Nếu đọc tin tức 24 giờ qua thì bạn sẽ biết về vụ tấn công mạng quy mô toàn cầu của ransomware có tên WannaCry. Vụ tấn công đã khiến nhiều tổ chức không thể truy cập vào các tập tin trên máy tính, bao gồm cả Cơ quan y tế quốc gia Anh NHS hay công ty vận chuyển FedEx. Dù có vẻ như nhắm vào châu Âu nhiều hơn nhưng điều đó không có nghĩa là bạn nằm ngoài “vùng phủ sóng” của WannaCry. Dưới đây là những gì bạn cần biết về loại ransomware này cũng như cách để xử lý khi máy tính nhiễm WannaCry.

Chuyện gì xảy ra khi bị WannaCry tấn công?

Nếu máy tính bị nhiễm, WannaCry mã hóa dữ liệu trên máy tính và yêu cầu người dùng phải trả một khoản tiền để chuộc / mở khóa chúng. Thông thường mức phí sẽ vào khoảng $300. Nó yêu cầu thanh toán bằng Bitcoins để người nhận tiền không thể bị truy dấu.

Khi nạn nhân không chấp nhận trả tiền, số tiền mà bên tấn công đòi để chuộc sẽ nhân đôi sau 3 ngày. Sau đó, nếu không có Bitcoin nào được trả thì số tập tin đã bị mã hóa đó sẽ bị xóa. WannaCry còn gửi kèm một file Read Me dạng text, cung cấp thông tin chi tiết về những gì sẽ xảy ra tiếp theo, tùy vào quyết định của bạn. Nếu bạn hoặc tổ chức của bạn bị nhiễm ransomware này thì dưới đây là vài thủ thuật quan trọng cần nhớ.


Màn hình máy tính nhiễm WannaCry

Làm sao để bảo vệ máy tính khỏi bị ransomware tấn công?

Cho đến thời điểm này, việc giải mã tập tin đã bị nhiễm là rất khó. Tuy vậy, một công ty an ninh mạng nổi tiếng tên là Symantec đang tìm phương án giải mã dễ dàng hơn. Nếu không muốn bạn hoặc tổ chức của bạn trở thành nạn nhân của vụ tấn công WannaCry thì hãy làm theo các bước sau.

  • Luôn luôn cập nhật các phần mềm tường lửa và chống virus để bảo vệ máy tính.
  • Hệ điều hành nên được cập nhật thường xuyên, trong đó sẽ bao gồm các bản vá mới và tránh việc bị hacker khai thác các lỗ hổng.
  • Email là một trong những cách phổ biến để WannaCry và các ransomware tương tự xâm nhập máy tính. Vì thế đừng click hoặc mở các file tài liệu lạ.
  • Sao lưu tất cả dữ liệu quan trọng. Việc này sẽ giúp kẻ tấn công không có gì để “tóm” được bạn. Ngoài ra, bạn nên sao lưu trên máy chủ, các thiết bị lưu trữ ngoài hoặc các hình thức khác không dùng tới Internet.

Để loại bỏ WannaCry, bạn sẽ cần sử dụng chế độ Safe Mode. Dưới đây là hướng dẫn bật chế độ Safe Mode trên máy tính. Cũng lưu ý là thông tin dưới đây có được dựa trên tìm kiếm và không đảm bảo chắc chắn máy tính của bạn có thể loại bỏ WannaCry. Để làm theo hướng dẫn dưới đây, bạn sẽ cần đọc bài viết này trên thiết bị khác vì trong quá trình thao tác, bạn sẽ phải tắt trình duyệt.

Cách bật chế độ Safe Mode

  • Trên Windows XP và Windows 7: Chọn F8 trước khi Windows khởi động. Trên Boot Menu, chọn Safe Mode with Networking và nhấp Enter.
  • Trên Windows 8 và 8.1: Vào Start Menu > Control Panel > Administrative Tools > System Configuration. Sau đó tìm và chọn Safe Boot và chọn Networking > Restart. Máy tính của bạn sẽ mở sang chế độ Safe Mode.
  • Trên Windows 10: Vào Start Menu > Settings > Update and Security > Recovery. Sau đó, bên dưới Advanced Startup, hãy click vào Restart Now và để máy khởi động lại. Khi máy cho phép lựa chọn Choose Option Screen, hãy click Troubleshoot > Advanced Options > StartupSettings > Enable Safe Mode with Networking Option và nhấp Enter.

Chú ý: Trên một số máy tính, Boot Key lại không phải là F8, khi đó bạn sẽ cần xem lại hướng dẫn của nhà sản xuất để tìm ra phím này.

Làm thế nào để loại bỏ WannaCry?

Hãy đọc các bước cẩn thận và đảm bảo bạn biết rõ mình đang làm gì trước khi thao tác.

Loại bỏ các quá trình bị nhiễm

Giờ bạn cần tìm các quá trình (process) đang chạy trên máy có liên quan tới WannaCry. Nhấn tổ hợp phím Ctrl + Shift + Esc để mở hộp thoại Task Manager. Sau đó hãy nhìn kĩ trên thẻ Processes để tìm các entry lạ.

Thông thường các quá trình nhiễm độc sẽ rất ngốn tài nguyên máy tính, như CPU hay RAM. Nếu thấy entry bất thường, hãy click chuột phải, và chọn Open the File > Delete Everything. Hãy đảm bảo chỉ làm vậy khi bạn chắc chắn quy trình có liên quan tới WannaCry.

Các chương trình khởi động

Giờ hãy mở Startup Programs bằng cách gõ System Configuration vào ô tìm kiếm của Windows. Sau đó chọn kết quả đầu tiên và bạn sẽ thấy danh sách các chương trình.

Nếu dùng Windows 10, bạn có thể thấy Startup Programs ngay trong Task Manager. Trên tất cả các phiên bản Windows, nếu thấy chương trình nào có tên nhà phát triển lạ hoặc nghi ngờ, hãy bỏ chọn và click OK.

Registry

Mở hộp thoại Run của Windows hoặc nhấn tổ hợp phím Windows + R. Sau đó gõ regedit và nhấn Enter.

Khi thấy Registry Editor, nhấn Ctrl + F và gõ tên Ransom.CryptXXX hoặc WannaCry. Hãy xóa tất cả những gì có liên quan tới tên này và chọn Find Next để tìm các kết quả tiếp theo.

Các tập tin dính virus

Cuối cùng, đừng quên xóa tất cả các tập tin có khả năng nhiễm virus. Trên Start Menu, lần lượt gõ từng lựa chọn sau: %AppData%, %LocalAppData%, %ProgramData%, %WinDir%, %Temp%. Mỗi lần tìm kiếm bằng một trong những cái tên trên, một thư mục sẽ hiện ra, hãy chọn lọc theo thời gian và xóa những thư mục, tập tin gần đây nhất. Ngoài ra, bạn có thể vào thư mục Temp để xóa mọi thứ trong đó.

Dù không đảm bảo 100% nhưng những hướng dẫn trên đây có thể hữu ích để giúp bạn loại bỏ WannaCry  khỏi máy tính của mình. 

WannaCry là loại virus “đòi tiền chuộc” còn được biết tới với cái tên Ransomware WannaCry, Wanna Decryptor 2.0, WCry 2, WannaCry 2 hay Wanna Decryptor 2… là loại virus tống tiền nguy hiểm và đang gây ra nỗi ám ảnh, tổn lớn nhất trên Thế giới hiện nay.

Xuất hiện lần đầu tiên vào cuối tuần trước (12/5/2017) nhưng WannaCry đã nhanh chóng khiến mạng Internet điên đảo, đặc biệt, với lời cảnh báo từ các chuyên gia máy tính, phiên bản WannaCry 2.0 sẽ còn nguy hiểm hơn, loại ransomeware tống tiền này đang thực sự khiến bất cứ người dùng máy tính nào cũng đều phải lo lắng. Nằm trong top 20 Quốc gia chịu ảnh hưởng lớn nhất từ Ransomware WannaCry, không nhiều người còn tin tưởng vào các Avira Free AntiVirus, AVG AntiVirus Free hay Bkav Home… những phần mềm diệt virus phổ biến hiện nay.

Sự nguy hiểm và tác hại của Ransomware lớn đến nỗi các nhà phát triển phần mềm của các công ty bảo mật nổi tiếng Thế giới cũng phải “bó tay”, lời khuyên duy nhất của họ cũng chỉ là “cố gắng đừng nhiễm phải virus này”.

Vậy thực tế, Ransomware là gì? Tại sao nó lại nguy hiểm đến thế? Bài viết dưới đây là tổng hợp từ nhiều nguồn thông tin mà Download.com.vn đã tìm kiếm trong thời gian qua về loại malware nguy hiểm này.

Ransomware là gì?

Thực chất Ransomware chỉ là tên gọi chung của một dạng Malware độc hại. Sau khi lây nhiễm vào máy tính, malware này sẽ mã hóa lại toàn bộ dữ liệu đó theo cách riêng của nó khiến người dùng không thể sử dụng được nữa.

Ransomware nguy hiểm thế nào?

Như vừa nói, virus này sẽ cô lập và ngăn cản mọi thao tác của người dùng lên những khu vực đã bị lây nhiễm, chính vì vậy mà mọi cố gắng khắc phục, tìm diệt chúng đều là vô ích, nhưng đó chưa phải là mối lo ngại lớn nhất. Mà sau khi “bắt cóc” được dữ liệu quan trọng, ransomware sẽ sử dụng chúng làm “con tin” và đòi tiền chuộc từ người dùng, số tiền mà “nạn nhân” phải chi ra để chuộc lại dữ liệu của mình là không hề nhỏ.

Một điều khác, đó là người dùng sau khi bị đánh cắp dữ liệu, dù đã trả tiền chuộc để lấy lại dữ liệu thì cũng không thể chắc chắn hoàn toàn “mã phục hồi” mà kẻ xấu cung cấp có thực sự sử dụng được hay không? Nghĩa là chúng ta chấp nhận chi tiền chỉ để đánh đổi lấy 50% hy vọng.

Ransomware hoạt động thế nào?

Khi vào được máy tính của nạn nhân, virus này sẽ nhanh chóng tìm đến các thư mục chứa thông tin, dữ liệu của máy tính, cô lập và ngăn cản người dùng thực hiện mọi thao tác với những khu vực này. Nguy hiểm hơn nữa, Ransomware sẽ mã hóa toàn bộ dữ liệu trong khu vực mà nó tấn công thành một chuỗi mã phức tạp, khiến người dùng không thể giải mã, đồng thời xóa bỏ hoàn toàn những dữ liệu gốc để người dùng không thể phục hồi.

Nguyên nhân máy tính bị nhiễm Ransomware

Giống như đa số các loại malware khác hiện nay, ransomware được hacker lựa chọn cách phát tán khá đơn giản nhưng vẫn đảm bảo được “hiệu quả”, đó là sử dụng chủ yếu email. Phương pháp này được gọi là spear-phishing – một dạng khác, cao hơn của việc tấn công người dùng thông qua email.

Trên thực tế, phương pháp này thường đạt hiệu quả cao ở nước ngoài hơn là ở Việt Nam, bởi hacker sẽ giả mạo email của một số tổ chức, cá nhân hay các ngân hàng và yêu cầu người nhận tải về một số “phần mềm” hay “ứng dụng”. Thậm chí, có những trường hợp, người dùng còn bị đánh lừa bởi những email giả mạo này sử dụng form của một số trang mạng xã hội nổi tiếng như Facebook, Instagram hay Twitter và yêu cầu người dùng đăng nhập tài khoản của họ vào đó.

Tuy không đạt hiệu quả 100% nhưng tỷ lệ người dùng “thử tải” và “dùng thử” những file chứa mã độc kia là rất lớn. Một vài “đường truyền nhiễm” khác mà các nhà nghiên cứu mới phát hiện ra, đó là:

  • Các hacker sẽ tìm lỗ hổng bảo mật trên một vài website có lượng truy cập đông, lây nhiễm mã độc này vào đó và chờ “con mồi” sa lưới.
  • Hoặc cũng thể người dùng bị lây nhiễm lẫn nhau thông qua việc sử dụng chung các thiết bị lưu trữ, thiết bị gắn ngoài, trao đổi dữ liệu…

Tại sao các phần mềm diệt virus hiện nay “bó tay” trước Ransomware?

Có thể hiểu nôm na cơ chế hoạt động của tất cả các phần mềm diệt virus hiện nay, đó là dựa vào “đặc điểm nhận dạng”. Mỗi loại virus sau khi bị phát hiện sẽ được gán cho một dấu hiệu nhận biết riêng, giống như mã số, vân tay của con người, sau đó những thông tin về chúng sẽ được tập hợp lại, chuyển vào một kho lưu trữ.

Các phần mềm diệt virus hiện nay sẽ dựa vào thông tin, dữ liệu trong kho lưu trữ ấy để phát triển sản phẩm của mình. Nói cách khác, các phần mềm diệt virus trên thị trường hiện nay, chỉ có tác dụng tốt nếu chúng tìm và biết được đối tượng của mình. Còn với những loại “cao tay”, có thể ẩn giấu đi đặc điểm nhận dạng hoặc quá mới, trong kho lưu trữ chưa có, thì chúng sẽ không thể làm gì được.

Làm cách nào để ngăn chặn virus “tống tiền” Ransomware?

Trên thực tế, dù đã có mặt và gây ra không ít những vụ “bắt cóc – tống tiền”, song Ransomware cho tới giờ vẫn là “bất khả xâm phạm”, chưa có một công ty hay phần mềm nào có thể quét và diệt được Ransomware. Người dùng chỉ có thể phòng tránh, chứ không thể khắc phục nếu bị nhiễm virus này.

Dưới đây là danh sách của một số phần mềm giúp người dùng phòng tránh được virus Ransomware một cách hiệu quả.

1. Bitdefender Anti-Ransomware

Đây là phần mềm diệt malware miễn phí của ông lớn Bitdefender trong làng bảo mật và diệt virus. Do được thiết kế chủ yếu nhắm tới việc tiêu diệt Ransomware nên có thể thấy giao diện của Bitdefender Anti-Ransomware được đơn giản tới mức tối đa.

Một số cái tên tiêu biểu đại diện cho virus “đòi tiền chuộc” từng bị phát hiện là CTB-Locker, Locky và TeslaCrypt đều ở trong danh sách và phần mềm này sẽ bảo vệ máy tính của bạn theo thời gian thực.

Download Bitdefender Anti-Ransomware miễn phí

2. Malwarebytes Anti-Ransomware

Chắc không ai còn xa lạ gì Malwarebytes Anti-Malware – công cụ giúp tìm và diệt các phần mềm độc hại cực kỳ hiệu quả trên máy tính. Chính từ thành công này mà hãng Malwarebytes tiếp tục cho ra mắt sản phẩm “dành riêng” cho Ransomware nhằm giúp người dùng tránh khỏi sự xâm hại của virus nguy hiểm này.

Có dung lượng lớn hơn Bitdefender Anti-Ransomware một chút, nhưng đây mới là phiên bản Beta, có thể sẽ có những cải tiến về sau. Malwarebytes Anti-Ransomware được tích hợp danh sách các Ransomware khá đầy đủ (như CryptoLocker, CryptoWall, CTBLocker và Tesla…) nên nó sẽ tiến hành vô hiệu hóa bất kỳ loại malware nào đáng nghi ngờ trước khi chúng kịp “đặt chân” vào máy tính.

Tải miễn phí Malwarebytes Anti-Ransomware

Đặc biệt, phần mềm này khá nhẹ, hoạt động tốt và không hề xung đột với các phần mềm diệt virus khác nên người dùng có thể yên tâm cài đặt song song cùng lúc cả Malwarebytes Anti-Ransomware và một phần mềm antivirus khác để đảm bảo an toàn hơn.

3. Trend Micro Enterprise Pattern

Phần mềm có vẻ khá khẩm hơn một chút so với các đối thủ còn lại, Trend Micro Enterprise Pattern có thể nhận diện và tiêu diệt một phần của Ransomware. Tuy nhiên, có lẽ do quá tập trung “chuyên môn” mà hãng đã để phần cài đặt và giải nén file trở nên sơ sài quá mức.

Download free Trend Micro Enterprise Pattern

Nhưng ít nhiều thì đây cũng là một trong những phần mềm hiếm hoi có thể bảo vệ máy tính khỏi ransomware, chúng ta cũng nên thử và chờ đợi nhiều hơn ở những phiên bản chính thức sau này.

Ngoài việc sử dụng công cụ của bên thứ ba, người dùng nên tự tạo thói quen cảnh giác và cẩn thận.

  • Sao lưu dữ liệu cố định và định kỳ (điều quan trọng nhất).
  • Không mở file đính kèm từ các mail lạ.
  • Không khai báo bất kỳ thông tin cá nhân nào với đối tượng gửi không rõ ràng.
  • Thường xuyên quét virus.

 

[ Tổng hợp về WannaCry cho người không biết gì ]

Nguồn Facebook

WannaCry là virus (gọi vậy cho dễ hiểu và thân quen) mà khi nhiễm sẽ mã hóa toàn bộ các file dữ liệu trên máy và tống tiền nên nó được gọi là Ransomware (mã độc tống tiền). Tên khoa học của nó là WannaCrypt
:v
( okie chỉ dân security xài tên này cho dễ gọi, cái WannaCry là tên thằng tác giả malware đặt trong code ). Thằng tác giả biết chơi chữ lắm, mie dính con này là Chỉ có muốn Khóc thoy

Cách lây lan:
1. Thằng cờ hó tác giả con virus này vẫn đang phát tán nó qua phương thức thông thường là nhúng vô các bản crack, nhúng vô các trang web có nhiều người truy cập (trang sếch, trang warez …). Lỡ tay tải về hoặc truy cập các trang linh cmn tinh thì dính.
(Về kỹ thuật thì nó vẫn đang phát tán malware qua các mạng lưới phát tán malware và các exploitkit.)

2. Con WannaCry lây lan mạnh vì nó không chỉ phát tán theo cách truyền thống như trên mà nó còn lây lan qua mạng LAN do tận dụng các công cụ khai thác lỗi SMB mà NSA (Cơ quan an ninh quốc gia Hoa Kỳ) phát triển bí mật, nhưng xui bị nhóm ShadowBroker đánh cắp và tung ra public từ cả tháng trước. Lúc bọn Shadow Broker tung ra các công cụ này thì đám chuyên gia bảo mật đã kháo nhau là thế méo nào cũng sẽ có cảnh khai thác hàng loạt như con Wanna Cry đang làm.

Nói dễ hiểu là nếu một máy trong mạng LAN bị nhiễm WannaCry thì toàn bộ các máy trong mạng LAN cũng có thể ăn shit chung nếu như không được vá lỗi trước đó. Ví dụ: con bé đồng nghiệp xinh vãi lái mà éo biết mie gì xách laptop Windows ra cafe ngồi tải cái mie gì đó để dính, xong mang máy về công ty kêu IT sửa, IT ngu ngơ cắm máy vô mạng mở lên. Bùm xong mie công ty

Vì cách lây lan như trên mà việc thực hiện các bước an toàn như tắt SMBv1 và cập nhật cho Windows bản vá lỗi mới nhất KHÔNG HOÀN TOÀN AN TOÀN . Nó chỉ ngăn việc con virus này nhảy từ máy khác cùng mạng LAN qua máy bạn. Không ngăn việc bạn xui xẻo tải trúng nó từ internet.

Con này chỉ lây lan trên Windows và mạng máy tính Windows, hiện không có phiên bản biến thể nào hoạt động trên Mac và Linux
:v
nói thế cho đỡ đồn linh cmn tinh.

Cách phòng chống:
1. Update bản vá lỗi mới nhất cho Windows. Mấy thằng ngu chỉ người ta tắt Windows Update thì giờ im mie mồm đi. Xài Windows éo update như kiểu ngủ trên đống mìn khi nào nổ éo biết.

2. Disable tính năng SMB bằng cách vô Start, search Windows Features, xong bỏ dấu check chỗ SMB … đi là được.

3. Cập nhật các Antivirus. Hiện Windows Defender, McAfee, Symantec, ESET, Bitdefender … tức mẫy AV nổi tiếng đều đã update WannaCry rồi. Sau khi cập nhật AV thì nhớ bật tính năng bảo vệ Realtime Protection (hoặc tên giống vậy). Để ngăn việc máy tính bị nhiễm.

4. BACKUP DỮ LIỆU QUAN TRỌNG LÀ CÁCH DUY NHẤT CHỐNG RANSOMWARE.
Nhớ backup thường xuyên. Cá nhân thì mua 1 ổ cứng di động (giờ giá rẻ bèo, 1TB có 1 triệu rưởi chứ mấy), copy dữ liệu quan trọng ra 1 bản bỏ vô ổ cứng rồi cất đi. Không cắm thường xuyên vô máy, cần mới cắm vô backup hoặc lấy dữ liệu ra.

5. Nên dùng các dịch vụ Cloud Drive như Google Drive, OneDrive, DropBox để thường xuyên sync (đồng bộ) dữ liệu lên Mây (Cloud). Giá của các dịch vụ này rẻ, Google Drive free 15GB, và bán 100 GB có 45 ngàn VND 1 tháng, hoặc 250 ngàn cho 1000 GB (1TB). Hoặc mua mie Google Enterprise giá có 15$/tháng nhưng Unlimited :v
Tại sao nên xài dịch vụ Cloud Drive ?
Lỡ dính ransomware thì nó vẫn mã hóa file trên máy và mấy cái tool sync của mấy dịch vụ này vẫn sync bản dữ liệu bị mã hóa lên máy chủ, NHƯNG bọn Cloud này có hỗ trợ tính năng File Versions. Tức là 1 file bạn backup trên Cloud thì mấy dịch vụ này nó sẽ lưu cho bản 30 bản khác nhau của 30 ngày gần nhất của cái file. Tức là bạn có thể tải về bất kỳ phiên bản cũ nào của cái file đã bị ransomware nó ăn

Cách xử lý khi bị nhiễm Ransomware WannaCry:

1. Ngắt ngay lập tức các máy tính bị nhiễm khỏi mạng LAN, tránh để nó lây lan qua các máy khác

2. Trả tiền cho thằng tác giả WannaCry để nó đưa mật mã giải mã file là quyết định của bạn. Hiện chưa có báo cáo nào về việc chúng nó có đưa mã giải mã hay không 🙁 Hiện chỉ mới có 160 giao dịch trị giá khoảng 300.000$ được gửi tới cái địa chỉ BitCoin mà thằng tác giả nó cung cấp. Nó đòi 2 BitCoin tức tương đương 80 triệu VND đồng đó 🙁 éo rẻ đâu.

3. Hiện có thông tin là con WannaCry có lỗi trong cách thức nó mã hóa dữ liệu, nên các chuyên gia bảo mật đang thử tìm cách khai thác và viết công cụ giải mã. Nên nếu dữ liệu quá quan trọng thì có thể cất ổ cứng đi chờ công cụ được cung cấp. Con này nó ảnh hướng quá nên giới chuyên gia sẽ để tâm và công sức làm tool giải mã.

4. Còn không có gì để mất thì format toàn bộ ổ cứng và cài lại win
:v
thì sẽ sạch, nhớ là chỉ FORTMAT TOÀN BỘ Ổ CỨNG thì mới sạch chứ chỉ format ổ C rồi cài lại thì méo sạch đâu

Đó đơn giản dễ hiểu vậy thôi. BACKUP NGAY ĐI TRƯỚC KHI BỊ DÍNH RANSOMWARE !!!

Nhớ bấm SHARE bài này đi để mọi người đỡ đồn đoán rồi lo lắng linh tinh.

xnohat

Update 1: có tin đồn là WannaCry đã ra tới phiên bản 4.0 . Thằng tác giả con này moá nó update nhanh như choá.
https://www.bleepingcomputer.com/…/with-the-success-of-wan…/

P/s:
Mấy bạn thích kỹ thuật thì có thể đọc bài này, phân tích kỹ thuật chuyên sâu về con WannaCry https://www.endgame.com/…/wcrywanacry-ransomware-technical-…

Vụ này ngay từ hôm đầu nó lây lan thì trong group HVA Online đã bàn về con này chuyên sâu về mặt kỹ thuật rồi.

Ransomware là vấn nạn 3 năm nay rồi, giờ mới có con nó lan nhanh quá nên chúng dân mới để ý chứ trước giờ nạn nhân của ransomware nhiều không kể xiết rồi. Hàng tỉ tỉ đô mất đi vì bọn ransomware này rồi

ĐỂ LẠI PHẢN HỒI CỦA BẠN TẠI ĐÂY

Phản hồi về bài viết này

NO COMMENTS

LEAVE A REPLY


*