NỘI DUNG

Hosting tốc độ cao Vietnix - tốc độ tải trang trung bình dưới 1 giây
VPS siêu tốc Vietnix - trải nghiệm mượt mà, ổn định
29/08/2024
Lượt xem

Mã độc Ransomware WannaCry là gì? Cách phòng chống và diệt virus WannaCry

29/08/2024
15 phút đọc
Lượt xem

Đánh giá

Tháng 5 năm 2017, thế giới chứng kiến một cuộc tấn công mạng có quy mô cực lớn với khoảng 75.000 máy tính trên 99 quốc gia, bị lây nhiễm bởi một mã độc tống tiền có tên là WannaCry. Vậy để biết mã độc WannaCry thực chất là gì mà nó đáng sợ như vậy? Cùng Vietnix tìm hiểu chi tiết ở bài viết dưới đây.

Ransomware WannaCry là gì?

Ransomware WannaCry là một trong những vụ tấn công mạng gây rúng động nhất vào tháng năm 2017, gây ra bởi mã độc tống tiền WannaCry. Ransomware WannaCry hay còn được gọi WannaCrypt, Wcry, Wana Decrypt0r 2.0, là một loại mã độc tống tiền (ransomware) cực kỳ nguy hiểm.

Mã độc này mã hóa các file dữ liệu trên máy tính nạn nhân (Cryptolocker) và yêu cầu họ phải trả một khoản tiền chuộc (thường bằng Bitcoin) để nhận được khóa giải mã. Sự nguy hiểm của mã độc WannaCry đến từ việc mã độc này dùng chính công cụ bị rò rỉ của Cơ quan An ninh Quốc gia Mỹ (NSA) để tấn công máy tính chạy hệ điều hành Windows, thông qua lỗ hổng EternalBlue của dịch vụ SMB.

Ransomware WannaCry là một loại mã độc tống tiền cực kỳ nguy hiểm
Ransomware WannaCry là một loại mã độc tống tiền cực kỳ nguy hiểm

Cơ chế hoạt động của Ransomware

Mã độc tống tiền WannaCry hoạt động bằng cách xâm nhập và mã hóa dữ liệu trên máy tính nạn nhân, gây ra hai tình huống chính:

  1. Khóa màn hình: WannaCry sẽ khóa màn hình máy tính, hiển thị thông báo về việc máy tính bị nhiễm virus và hướng dẫn nạn nhân chuyển khoản để lấy lại quyền truy cập. Trong trường hợp này, người dùng không thể thực hiện bất kỳ thao tác nào trên máy tính ngoại trừ bật/tắt màn hình. Thông báo trên màn hình sẽ cung cấp hướng dẫn chi tiết về cách chuyển khoản cho hacker để giải mã dữ liệu.
  2. Mã hóa dữ liệu: WannaCry mã hóa các tệp tin quan trọng như văn bản, hình ảnh, video,… trên ổ cứng, khiến người dùng không thể truy cập được dữ liệu của mình. Các tệp tin thường bị đổi đuôi và được bảo vệ bằng mật khẩu, người dùng không thể thực hiện bất kỳ thao tác nào như sao chép, dán, đổi tên, đổi đuôi hoặc xóa.

Người dùng sẽ rất khó phát hiện máy tính của họ bị nhiễm mã độc WannaCry, cho đến khi nhận được thông báo về việc máy tính đã bị khóa và các dữ liệu đã bị mã hóa. Để khôi phục những file dữ liệu này, người dùng cần phải trả khoản chuộc bằng tiền ảo Bitcoin cho kẻ tấn công và thường là trong 3 ngày. Nếu không thanh toán đúng hạn, số tiền chuộc sẽ tăng lên gấp đôi và sau 7 ngày và dữ liệu của người dùng sẽ bị xóa vĩnh viễn.

Lưu ý: Dù bạn sẵn sàng chi trả số tiền theo đúng yêu cầu của hacker thì khả năng bạn nhận lại thông tin, dữ liệu của mình vẫn không được đảm bảo 100%.

Cơ chế hoạt động của mã độc tống tiền WannaCry
Cơ chế hoạt động của mã độc tống tiền WannaCry

Điểm yếu của Ransomware WannaCry

Điểm yếu chí mạng của mã độc tống tiền WannaCry lại nằm ở chính cơ chế hoạt động của nó. Mã độc này được thiết kế để liên tục kiểm tra kết nối với một địa chỉ web cụ thể. Nếu máy tính bị nhiễm mã độc WannaCry có thể kết nối được với địa chỉ web này, mọi mã hóa dữ liệu do mã độc WannaCry gây ra trên máy sẽ bị hủy.

Trong bối cảnh hỗn loạn của cuộc tấn công WannaCry, một thanh niên 22 tuổi người Anh tên là Marcus Hutchins đã trở thành tâm điểm chú ý. Với kiến thức sâu rộng về bảo mật, Marcus đã nhanh chóng phát hiện ra điểm yếu chí mạng của WannaCry và quyết định mua lại địa chỉ web đó với một khoản tiền không quá lớn, chưa đến 300.000 đồng.

Ngay sau khi mua lại, Marcus đã chuyển hướng địa chỉ web này đến một máy chủ an toàn. Nhờ vậy, bất kỳ máy tính nào bị nhiễm WannaCry và cố gắng kết nối với địa chỉ web này đều sẽ được bảo vệ, ngăn chặn quá trình mã hóa dữ liệu.

Chân dung chàng trai đã tìm ra cách hóa giải mã độc tống tiền WannaCry
Chân dung chàng trai đã tìm ra cách hóa giải mã độc tống tiền WannaCry

Cách 1: Lây nhiễm thông qua ứng dụng không hợp pháp

WannaCry lợi dụng các phần mềm bẻ khóa (crack) được chia sẻ trên các trang web phổ biến. Khi người dùng tải về và cài đặt những phần mềm này, mã độc sẽ được kích hoạt và bắt đầu quá trình mã hóa dữ liệu. Ngoài ra, việc truy cập vào các trang web chứa mã độc cũng là một con đường lây nhiễm khác. 

Cách 2: Khai thác lỗ hổng EternalBlue

WannaCry khai thác lỗ hổng EternalBlue trong giao thức SMB của Windows, vốn được Cơ quan An ninh Quốc gia Mỹ (NSA) phát triển bí mật và sử dụng. Lỗ hổng này cho phép mã độc tự động lây lan qua mạng LAN, xâm nhập vào các máy tính khác mà không cần bất kỳ tương tác nào từ phía người dùng.

WannaCry khai thác lỗ hổng EternalBlue trong giao thức SMB của Windows
WannaCry khai thác lỗ hổng EternalBlue trong giao thức SMB của Windows

Sự nguy hiểm của Ransomware WannaCry

Cuộc tấn công mã độc WannaCry năm 2017 đã gây chấn động toàn cầu, ảnh hưởng đến hàng triệu người dùng và gây thiệt hại nghiêm trọng trên diện rộng. Theo BBC, hơn 150 quốc gia đã bị ảnh hưởng, với khoảng 200 nghìn hệ thống mạng bị tê liệt, trong đó có Việt Nam. Cuộc tấn công WannaCry đã cho thấy mức độ nguy hiểm của mã độc tống tiền và tầm quan trọng của việc bảo mật hệ thống. 

  • Mạng lưới y tế quốc gia Anh (NHS): Vụ tấn công ảnh hưởng đến hơn 130.000 thiết bị, bao gồm máy tính, máy tính bảng và điện thoại di động. Mã độc WannaCry khiến các nhân viên y tế không thể truy cập dữ liệu bệnh nhân và hàng loạt lịch hẹn bị hủy bỏ. Tin tặc đòi tiền chuộc 300 bảng Anh/máy tính (Khoảng hơn 9 triệu vnđ) để mở khóa dữ liệu, đe dọa xóa toàn bộ nếu không được đáp ứng trong vòng 7 ngày. Mặc dù không có tổ chức NHS nào trả tiền chuộc, nhưng ước tính tổng thiệt hại do gián đoạn dịch vụ lên tới 92 triệu bảng Anh, tức hơn 2751 tỷ VND.
  • Các quốc gia khác: Tại Đức, ngành đường sắt bị tấn công gây gián đoạn hoạt động của các nhà ga và quầy bán vé. Nga cũng ghi nhận các cuộc tấn công vào hệ thống công nghệ thông tin ngành đường sắt và một số ngân hàng, tuy chưa gây ra thiệt hại lớn về dữ liệu. Ở Tây Ban Nha, hãng viễn thông Telefonica bị tấn công, nhưng thông tin khách hàng vẫn được bảo vệ.
  • Tại Việt Nam: Theo thống kê của Bkav, hơn 1.900 máy tính đã bị nhiễm WannaCry, trong đó có cả các tổ chức, doanh nghiệp và người dùng cá nhân. Các chuyên gia cho biết, có khoảng 52% máy tính tại Việt Nam (gần 4 triệu máy tính) chưa được vá lỗ hổng EternalBlue và có thể bị nhiễm WannaCry nếu tin tặc mở rộng tấn công.
Ransomware WannaCry gây ra ảnh hưởng nghiêm trọng đến nền kinh tế thế giới
Ransomware WannaCry gây ra ảnh hưởng nghiêm trọng đến nền kinh tế thế giới

Cách phòng chống virus WannaCry

WannaCry đã làm dấy lên mối lo ngại về an ninh mạng trên toàn cầu và thúc đẩy các cá nhân và tổ chức tăng cường các biện pháp bảo vệ hệ thống khỏi mã độc WannaCry và các biến thể ransomware khác. Dưới đây là một số biện pháp để phòng chống virus WannaCry hiệu quả:

  • Cập nhật hệ điều hành thường xuyên: Luôn cập nhật hệ điều hành Windows và các phần mềm khác lên phiên bản mới nhất, đặc biệt là bản vá bảo mật MS17-010 do Microsoft phát hành. 
  • Bật phần mềm chống virus có sẵn trên Windows: Mở ứng dụng bảo vệ mặc định Windows Defender có sẵn trên có trên hệ điều hành, để ngăn chặn sự tấn công của virus và mã độc.
  • Cài đặt phần mềm chống virus: Bạn hãy cài đặt và thường xuyên cập nhật phần mềm diệt virus có khả năng phát hiện và loại bỏ WannaCry.
  • Sao lưu dữ liệu đến nơi an toàn: Sao lưu các dữ liệu quan trọng vào các thiết bị lưu trữ ngoài hoặc dịch vụ đám mây như Google Drive, Dropbox, OneDrive,… hoặc lưu sang ổ đĩa cứng gắn rời, để đảm bảo có thể khôi phục dữ liệu nếu bị nhiễm mã độc.
  • Không mở các file lạ: Không mở email và tệp đính kèm từ các nguồn không tin cậy, đặc biệt là các tệp có đuôi .exe, .js, hoặc .zip.
  • Ngăn chặn mã độc lây lan qua mạng: Hãy tắt giao thức SMBv1 trên máy tính nếu không cần thiết, để ngăn chặn WannaCry lây lan qua mạng.
  • Sử dụng tường lửa: Bật tường lửa để chặn các kết nối không mong muốn và bảo vệ máy tính khỏi các cuộc tấn công mạng.
  • Truy cập vào các trang web uy tín: Tránh truy cập các trang web không an toàn hoặc có nội dung không rõ ràng.

Ngoài những cách trên, bạn nên đóng các cổng giao tiếp mạng của máy tính bằng cách vào Start > gõ cmd > nhấn chuột phải chọn Run as Administrator. Sau đó, bạn hãy dán từng dòng lệnh như bên dưới và nhấn Enter cho từng dòng:

dism /online/norestart /disable-feature /featurename:SMB1Protocol

netsh advfirewall firewall add rule name="Disable SMB" dir=in

action=block protocol=TCP localport=139

netsh advfirewall firewall add rule name="Disable SMB" dir=in

action=block protocol=TCP localport=445

netsh advfirewall firewall add rule name="Disable SMB" dir=in

action=block protocol=udp localport=445

netsh advfirewall firewall add rule name="Disable RDC" dir=in

action=block protocol=TCP localport=3389

netsh advfirewall firewall add rule name="Disable 137" dir=in

action=block protocol=TCP localport=137

netsh advfirewall firewall add rule name="Disable 138" dir=in

action=block protocol=TCP localport=138
Sao lưu dữ liệu đến nơi an toàn
Sao lưu dữ liệu đến nơi an toàn

Đối với cá nhân

Dưới đây là các biện pháp mà các cá nhân có thể thực hiện khi dính mã độc WannaCry:

  • Ngay lập tức cập nhật hệ điều hành Windows lên phiên bản mới nhất. Nếu đang sử dụng Windows XP, hãy cài đặt bản vá KB4012598 từ Microsoft.
  • Đảm bảo phần mềm diệt virus trên máy tính luôn được cập nhật phiên bản mới nhất. Nếu chưa có, hãy cài đặt ngay một phần mềm diệt virus uy tín và có bản quyền.
  • Không mở các email, đường link hoặc tệp tin đính kèm đáng ngờ, đặc biệt là từ những nguồn không rõ ràng.
  • Sử dụng các công cụ quét virus trực tuyến hoặc phần mềm diệt virus để kiểm tra các tệp tin trước khi mở, ngay cả khi chúng đến từ người quen.
  • Không nhấp vào các đường link rút gọn hoặc có đuôi .hta vì chúng có thể chứa mã độc.
  • Thường xuyên sao lưu dữ liệu quan trọng sang các thiết bị lưu trữ ngoài hoặc dịch vụ lưu trữ đám mây (cloud server) để phòng trường hợp bị mã hóa dữ liệu.
Xử lý khẩn cấp khi dính mã độc tống tiền đối với cá nhân
Xử lý khẩn cấp khi dính mã độc tống tiền đối với cá nhân

Đối với tổ chức, doanh nghiệp

Dưới đây là các biện pháp dành cho các tổ chức, doanh nghiệp xử lý khẩn cấp khi dính mã độc WannaCry:

  • Tạm thời khóa các cổng 445/137/138/139 trên máy chủ để ngăn chặn WannaCry lây lan.
  • Cập nhật tất cả máy chủ và máy trạm Windows lên phiên bản mới nhất và cài đặt các bản vá bảo mật.
  • Tạo các bản sao lưu (snapshot) của máy chủ ảo để có thể khôi phục lại hệ thống trong trường hợp bị tấn công.
  • Cập nhật cơ sở dữ liệu và phần mềm diệt virus (Antivirus Endpoint) trên tất cả máy trạm
  • Sử dụng tường lửa (Firewall), hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS), hệ thống quản lý thông tin và sự kiện bảo mật (SIEM) để giám sát và bảo vệ hệ thống.
  • Theo dõi và chặn các tên miền được WannaCry sử dụng để phát tán mã độc, đồng thời xác định các máy tính bị nhiễm trong mạng để xử lý kịp thời.
  • Thường xuyên sao lưu dữ liệu quan trọng của tổ chức để giảm thiểu thiệt hại khi bị tấn công.
  • Trong trường hợp cần hỗ trợ, hãy liên hệ với các cơ quan chức năng và các tổ chức chuyên về an ninh mạng để được tư vấn và hỗ trợ kịp thời.
Xử lý khẩn cấp khi dính mã độc tống tiền đối với doanh nghiệp
Xử lý khẩn cấp khi dính mã độc tống tiền đối với doanh nghiệp

Các công cụ giải mã Wannacry miễn phí

Dưới đây là một số công cụ giải mã miễn phí được phát triển để giúp khôi phục dữ liệu bị mã hóa bởi Ransomware WannaCry:

  • WannaKey: Được phát triển bởi Adrien Guinet, WannaKey là một công cụ tận dụng lỗ hổng trong quá trình WannaCry tạo khóa mã hóa. Công cụ này cố gắng trích xuất các số nguyên tố được sử dụng để tạo khóa từ bộ nhớ của máy tính, từ đó tái tạo lại khóa cá nhân và giải mã dữ liệu. Tuy nhiên, WannaKey chỉ hoạt động hiệu quả nếu máy tính chưa được khởi động lại và bộ nhớ chưa bị thay đổi kể từ khi nhiễm mã độc.
  • WanaKiwi: Dựa trên những phát hiện của Guinet, Benjamin Delpy đã tạo ra WanaKiwi, một phiên bản cải tiến và dễ sử dụng hơn của WannaKey. WanaKiwi tự động thực hiện quá trình giải mã, giúp người dùng không cần phải thao tác phức tạp trên giao diện dòng lệnh.

Tuy nhiên, các công cụ này sẽ không đảm bảo thành công 100% và hiệu quả sẽ còn phụ thuộc vào nhiều yếu tố, bao gồm cả cấu hình hệ thống và phiên bản WannaCry.

Những công cụ giải mã độc tống tiền Wannacry hiệu quả và miễn phí
Những công cụ giải mã độc tống tiền Ransomware WannaCry hiệu quả và miễn phí

Lời kết

Thông qua bài viết này, Vietnix hy vọng bạn đã có được những thông tin hữu ích và hiểu rõ về Ransomware WannaCry là gì cũng như những cách để phòng chống và xử lý khẩn cấp khi thiết bị của bạn dính mã độc tống tiền WannaCry, chúc bạn thành công!

THEO DÕI VÀ CẬP NHẬT CHỦ ĐỀ BẠN QUAN TÂM

Đăng ký ngay để nhận những thông tin mới nhất từ blog của chúng tôi. Đừng bỏ lỡ cơ hội truy cập kiến thức và tin tức hàng ngày

Chọn chủ đề :

Hưng Nguyễn

Co-Founder
tại

Kết nối với mình qua

Kết nối với mình qua

Theo dõi
Thông báo của
guest
0 Comments
Phản hồi nội tuyến
Xem tất cả bình luận

Tăng tốc độ website - Nâng tầm giá trị thương hiệu

Tăng tốc tải trang

95 điểm

Nâng cao trải nghiệm người dùng

Tăng 8% tỷ lệ chuyển đổi

Thúc đẩy SEO, Google Ads hiệu quả

Tăng tốc ngay

SẢN PHẨM NỔI BẬT

7 NGÀY DÙNG THỬ HOSTING

NẮM BẮT CƠ HỘI, THÀNH CÔNG DẪN LỐI

Cùng trải nghiệm dịch vụ hosting tốc độ cao được hơn 100,000 khách hàng sử dụng

ĐĂNG KÝ NHẬN TÀI LIỆU THÀNH CÔNG
Cảm ơn bạn đã đăng ký nhận tài liệu mới nhất từ Vietnix!
ĐÓNG

ĐĂNG KÝ DÙNG THỬ HOSTING

7 NGÀY MIỄN PHÍ

ĐĂNG KÝ DÙNG THỬ HOSTING

7 NGÀY MIỄN PHÍ

XÁC NHẬN ĐĂNG KÝ DÙNG THỬ THÀNH CÔNG
Cảm ơn bạn đã đăng ký thông tin thành công. Đội ngũ CSKH sẽ liên hệ trực tiếp để kích hoạt dịch vụ cho bạn nhanh nhất!
ĐÓNG