản phẩm của Kaspersky Lab đã bật thành phần System Watcher (Enable)
Thực hiện Quét tất cả các hệ thống (Scan system). Sau khi phát hiện tấn công phần mềm độc hại như tên gọi MEM: Trojan.Win64.EquationDrug.gen, khởi động lại hệ thống. Một lần nữa, hãy chắc chắn bản vá MS17-010 được cài đặt.
Các chuyên gia của Kaspersky Lab hiện đang tiếp tục làm việc về khả năng tạo ra một công cụ giải mã để giúp đỡ các n.ạn n.hân. Kaspersky Lab sẽ cập nhật khi công cụ này sẵn sàng. Hoặc cộng đồng có thể theo dõi tại trang www.nomoreransom.org để tìm kiếm công cụ giải mã phù hợp.
(Theo Tin Tức)
Cảnh giác mã độc tống t.iền ẩn trong tập tin hình ảnh lây lan qua Facebook Các chuyên gia an ninh mạng cảnh báo, nếu nhìn thấy một tập tin hình ảnh hoặc đồ họa trên máy tính mà bạn chưa từng tải về, tuyệt đối không mở ra vì có thể nó chứa mã độc, theo Digitaltrends. Hãy cẩn thận với những tập tin hình ảnh &'không mời mà đến. ẢNH: AFP Hãng bảo mật Check Point (Israel)...