Cảnh báo khẩn và cách xử lý mã độc tấn công đòi tiền chuộc WannaCry

Ngày đăng: 2017-05-15 16:45:41 - Ngày cập nhật: 2017-05-16 13:34:02 - Số lần xem: 4692
Điểm: 5/5 (1 phiếu)

Cảnh báo: Cuộc tấn công mạng khai thác giao thức P2P (Peer-to-Peer) lớn nhất trong một thập kỷ qua. Hiện tại, mã độc tấn công đòi tiền chuộc (ransomware) mang tên WanaCrypt0r đã lan rộng ra 74 quốc gia với hơn 100 ngàn cuộc tấn công trên toàn thế giới.

Cảnh báo khẩn: Mã độc tấn công đòi tiền chuộc - WannaCry

WannaCry (WanaCrypt0r) - Mã độc tấn công đòi tiền chuộc (ransomware) đang khai thác một số lỗ hổng trên hệ điều hành Windows để tấn công vào các máy tính với mục tiêu mã hóa dữ liệu để đòi tiền chuộc, ảnh hưởng tới nhiều tổ chức, cá nhân trên phạm vi toàn cầu.

Sáng ngày 13-05-2017, hệ thống giám sát virus của Công ty An ninh mạng Bkav đã ghi nhận một số trường hợp lây nhiễm mã độc tại Việt Nam. Các chuyên gia nhận định, số lượng lây nhiễm mã độc sẽ còn tăng trong thời gian tới.

Wannercry

WannaCry (WanaCrypt0r) - Mã độc tấn công đòi tiền chuộc (ransomware)

Phương thức hoạt động

Cũng giống như các dòng Ransomware khác, Wanna Crypt0r tấn công vào máy thông qua file đính kèm email hoặc link độc. Nguy hiểm hơn, mã độc này được bổ sung khả năng lây nhiễm trên các máy tính ngang hàng. Cụ thể, Wanna Crypt0r sẽ quét toàn bộ các máy tính trong cùng mạng để tìm kiếm thiết bị chứa lỗ hổng EternalBlue của dịch vụ SMB (trên hệ điều hành Windows). Từ đó, mã độc có thể lây lan vào các máy có lỗ hổng mà không cần người dùng phải thao tác trực tiếp với file đính kèm hay link độc hại.

WanaCrypt0r sẽ mã hóa toàn bộ dữ liệu, tập tin được lưu trong máy rồi hiện thông báo yêu cầu trả tiền để nhận mã chuộc lại dữ liệu. Nạn nhân chỉ có 3 ngày, sau 3 ngày giá tiền sẽ tăng gấp đôi, còn sau 7 ngày nếu vẫn không trả tiền, các file đó sẽ vĩnh viễn không thể phục hồi nữa.

Cách xử lý khẩn cấp mã độc tấn công đòi tiền chuộc Wannacrypt0r

Đối với cá nhân

  • Cập nhật ngay các phiên bản hệ điều hành Windows đang sử dụng; cập nhật hoặc cài đặt ngay các phần mềm Antivirus cho máy tính có bản quyền.

  • Cẩn trọng khi nhận email có đính kèm và các link lại được gửi trong email, thận trọng khi mở file đính kèm (kể cả địa chỉ quen), kiểm tra bằng phần mềm độc hại các file này trước khi mở.

  • Không mở các link có đuôi .hta hoặc link có cấu trúc không rõ ràng, link rút gọn. Liên hệ ngay bộ phận IT khi có nghi ngờ.

  • Lưu trữ (backup) dữ liệu ngay lập tức.

Đối với quản trị viên hệ thống

  • Thực hiện lệnh quét virusscan cho vùng Critical Areas, nếu phát hiện malware dạng MEM:Trojan.Win64.EquationDrug.gen cần khởi động lại máy tính ngay.

  • Bật tính năng System Watcher để phân tích hành vi, phát hiện sớm mã độc nguy hiểm.

  • Cài đặt update hệ điều hành, đặc biệt là bản vá MS17-010 – Critical

  • Thực hiện biện pháp lưu trữ (backup) dữ liệu quan trọng ngay.

  • Kiểm tra thông tin về các phiên bản Windows bị ảnh hưởng và tải về bản vá lỗi EternalBlue (MS17-010) hoặc bản cho Windows XP để cài đặt bản vá bảo mật, hoặc tìm kiếm theo từ khóa bản cập nhật KB4012598 trên trang chủ của Microsoft.

  • Kiểm tra ngay các máy chủ và tạm thời khóa (block) các dịch vụ đang sử dụng các cổng 445/137/138/139.

  • Tiến hành các biện pháp cập nhật cho máy chủ Windows. Tạo các bản snapshot đối với các máy chủ ảo hóa đề phòng việc bị tấn công.

  • Cập nhật đầy đủ cho các máy trạm đang sử dụng hệ điều hành Windows.

  • Kiểm tra tình trạng hoạt động của phần mềm diệt virus máy tính đang được cài đặt với đầy đủ các tính năng bảo vệ, thông báo người dùng không được tự ý tắt hay gỡ bỏ.

  • Cập nhật cơ sở dữ liệu mới nhất cho các máy chủ, máy trạm đã được trang bị hệ thống Antivirus Endpoint Security.

  • Tận dụng các công cụ, giải pháp an toàn thông tin để theo dõi, giám sát và bảo vệ hệ thống trong thời điểm nhạy cảm này.

  • Ngăn chặn (block) việc sử dụng các phần mềm chia sẻ file ngang hàng Tor trong hệ thống mạng.

  • Thực hiện biện pháp lưu trữ (backup) dữ liệu quan trọng ngay.

  • Cảnh báo tới người dùng trong đơn vị và thực hiện các biện pháp như nêu trên đối với người dùng.

  • Trong trường hợp phát hiện máy tính bị lây nhiễm, không làm theo các hướng dẫn của hacker để tránh mất tiền và lây nhiễm virus máy tính thêm nữa.

  • Xác định và ngắt máy tính bị lây nhiễm khỏi hệ thống mạng, update chương trình diệt virus và quét lại toàn bộ máy tính để làm sạch virus trước khi cài đặt lại.

Lưu ý: Liên hệ ngay với các cơ quan chức năng cũng như các tổ chức, doanh nghiệp trong lĩnh vực an toàn thông tin để được hỗ trợ khi cần thiết.

[Hướng dẫn phòng chống mã độc Wannacry của Kaspersky]

[Xem thêm thông tin về Wannacrypt0r]
 

Bài liên quan