CMC Infosec cảnh báo khẩn về mã độc tống tiền WannaCry đã tấn công Việt Nam

Việt Nam đứng trong tốp 20 nước bị mã độc tống tiền WannaCry tấn công, cảnh giác bằng cách nào?

Hôm qua, Kaspersky Lab đã phát hiện và ngăn chặn thành công một số lượng lớn các cuộc tấn công Ransomware (tấn công đòi tiền chuộc) trên toàn thế giới, trong đó có Việt Nam.

Trao đổi với Phóng viên Báo Tin Tức, đại diện Kaspersky cho biết, trước khi các thông tin gây chấn động về mã độc này được báo chí đề cập thì các sản phẩm của Kaspersky Lab đã phát hiện và ngăn chặn thành công một số lượng lớn các cuộc tấn công ransomware trên khắp thế giới. Trong các cuộc tấn công này, dữ liệu được mã hóa với phần mở rộng ".WCRY" được thêm vào tên tập tin.

Việt Nam đứng trong tốp 20 nước bị mã độc tống tiền WannaCry tấn công, cảnh giác bằng cách nào?

Hiện tại, Kaspersky Lab đã ghi nhận hơn 45.000 cuộc tấn công của công cụ ransomware WannaCry tại 74 quốc gia trên thế giới, chủ yếu ở Nga. Việt Nam nằmtrong top 20 các quốc gia bị tấn công nhiều nhất cùng với các nước khác, như Nga Ukraine, Ấn Độ, Đài Loan, Tajkistan, Kazakhstan, Luxembour, Trung Quốc, Romania...

Các giải pháp bảo mật của Kaspersky Lab đã phát hiện được các mã độc tống tiền liên quan đến WannaCry, bảo vệ người dùng cá nhân và doanh nghiệp an toàn trước sự bùng phát nguy hiểm.

Tên các phát hiện của Kaspersky Lab liên quan đến WannaCry:

Trojan-Ransom.Win32.Gen.djd

Trojan-Ransom.Win32.Scatter.tr

Trojan-Ransom.Win32.Wanna.b

Trojan-Ransom.Win32.Wanna.c

Trojan-Ransom.Win32.Wanna.d

Trojan-Ransom.Win32.Wanna.f

Trojan-Ransom.Win32.Zapchast.i

PDM: Trojan.Win32.Generic

Cách thức tấn công

Phân tích của Kaspersky cho thấy cuộc tấn công, được gọi là "WannaCry", bắt đầu thông qua việc triển khai mã từ xa SMBv2 trong Microsoft Windows. Khai thác này (có tên mã là "EternalBlue") đã được làm sẵn trên internet thông qua Shadowbrokers dump vào ngày 14/4/2017 và được vá bởi Microsoft vào ngày 14/3. Thật không may, có vẻ như nhiều tổ chức và người dùng chưa cài đặt bản vá này.

Điều đáng lo ngại là không những các máy tính Windows chưa được vá đang phơi bày các dịch vụ SMB của họ có thể bị tấn công từ xa bằng khai thác "EternalBlue" và bị lây nhiễm bởi WannaCry, mà kể cả các máy tính không tồn tại lỗ hổng vẫn có khả năng bị hạ gục dễ dàng. Tuy nhiên, lỗ hổng này được xem là yếu tố chính gây ra sự bùng nổ của WannaCry.

Lưu ý rằng "số tiền cần thanh toán sẽ được tăng lên" sau một lần đếm ngược cụ thể, cùng với màn hình hiển thị khác làm tăng mức độ khẩn cấp để trả tiền, đe dọa rằng người dùng sẽ hoàn toàn mất tập tin của họ sau khoảng thời gian đã thông báo. Không phải tất cả ransomware đều cung cấp bộ đếm thời gian này như WannaCry.

Để đảm bảo rằng người dùng không bỏ lỡ cảnh báo, công cụ sẽ thay đổi hình nền của người dùng bằng các hướng dẫn về cách tìm bộ giải mã.

Để sử dụng cách thanh toán bằng bitcoin, phần mềm độc hại hướng tới một trang có mã QR ở btcfrog, liên kết với một ví bitcoin chính 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94. Siêu dữ liệu hình ảnh không cung cấp bất kỳ thông tin bổ sung nào

Các phần mở rộng mà mã độc nhắm tới để mã hóa gồm các nhóm định dạng sau:

Các phần mở rộng tập tin văn phòng thông thường được sử dụng (.ppt, .doc, .docx, .xlsx, .sxi).

Các định dạng văn phòng ít phổ biến và đặc thù của quốc gia (.sxw, .odt, .hwp).

Lưu trữ, tập tin phương tiện (.zip, .rar, .tar, .bz2, .mp4, .mkv) Email và cơ sở dữ liệu email (.eml, .msg, .ost, .pst, .edb).

Các tập tin cơ sở dữ liệu (.sql, .accdb, .mdb, .dbf, .odb, .myd).

Mã nguồn và tập tin dự án của nhà phát triển (.php, .java, .cpp, .pas, .asm)

Khóa và chứng chỉ mã hóa (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).

Các tác giả thiết kế đồ họa, tác giả và nhiếp ảnh gia (.vsd, .odg, .raw, .nf, .svg, .psd).

Tập tin máy ảo (.vmx, .vmdk, .vdi).

Những người thiết kế WannaCry đã chuẩn bị sẵn phần "Hỏi - Đáp" bằng các ngôn ngữ khác nhau, bao gồm tiếng Việt, Tiếng Trung Quốc, Đan Mạch, Hà Lan, Tiếng Anh, Philippin, Tiếng Pháp, Tiếng Nhật v.v.

Những "Hỏi - Đáp" này dạng như: Tôi có thể phục hồi các tập tin của mình không? Tôi trả tiền như thế nào? Làm sao để liên hệ?...

Thành phần Kaspersky System Watcher (Giám sát hệ thống) có trong giải pháp Kaspersky Internet Security cho người dùng cá nhân và Kaspersky Security for Business là lá chắn then chốt để bảo vệ dữ liệu của người dùng trước sự tấn công của WannaCry hay bất kỳ phần mềm tống tiền nào.

Thành phần System Watcher có khả năng phục hồi lại trạng thái ban đầu những thay đổi được thực hiện bởi phần mềm tống tiền trong trường hợp một mẫu độc hại đã vượt qua các lớp phòng thủ khác.

Khuyến nghị phòng chống WannaCry:

Đảm bảo rằng tất cả các máy tính đã được cài đặt phần mềm bảo mật và đã bật các thành phần chống phần mềm tống tiền.

Cài đặt bản vá chính thức (MS17-010) từ Microsoft nhằm vá lỗ hổng SMB Server bị khai thác trong cuộc tấn công này.

Đảm bảo rằng các sản phẩm của Kaspersky Lab đã bật thành phần System Watcher (Enable)

Thực hiện Quét tất cả các hệ thống (Scan system). Sau khi phát hiện tấn công phần mềm độc hại như tên gọi MEM: Trojan.Win64.EquationDrug.gen, khởi động lại hệ thống. Một lần nữa, hãy chắc chắn bản vá MS17-010 được cài đặt.

Các chuyên gia của Kaspersky Lab hiện đang tiếp tục làm việc về khả năng tạo ra một công cụ giải mã để giúp đỡ các nạn nhân. Kaspersky Lab sẽ cập nhật khi công cụ này sẵn sàng. Hoặc cộng đồng có thể theo dõi tại trang www.nomoreransom.org để tìm kiếm công cụ giải mã phù hợp.

(Theo Tin Tức)