Kiến thức về cơ chế làm việc của ransomware wannacry sau khi lây nhiễm vào
Video đang hot
WannaCry là gì?
WannaCry là một loại mã độc tống tiền ( ransomware ), với những tên gọi khác nhau như WannaCrypt0r 2.0 hay WCry. Phần mềm ô nhiễm này mã hóa dữ liệu của máy tính và ngăn cản người dùng truy vấn tài liệu trên đó cho đến khi tin tặc nhận được tiền chuộc. Các chuyên viên cho rằng, mã độc này nguy khốn vì, nó tương hỗ tin tặc “ giữ ” tài liệu của người dùng làm “ con tin ” để tống tiền những cá thể hoặc tổ chức triển khai / doanh nghiệp. Việc làm này được cho là hiệu suất cao hơn việc đánh cắp hoặc xóa đi tài liệu trên máy tính .
Bạn đang xem : chính sách thao tác của ransomware wannacry sau khi lây nhiễm vào
Cơ chế hoạt động của WannaCry
Bạn đang đọc: Kiến thức về cơ chế làm việc của ransomware wannacry sau khi lây nhiễm vào
Khi được setup vào máy tính, WannaCry sẽ tìm kiếm những tập tin ( thường thì là những tập tin văn bản ) trong ổ cứng và mã hóa chúng, sau đó để lại cho chủ sở hữu một thông tin nhu yếu trả tiền chuộc nếu muốn giải thuật tài liệu. Mã độc WannaCry khai thác lỗ hổng của hệ quản lý và điều hành Windows mà Cơ quan An ninh Quốc gia Mỹ ( NSA ) đã nắm giữ. Tội phạm mạng đã sử dụng chính những công cụ của NSA để phát tán và lây lan mã độc .
Khi bị nhiễm mã độc WannaCry, người dùng sẽ khó phát hiện, cho đến khi nhận được thông tin cho biết máy tính đã bị khóa và những tập tin đã bị mã hóa. Để Phục hồi tài liệu, người dùng cần phải trả một khoản tiền ảo Bitcoin trị giá khoảng chừng 300 USD cho kẻ tiến công. Sau 3 ngày chưa giao dịch thanh toán, mức tiền chuộc sẽ tăng lên gấp đôi và sau thời hạn 7 ngày, tài liệu của người dùng sẽ bị mất. Màn hình của máy tính bị nhiễm WannaCry sẽ hiển thị rất đầy đủ thông tin để người dùng giao dịch thanh toán, chạy đồng hồ đeo tay đếm ngược thời hạn và được biểu lộ bằng 28 ngôn từ khác nhau .
.jpg)
Cách WannaCry lây nhiễm trên diện rộng
WannaCry có 2 phương pháp lây lan chính :
Cách 1 : Phát tán qua phương pháp thường thì là đính kèm vào những bản “ bẻ khóa ” của ứng dụng rồi san sẻ lên những website có nhiều người truy vấn. Mục đích là để người dùng tải về và kích hoạt hoặc truy vấn vào những website ô nhiễm để lây nhiễm mã độc. Về mặt kỹ thuật, WannaCry phát tán qua những mạng lưới phát tán mã độc và bộ khai thác Exploit Kit .
Cách 2 : Lây lan qua mạng LAN bằng cách khai thác những lỗ hổng EternalBlue của dịch vụ SMB mà NSA tăng trưởng bí hiểm, nhưng sau đó đã bị nhóm tin tặc ShadowBroker đánh cắp và phát hành công khai minh bạch. Cách này đã làm cho WannaCry lây lan một cách nhanh gọn trên toàn quốc tế .
Nhiều quốc gia bị tấn công liên tục
Cuộc tiến công mã độc này đã làm tác động ảnh hưởng đến hàng triệu người dùng. Theo số liệu được công bố trên kênh truyền hình Đài truyền hình BBC của Anh, chỉ trong thời hạn ngắn, cuộc tiến công này đã gây tác động ảnh hưởng tới hơn 150 vương quốc trên quốc tế, khiến khoảng chừng 200 nghìn mạng lưới hệ thống mạng bị ảnh hưởng tác động, trong đó có Nước Ta. Đây được coi là một trong những cuộc tiến công mạng gây thiệt hại lớn nhất từ trước tới nay .
Mạng lưới dịch vụ y tế vương quốc Anh ( NHS ) bị tê liệt trên quy mô lớn vào ngày 12/5/2017 khi bị tiến công bởi mã độc WannaCry. Vụ tiến công gây trộn lẫn những hoạt động giải trí của NHS trong việc chăm nom sức khỏe thể chất những bệnh nhân. Cơ sở tài liệu của mạng lưới NHS bị ngừng hoạt động, những nhân viên cấp dưới y tế không hề truy vấn đến tài liệu của những bệnh nhân. Lịch hẹn của rất nhiều bệnh nhân đều bị hủy bỏ. Tin tặc nhu yếu mạng lưới này phải trả 230 bảng Anh cho mỗi máy tính để mở khóa và trong thời hạn 7 ngày, nếu không chi trả, những tài liệu sẽ bị xóa. Ngày 13/5/2017, nhà nước Anh công bố, 97 % cơ sở thuộc mạng lưới NHS đã được Phục hồi và NHS đã hoạt động giải trí trở lại thông thường .
Đức, Nga, Tây Ban Nha, Mỹ … là những vương quốc cũng bị ảnh hưởng tác động nặng nề bởi những cuộc tiến công mạng trên quy mô lớn. Tại Đức, mã độc này tiến công vào ngành đường tàu gây ảnh hưởng tác động cho 1 số ít nhà ga và quầy bán vé. Tại Nga, mã độc này đã tiến công mạng lưới hệ thống công nghệ thông tin ngành đường tàu, nhưng chưa gây ảnh hưởng tác động đến quản lý và vận hành. Mã độc này cũng lây nhiễm vào 1 số ít ngân hàng nhà nước ở Nga, nhưng chưa có phát hiện nào cho thấy rò rỉ thông tin dữ liệu người mua .
Riêng với Tây Ban Nha, mã độc này đã nhằm mục đích đến một hãng viễn thông lớn là Telefonica, tác động ảnh hưởng đến một số ít máy tính của nhà mạng này. Tuy vậy, đại diện thay mặt hãng này cho biết, vụ tiến công vẫn chưa tác động ảnh hưởng đến thông tin dữ liệu của người mua .
Theo map theo dõi những vùng bị WannaCry tiến công do Intel lập, những vương quốc bị tác động ảnh hưởng nghiêm trọng gồm có những nước thuộc khu vực ở Châu Âu, Mỹ và Trung Quốc …. Tại Nước Ta, TP.HN và TP. Hồ Chí Minh cũng Open trên map khu vực bị ảnh hưởng tác động .
Xem thêm : Cách sửa lỗi Scratch disk trong Photoshop trên Windows 10 – Sen Tây Hồ
Ngày 13/5/2017, Trung tâm Ứng cứu khẩn cấp máy tính Nước Ta ( VNCERT ) đã có công văn gửi những đơn vị chức năng chuyên trách về bảo đảm an toàn thông tin về việc theo dõi, ngăn ngừa liên kết sever tinh chỉnh và điều khiển mã độc WannaCry .
Ngày 16/5/2017, theo thống kê từ Hệ thống giám sát virus của Bkav, tại Nước Ta đã có hơn 1.900 máy tính bị lây nhiễm mã độc tống tiền WannaCry. Trong đó, gần 1.600 máy tính được ghi nhận thuộc 243 tổ chức triển khai, doanh nghiệp và gần 300 máy tính là của người sử dụng cá thể .
Các chuyên viên Bkav cho biết, với khoảng chừng 52 % máy tính tại Nước Ta ( tức gần 4 triệu máy tính ) chưa được vá lỗ hổng EternalBlue, những máy tính này hoàn toàn có thể bị nhiễm WannaCry nếu tin tặc lan rộng ra việc tiến công .
Cảnh báo và khuyến nghị
Trung tâm Công nghệ thông tin và Giám sát bảo mật an ninh mạng, Ban Cơ yếu nhà nước đã đưa ra hướng dẫn cách ngăn ngừa và giảm thiểu thiệt hại do WannaCry gây ra như sau :
Đối với cá nhân:
– Thực hiện update hệ quản lý và điều hành Windows đang sử dụng. Riêng so với những máy tính sử dụng Windows XP, sử dụng bản update mới nhất dành riêng cho phiên bản này, hoặc tìm kiếm theo từ khóa bản update KB4012598 trên trang chủ của Microsoft .
– Cập nhật những chương trình antivius đang sử dụng. Đối với những máy tính chưa có ứng dụng antivirus cần triển khai thiết lập và sử dụng ngay một ứng dụng antivirus có bản quyền .
– Cẩn trọng khi nhận được email có đính kèm và những đường dẫn lạ được gửi trong email, trên những mạng xã hội, công cụ chat … .
– Cần thận trọng khi mở những tệp tin đính kèm tệp ngay cả khi nhận được từ những địa chỉ quen thuộc. Sử dụng những công cụ kiểm tra ứng dụng ô nhiễm trực tuyến hoặc có bản quyền trên máy tính với những file này trước khi mở chúng .
– Không mở những đường dẫn có đuôi. hta hoặc đường dẫn có cấu trúc không rõ ràng, những đường dẫn rút gọn .
– Thực hiện giải pháp sao lưu ( dự trữ ) tài liệu quan trọng .
Đối với tổ chức, doanh nghiệp:
Các quản trị viên mạng lưới hệ thống cần thực thi những nội dung sau :
– Kiểm tra các máy chủ và tạm thời khóa (block) các dịch vụ đang sử dụng các cổng 445/137/138/139.
Xem thêm: Hướng dẫn cài đặt phần mềm nghe lén điện thoại miễn phí
– Tiến hành những giải pháp update sớm, tương thích theo đặc trưng những sever Windows của tổ chức triển khai. Tạo những bản snapshot so với những sever ảo đề phòng việc bị tiến công .
Tham khảo thêm : Đánh giá về ppi là gì | Sen Tây Hồ
– Có giải pháp update những máy trạm đang sử dụng hệ quản lý Windows .
– Cập nhật cơ sở tài liệu cho những sever Antivirus Endpoint đang sử dụng. Đối với mạng lưới hệ thống chưa sử dụng những công cụ này thì cần tiến hành sử dụng những ứng dụng Endpoint có bản quyền và update ngay cho những máy trạm .
– Tận dụng những giải pháp bảo vệ bảo đảm an toàn thông tin đang có sẵn trong tổ chức triển khai như Firewall, IDS / IPS, SIEM … để theo dõi, giám sát và bảo vệ mạng lưới hệ thống trong thời gian nhạy cảm này. Cập nhật những bản vá từ những hãng bảo mật thông tin so với những giải pháp đang có sẵn. Thực hiện ngăn ngừa, theo dõi những tên miền được mã độc WannaCry sử dụng để xác lập được những máy tính bị nhiễm trong mạng để có giải pháp giải quyết và xử lý kịp thời .
– Thực hiện những giải pháp tàng trữ tài liệu quan trọng .
– Liên hệ với những cơ quan chức năng cũng như những tổ chức triển khai, doanh nghiệp trong nghành bảo đảm an toàn thông tin để được tương hỗ khi thiết yếu .
Công cụ giải mã Wannacry miễn phí
Chìa khóa giải mã WannaCry
Adrien Guinet, một chuyên gia bảo mật người Pháp đã phát hiện ra cách không lấy phí để lấy lại những tài liệu đã bị WannaCry mã hóa. Công cụ này hoạt động giải trí trên những nền tảng Windows XP, Windows 7, Vista, Windows Server 2003 và Windows 2008 .
Lược đồ mã hóa của WannaCry hoạt động giải trí bằng cách tạo ra một cặp khóa trên máy tính của nạn nhân, dựa trên những số nguyên tố. Cặp này gồm một khóa công khai minh bạch và một khóa cá thể để mã hóa và giải thuật những tài liệu mạng lưới hệ thống trên máy tính .
Nhằm ngăn ngừa nạn nhân tìm được khóa cá thể để tự mở khóa những tệp tin bị khóa, WannaCry đã gỡ bỏ chìa khóa này khỏi mạng lưới hệ thống khiến nạn nhân không hề tiếp cận việc giải thuật, buộc phải trả tiền cho kẻ tiến công để được trả lại tài liệu .
Theo Guinet, WannaCry sẽ không xóa những số nguyên tố khỏi bộ nhớ trước khi ngừng hoạt động bộ nhớ link. Dựa trên phát hiện này, Guinet đã tạo được công cụ giải thuật WannaCry mang tên WannaKey. Chương trình sẽ tìm mọi cách để trích xuất được cặp nhóm số nguyên tố được sử dụng trong công thức tạo mã từ bộ nhớ .
Tuy nhiên, để chiêu thức này hiệu suất cao cần hai điều kiện kèm theo : máy tính của nạn nhân chưa khởi động lại lần nào kể từ lần nhiễm mã độc và bộ nhớ link chưa bị xóa hay định dạng lại .
Công cụ giải mã WannaCry – WanaKiwi
Benjamin Delpy, một lập trình viên cũng đã tạo ra được công cụ giải thuật WannaCry dễ sử dụng, có tên là WannaKiwi, dựa trên những phát hiện của Guinet, giúp đơn giản hóa quy trình giải thuật những tệp tin bị WannaCry mã hóa .
Công cụ này được cung ứng không tính tiền cho những nạn nhân tải về máy, thiết lập và chạy trên những máy nhiễm mã độc trải qua giao diện dòng lệnh cmd .
Các chuyên gia bảo mật cũng chú ý quan tâm, công cụ trên tuy không hiệu suất cao với tổng thể những máy, nhưng vẫn là giải pháp mang đến kỳ vọng cho những nạn nhân của WannaCry để lấy lại tài liệu .
Tham khảo thêm : Tìm hiểu ship cod nghĩa là gì
Xem thêm: Mơ thấy số 6 đánh con gì? Giải mã giấc mơ thấy số 6
Bạn thấy bài viết thế nào ?
Source: https://blogthuvi.com
Category: Blog