Tháng 5 năm 2017, thế giới chứng kiến một cuộc tấn công mạng có quy mô cực lớn với khoảng 75.000 máy tính trên 99 quốc gia, bị lây nhiễm bởi một mã độc tống tiền có tên là WannaCry. Vậy để biết mã độc WannaCry thực chất là gì mà nó đáng sợ như vậy? Cùng Vietnix tìm hiểu chi tiết ở bài viết dưới đây.
Ransomware WannaCry là gì?
Ransomware WannaCry là một trong những vụ tấn công mạng gây rúng động nhất vào tháng năm 2017, gây ra bởi mã độc tống tiền WannaCry. Ransomware WannaCry hay còn được gọi WannaCrypt, Wcry, Wana Decrypt0r 2.0, là một loại mã độc tống tiền (ransomware) cực kỳ nguy hiểm.
Mã độc này mã hóa các file dữ liệu trên máy tính nạn nhân (Cryptolocker) và yêu cầu họ phải trả một khoản tiền chuộc (thường bằng Bitcoin) để nhận được khóa giải mã. Sự nguy hiểm của mã độc WannaCry đến từ việc mã độc này dùng chính công cụ bị rò rỉ của Cơ quan An ninh Quốc gia Mỹ (NSA) để tấn công máy tính chạy hệ điều hành Windows, thông qua lỗ hổng EternalBlue của dịch vụ SMB.
Cơ chế hoạt động của Ransomware
Mã độc tống tiền WannaCry hoạt động bằng cách xâm nhập và mã hóa dữ liệu trên máy tính nạn nhân, gây ra hai tình huống chính:
- Khóa màn hình: WannaCry sẽ khóa màn hình máy tính, hiển thị thông báo về việc máy tính bị nhiễm virus và hướng dẫn nạn nhân chuyển khoản để lấy lại quyền truy cập. Trong trường hợp này, người dùng không thể thực hiện bất kỳ thao tác nào trên máy tính ngoại trừ bật/tắt màn hình. Thông báo trên màn hình sẽ cung cấp hướng dẫn chi tiết về cách chuyển khoản cho hacker để giải mã dữ liệu.
- Mã hóa dữ liệu: WannaCry mã hóa các tệp tin quan trọng như văn bản, hình ảnh, video,… trên ổ cứng, khiến người dùng không thể truy cập được dữ liệu của mình. Các tệp tin thường bị đổi đuôi và được bảo vệ bằng mật khẩu, người dùng không thể thực hiện bất kỳ thao tác nào như sao chép, dán, đổi tên, đổi đuôi hoặc xóa.
Người dùng sẽ rất khó phát hiện máy tính của họ bị nhiễm mã độc WannaCry, cho đến khi nhận được thông báo về việc máy tính đã bị khóa và các dữ liệu đã bị mã hóa. Để khôi phục những file dữ liệu này, người dùng cần phải trả khoản chuộc bằng tiền ảo Bitcoin cho kẻ tấn công và thường là trong 3 ngày. Nếu không thanh toán đúng hạn, số tiền chuộc sẽ tăng lên gấp đôi và sau 7 ngày và dữ liệu của người dùng sẽ bị xóa vĩnh viễn.
Điểm yếu của Ransomware WannaCry
Điểm yếu chí mạng của mã độc tống tiền WannaCry lại nằm ở chính cơ chế hoạt động của nó. Mã độc này được thiết kế để liên tục kiểm tra kết nối với một địa chỉ web cụ thể. Nếu máy tính bị nhiễm mã độc WannaCry có thể kết nối được với địa chỉ web này, mọi mã hóa dữ liệu do mã độc WannaCry gây ra trên máy sẽ bị hủy.
Trong bối cảnh hỗn loạn của cuộc tấn công WannaCry, một thanh niên 22 tuổi người Anh tên là Marcus Hutchins đã trở thành tâm điểm chú ý. Với kiến thức sâu rộng về bảo mật, Marcus đã nhanh chóng phát hiện ra điểm yếu chí mạng của WannaCry và quyết định mua lại địa chỉ web đó với một khoản tiền không quá lớn, chưa đến 300.000 đồng.
Ngay sau khi mua lại, Marcus đã chuyển hướng địa chỉ web này đến một máy chủ an toàn. Nhờ vậy, bất kỳ máy tính nào bị nhiễm WannaCry và cố gắng kết nối với địa chỉ web này đều sẽ được bảo vệ, ngăn chặn quá trình mã hóa dữ liệu.
Cách thức lây nhiễm của mã độc tống tiền WannaCry
Cách 1: Lây nhiễm thông qua ứng dụng không hợp pháp
WannaCry lợi dụng các phần mềm bẻ khóa (crack) được chia sẻ trên các trang web phổ biến. Khi người dùng tải về và cài đặt những phần mềm này, mã độc sẽ được kích hoạt và bắt đầu quá trình mã hóa dữ liệu. Ngoài ra, việc truy cập vào các trang web chứa mã độc cũng là một con đường lây nhiễm khác.
Cách 2: Khai thác lỗ hổng EternalBlue
WannaCry khai thác lỗ hổng EternalBlue trong giao thức SMB của Windows, vốn được Cơ quan An ninh Quốc gia Mỹ (NSA) phát triển bí mật và sử dụng. Lỗ hổng này cho phép mã độc tự động lây lan qua mạng LAN, xâm nhập vào các máy tính khác mà không cần bất kỳ tương tác nào từ phía người dùng.
Sự nguy hiểm của Ransomware WannaCry
Cuộc tấn công mã độc WannaCry năm 2017 đã gây chấn động toàn cầu, ảnh hưởng đến hàng triệu người dùng và gây thiệt hại nghiêm trọng trên diện rộng. Theo BBC, hơn 150 quốc gia đã bị ảnh hưởng, với khoảng 200 nghìn hệ thống mạng bị tê liệt, trong đó có Việt Nam. Cuộc tấn công WannaCry đã cho thấy mức độ nguy hiểm của mã độc tống tiền và tầm quan trọng của việc bảo mật hệ thống.
- Mạng lưới y tế quốc gia Anh (NHS): Vụ tấn công ảnh hưởng đến hơn 130.000 thiết bị, bao gồm máy tính, máy tính bảng và điện thoại di động. Mã độc WannaCry khiến các nhân viên y tế không thể truy cập dữ liệu bệnh nhân và hàng loạt lịch hẹn bị hủy bỏ. Tin tặc đòi tiền chuộc 300 bảng Anh/máy tính (Khoảng hơn 9 triệu vnđ) để mở khóa dữ liệu, đe dọa xóa toàn bộ nếu không được đáp ứng trong vòng 7 ngày. Mặc dù không có tổ chức NHS nào trả tiền chuộc, nhưng ước tính tổng thiệt hại do gián đoạn dịch vụ lên tới 92 triệu bảng Anh, tức hơn 2751 tỷ VND.
- Các quốc gia khác: Tại Đức, ngành đường sắt bị tấn công gây gián đoạn hoạt động của các nhà ga và quầy bán vé. Nga cũng ghi nhận các cuộc tấn công vào hệ thống công nghệ thông tin ngành đường sắt và một số ngân hàng, tuy chưa gây ra thiệt hại lớn về dữ liệu. Ở Tây Ban Nha, hãng viễn thông Telefonica bị tấn công, nhưng thông tin khách hàng vẫn được bảo vệ.
- Tại Việt Nam: Theo thống kê của Bkav, hơn 1.900 máy tính đã bị nhiễm WannaCry, trong đó có cả các tổ chức, doanh nghiệp và người dùng cá nhân. Các chuyên gia cho biết, có khoảng 52% máy tính tại Việt Nam (gần 4 triệu máy tính) chưa được vá lỗ hổng EternalBlue và có thể bị nhiễm WannaCry nếu tin tặc mở rộng tấn công.
Cách phòng chống virus WannaCry
WannaCry đã làm dấy lên mối lo ngại về an ninh mạng trên toàn cầu và thúc đẩy các cá nhân và tổ chức tăng cường các biện pháp bảo vệ hệ thống khỏi mã độc WannaCry và các biến thể ransomware khác. Dưới đây là một số biện pháp để phòng chống virus WannaCry hiệu quả:
- Cập nhật hệ điều hành thường xuyên: Luôn cập nhật hệ điều hành Windows và các phần mềm khác lên phiên bản mới nhất, đặc biệt là bản vá bảo mật MS17-010 do Microsoft phát hành.
- Bật phần mềm chống virus có sẵn trên Windows: Mở ứng dụng bảo vệ mặc định Windows Defender có sẵn trên có trên hệ điều hành, để ngăn chặn sự tấn công của virus và mã độc.
- Cài đặt phần mềm chống virus: Bạn hãy cài đặt và thường xuyên cập nhật phần mềm diệt virus có khả năng phát hiện và loại bỏ WannaCry.
- Sao lưu dữ liệu đến nơi an toàn: Sao lưu các dữ liệu quan trọng vào các thiết bị lưu trữ ngoài hoặc dịch vụ đám mây như Google Drive, Dropbox, OneDrive,… hoặc lưu sang ổ đĩa cứng gắn rời, để đảm bảo có thể khôi phục dữ liệu nếu bị nhiễm mã độc.
- Không mở các file lạ: Không mở email và tệp đính kèm từ các nguồn không tin cậy, đặc biệt là các tệp có đuôi .exe, .js, hoặc .zip.
- Ngăn chặn mã độc lây lan qua mạng: Hãy tắt giao thức SMBv1 trên máy tính nếu không cần thiết, để ngăn chặn WannaCry lây lan qua mạng.
- Sử dụng tường lửa: Bật tường lửa để chặn các kết nối không mong muốn và bảo vệ máy tính khỏi các cuộc tấn công mạng.
- Truy cập vào các trang web uy tín: Tránh truy cập các trang web không an toàn hoặc có nội dung không rõ ràng.
Ngoài những cách trên, bạn nên đóng các cổng giao tiếp mạng của máy tính bằng cách vào Start > gõ cmd > nhấn chuột phải chọn Run as Administrator. Sau đó, bạn hãy dán từng dòng lệnh như bên dưới và nhấn Enter cho từng dòng:
dism /online/norestart /disable-feature /featurename:SMB1Protocol
netsh advfirewall firewall add rule name="Disable SMB" dir=in
action=block protocol=TCP localport=139
netsh advfirewall firewall add rule name="Disable SMB" dir=in
action=block protocol=TCP localport=445
netsh advfirewall firewall add rule name="Disable SMB" dir=in
action=block protocol=udp localport=445
netsh advfirewall firewall add rule name="Disable RDC" dir=in
action=block protocol=TCP localport=3389
netsh advfirewall firewall add rule name="Disable 137" dir=in
action=block protocol=TCP localport=137
netsh advfirewall firewall add rule name="Disable 138" dir=in
action=block protocol=TCP localport=138
Cách xử lý khẩn cấp khi dính mã độc tống tiền WannaCry
Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ đã đưa ra hướng dẫn chi tiết về cách ngăn ngừa và giảm thiểu thiệt hại do WannaCry gây ra, dành cho cả cá nhân và tổ chức, doanh nghiệp:
Đối với cá nhân
Dưới đây là các biện pháp mà các cá nhân có thể thực hiện khi dính mã độc WannaCry:
- Ngay lập tức cập nhật hệ điều hành Windows lên phiên bản mới nhất. Nếu đang sử dụng Windows XP, hãy cài đặt bản vá KB4012598 từ Microsoft.
- Đảm bảo phần mềm diệt virus trên máy tính luôn được cập nhật phiên bản mới nhất. Nếu chưa có, hãy cài đặt ngay một phần mềm diệt virus uy tín và có bản quyền.
- Không mở các email, đường link hoặc tệp tin đính kèm đáng ngờ, đặc biệt là từ những nguồn không rõ ràng.
- Sử dụng các công cụ quét virus trực tuyến hoặc phần mềm diệt virus để kiểm tra các tệp tin trước khi mở, ngay cả khi chúng đến từ người quen.
- Không nhấp vào các đường link rút gọn hoặc có đuôi
.htavì chúng có thể chứa mã độc. - Thường xuyên sao lưu dữ liệu quan trọng sang các thiết bị lưu trữ ngoài hoặc dịch vụ lưu trữ đám mây (cloud server) để phòng trường hợp bị mã hóa dữ liệu.
Đối với tổ chức, doanh nghiệp
Dưới đây là các biện pháp dành cho các tổ chức, doanh nghiệp xử lý khẩn cấp khi dính mã độc WannaCry:
- Tạm thời khóa các cổng 445/137/138/139 trên máy chủ để ngăn chặn WannaCry lây lan.
- Cập nhật tất cả máy chủ và máy trạm Windows lên phiên bản mới nhất và cài đặt các bản vá bảo mật.
- Tạo các bản sao lưu (snapshot) của máy chủ ảo để có thể khôi phục lại hệ thống trong trường hợp bị tấn công.
- Cập nhật cơ sở dữ liệu và phần mềm diệt virus (Antivirus Endpoint) trên tất cả máy trạm.
- Sử dụng tường lửa (Firewall), hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS), hệ thống quản lý thông tin và sự kiện bảo mật (SIEM) để giám sát và bảo vệ hệ thống.
- Theo dõi và chặn các tên miền được WannaCry sử dụng để phát tán mã độc, đồng thời xác định các máy tính bị nhiễm trong mạng để xử lý kịp thời.
- Thường xuyên sao lưu dữ liệu quan trọng của tổ chức để giảm thiểu thiệt hại khi bị tấn công.
- Trong trường hợp cần hỗ trợ, hãy liên hệ với các cơ quan chức năng và các tổ chức chuyên về an ninh mạng để được tư vấn và hỗ trợ kịp thời.
Các công cụ giải mã Wannacry miễn phí
Dưới đây là một số công cụ giải mã miễn phí được phát triển để giúp khôi phục dữ liệu bị mã hóa bởi Ransomware WannaCry:
- WannaKey: Được phát triển bởi Adrien Guinet, WannaKey là một công cụ tận dụng lỗ hổng trong quá trình WannaCry tạo khóa mã hóa. Công cụ này cố gắng trích xuất các số nguyên tố được sử dụng để tạo khóa từ bộ nhớ của máy tính, từ đó tái tạo lại khóa cá nhân và giải mã dữ liệu. Tuy nhiên, WannaKey chỉ hoạt động hiệu quả nếu máy tính chưa được khởi động lại và bộ nhớ chưa bị thay đổi kể từ khi nhiễm mã độc.
- WanaKiwi: Dựa trên những phát hiện của Guinet, Benjamin Delpy đã tạo ra WanaKiwi, một phiên bản cải tiến và dễ sử dụng hơn của WannaKey. WanaKiwi tự động thực hiện quá trình giải mã, giúp người dùng không cần phải thao tác phức tạp trên giao diện dòng lệnh.
Tuy nhiên, các công cụ này sẽ không đảm bảo thành công 100% và hiệu quả sẽ còn phụ thuộc vào nhiều yếu tố, bao gồm cả cấu hình hệ thống và phiên bản WannaCry.
Lời kết
Thông qua bài viết này, Vietnix hy vọng bạn đã có được những thông tin hữu ích và hiểu rõ về Ransomware WannaCry là gì cũng như những cách để phòng chống và xử lý khẩn cấp khi thiết bị của bạn dính mã độc tống tiền WannaCry, chúc bạn thành công!
