Cảnh báo khẩn về Mã độc tống tiền Wanna Crypt0r

Cập nhật ngày: 14/05/2017
        Xem với cỡ chữ    

(ictdanang) - Vào lúc 18h hôm nay (14/5), Ban Quản trị Hệ thống Email công vụ TP Đà Nẵng đã có cảnh báo khẩn về một cuộc tấn công mạng máy tính quy mô lớn, đã và đang diễn ra trên phạm vi toàn cầu. Cuộc tấn công được thực hiện bỡi mã độc có tên là Wanna Crypt0r, với mục tiêu nhằm vào hệ thống các máy vi tính của các tổ chức, cá nhân để mã hóa dữ liệu và đòi tiền chuộc.

Theo tìm hiểu của ICT Đà Nẵng,từ sáng hôm qua (thứ Bảy ngày 13/5/2017), Công ty An ninh mạng Bkav cũng đã công bố ghi nhận đầu tiên về những trường hợp lây nhiễm mã độc này tại Việt Nam.

Công ty An ninh mạng Bkav cũng tiên lượng: Con số này có thể tiếp tục tăng vì 2 ngày nghỉ cuối tuần, rất nhiều máy tính không làm việc. Ngày đầu tuần đi làm trở lại, Virus có thể bùng phát. Tại Đà Nẵng, phóng viên ICT Đà Nẵng cũng đã liên hệ với Ban Quản trị Hệ thống Email công vụ TP Đà Nẵng và được biết, tại một số đơn vị đã ghi nhận được hiện tượng Wanna Crypt0r tấn công vào máy tính. Tuy nhiên, chưa xảy ra các thiệt hại. Việc khống chế đã được triển khai tốt.    

Trên quy mô toàn cầu, mã độc tống tiền (ransomware) Wanna Crypt0r chỉ trong vài giờ phát tán qua đã lây nhiễm hơn 100.000 máy tính tại 74 quốc gia trên thế giới. Toàn bộ hệ thống giám sát virus của nhiều Công ty, Tập đoàn chuyên về an ninh-an toàn mạng và thông tin vẫn đang theo dõi sát sao diễn biến đáng lo ngại này.

Tại Việt Nam, các chuyên gia Bkav nhận định: Đã lâu rồi mới lại xuất hiện loại virus phát tán rộng qua Internet, kết hợp với khai thác lỗ hổng để lây trong mạng LAN. Các virus tương tự trước đây chủ yếu được hacker sử dụng để "ghi điểm" chứ không mang tính chất phá hoại, kiếm tiền trực tiếp.

Wanna Crypt0r có thể xếp vào mức nguy hiểm cao nhất vì vừa lây lan nhanh, lại vừa có tính phá hoại nặng nề.
 

Cuộc tấn công của Wanna Crypt0r được xác định là thành công khi cửa sổ (hình trên) hiện ra trên máy tính của bạn, yêu cầu bạn muốn chuộc lại dữ liệu bị đánh cắp, phải trả tiền chuộc dữ liệu bằng Bitcoin.

- Nguồn ảnh minh họa: http://congnghe.nld.com.vn/ict-world


Để ngăn ngừa các rủi ro và sự cố, Ban Quản trị Hệ thống Email công vụ TP Đà Nẵng cũng có hướng dẫn chi tiết dành cho CBCCVC đang dùng Hệ thống mail công vụ TP Đà Nẵng. Đây là những hướng dẫn đáng lưu tâm và cần được thực hiện ngay theo các bước của biện pháp xử lý khẩn cấp mã độc:

* Đối với cá nhân:


- Thực hiện cập nhật ngay các phiên bản hệ điều hành windows đang sử dụng. Riêng đối với các máy tính sử dụng Windows XP, sử dụng bản cập nhật mới nhất dành riêng cho sự vụ này tại: https://www.microsoft.com/en-us/download/details.aspx?id=55245&WT.mc_id=rss_windows_allproducts hoặc tìm kiếm theo từ khóa bản cập nhật KB4012598 trên trang chủ của Microsoft.

- Cập nhật ngay các chương trình Antivius đang sử dụng. Đối với các máy tính không có phần mềm Antivirus cần tiến hành cài đặt và sử dụng ngay một phần mềm Antivirus có bản quyền.

- Cẩn trọng khi nhận được email có đính kèm và các đường link lạ được gửi trong email, trên các mạng xã hội, công cụ chat…

- Cần thận trọng khi mở các file đính kèm ngay cả khi nhận được từ những địa chỉ quen thuộc. Sử dụng các công cụ kiểm tra phần mềm độc hại trực tuyến hoặc có bản quyền trên máy tính với các file này trước khi mở ra.

- Không mở các đường dẫn có đuôi .hta hoặc đường dẫn có cấu trúc không rõ ràng, các đường dẫn rút gọn link.
- Thực hiện biện pháp lưu trữ (backup) dữ liệu quan trọng ngay.

* Đối với quản trị viên hệ thống

- Cảnh báo tới người dùng trong tổ chức và thực hiện các biện pháp như nêu trên (dành cho cá nhân) đối với người dùng.

- Kiểm tra ngay lập tức các máy chủ và tạm thời khóa (block) các dịch vụ đang sử dụng các cổng 445/137/138/139.

- Tiến hành các biện pháp cập nhật sớm, phù hợp theo từng đặc thù cho các máy chủ windows của tổ chức. Tạo các bản Snapshot đối với các máy chủ ảo hóa đề phòng việc bị tấn công.

- Thực hiện biện pháp lưu trữ (backup) dữ liệu quan trọng ngay.

- Có biện pháp cập nhật các máy trạm đang sử dụng hệ điều hành Windows.

- Cập nhật cơ sở dữ liệu cho các máy chủ Antivirus Endpoint đang sử dụng. Đối với hệ thống chưa sử dụng các công cụ này thì cần triển khai sử dụng các phần mềm Endpoint có bản quyền và cập nhật mới nhất ngay cho các máy trạm.

- Tận dụng các giải pháp đảm bảo an toàn thông tin đang có sẵn trong tổ chức như Firewall, IDS/IPS, SIEM…để theo dõi, giám sát và bảo vệ hệ thống trong thời điểm nhạy cảm này. Cập nhật các bản cập nhật từ các hãng bảo mật đối với các giải pháp đang có sẵn. Thực hiện ngăn chặn, theo dõi domains đang được mã độc WannaCry sử dụng, để là xác định được các máy tính bị nhiễm trong mạng để có biện pháp xử lý kịp thời: http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/

- Cân nhắc việc ngăn chặn (block) việc sử dung Tor trong mạng của doanh nghiệp, tổ chức.

Cá nhân hay Quản trị viên cần liên hệ ngay với các cơ quan chức năng cũng như các tổ chức, doanh nghiệp trong lĩnh vực an toàn thông tin để được hỗ trợ khi cần thiết.
Theo chuyên trang Công nghệ (Thế giới @-báo Người lao động TP Hồ Chí Minh), Wanna Crypt0r thực hiện tấn công vào máy nạn nhận qua file đính kèm email hoặc link độc hại, như các dòng ransomware khác.

Tuy nhiên, mã độc này được bổ sung khả năng lây nhiễm trên các máy tính ngang hàng (LAN).

Cụ thể, Wanna Crypt0r sẽ quét toàn bộ các máy tính trong cùng mạng để tìm kiếm thiết bị chứa lỗ hổng EternalBlue của dịch vụ SMB (trên hệ điều hành Windows). Từ đó, mã độc có thể lây lan vào các máy có lỗ hổng mà không cần người dùng phải thao tác trực tiếp với file đính kèm hay link độc hại.

Hiện tại, máy tính ở hàng ngàn địa điểm khác nhau trên thế giới đã bị khóa bởi WannaCryp0t và các nạn nhân được yêu cầu nộp số tiền chuộc là 300 tiền ảo Bitcoin để mở khóa. Nạn nhân chỉ có 3 ngày để nộp tiền chuộc, sau 3 ngày giá tiền sẽ tăng gấp đôi, còn sau 7 ngày nếu vẫn không trả tiền, các dữ liệu đó sẽ vĩnh viễn không thể phục hồi nữa.

Các chuyên gia Công ty An ninh mạng Bkav, cảnh báo: Kiểu lây nhiễm của mã độc Wanna Cprypt0r tuy không mới, nhưng cho thấy xu hướng tận dụng các lỗ hổng mới để tấn công, kiếm tiền sẽ còn được hacker sử dụng nhiều trong thời gian tới, đặc biệt là các lỗ hổng của hệ điều hành. Ngày từ năm 2016, hệ thống giám sát virus của Bkav đã ghi nhận có tới 16% lượng email lưu chuyển phát tán mã độc tống tiền.

Thanh Liêm thực hiện

In Quay lại chia sẻ bài viết
Từ khóa:

Các tin khác