Tổng quan về virus Wannacry - Mã độc nguy hiểm nhất thế giới

Phần mềm WannaCry hay còn gọi là phần mềm virus tống tiền đã tấn công chớp nhoáng khiến khoảng 75.000 máy tính trên 99 quốc gia bị nhiễm mã độc.

Hôm 12/5, một cuộc tấn công mạng quy mô lớn, dường như sử dụng các công cụ đánh cắp từ Cơ quan an ninh quốc gia Mỹ (NSA), đã ảnh hưởng tới một loạt các quốc gia khắp thế giới, với khoảng 75.000 máy tính bị nhiễm mã độc WannaCry.

Các nguồn tin cho biết, vụ tấn công mạng diễn ra trên quy mô toàn cầu, ảnh hưởng tới 99 quốc gia, trong đó có Anh, Mỹ, Trung Quốc, Nga, Tây Ban Nha, Italy và vùng lãnh thổ Đài Loan.

WannaCry là gì?

WannaCry là một dạng phần mềm "tống tiền" theo phương thức khóa các dữ liệu trên máy tính của người dùng, sau đó mã hóa chúng khiến người sử dụng không thể truy cập các dữ liệu đó được nữa.

WannaCry không chỉ là một phần mềm virus tống tiền, nó còn được coi là một loại "sâu" máy tính. (Ảnh minh họa: Global Look Press).

WannaCry phát tán ra sao?

Phần mềm virus tống tiền là một chương trình xâm nhập vào máy tính của người dùng thông qua các thao tác như click vào một đường link hay tải xuống một đường link có chứa mã độc. Phần mềm này sau đó sẽ khống chế máy tính và đòi một khoản tiền chuộc từ người dùng.

Với WannaCry, phần mềm này mã hóa dữ liệu của người dùng, yêu cầu người dùng phải trả tiền chuộc bằng tiền ảo Bitcoin để có thể truy cập trở lại các dữ liệu đã bị mã hóa.

Tuy nhiên, các chuyên gia an ninh cảnh báo, ngay cả khi người dùng chấp nhận trả tiền chuộc, chưa chắc họ đã có thể truy cập trở lại các dữ liệu của mình. Một số phần mềm tống tiền sẽ tiếp tục mã hóa dữ liệu thêm vài ngày để đòi thêm tiền chuộc hoặc nếu không các dữ liệu sẽ bị xóa.

Hình thức tấn công có thể xảy ra theo nhiều phương thức khác nhau, có những phần mềm tống tiền sẽ tiến hành khống chế toàn bộ máy tính và chỉ để lại một tin nhắn đòi tiền chuộc. Trong khi đó, có những hình thức khác như tạo ra các pop-up mà người dùng khó hoặc không thể tắt đi, từ đó khiến máy tính khó hoặc không thể sử dụng được.

WannaCry nguy hiểm tới mức nào?

WannaCry không chỉ là một phần mềm virus tống tiền, nó còn được coi là một loại "sâu" máy tính. Hay nói cách khác, nó có thể xâm nhập vào máy tính của người dùng, sau đó tìm kiếm kết nối thêm với các máy tính khác để lan truyền mã độc càng nhiều càng tốt.

Phần mềm tống tiền này luôn thay đổi để có nhiều cách đột nhập vào hệ thống máy tính hoặc để đối phó với các phần mềm an ninh.

Một số công ty an ninh mạng cảnh báo, WannaCry tận dụng lỗ hổng an ninh trong các hệ thống của Microsoft mà Cơ quan an ninh quốc gia Mỹ (NSA) phát hiện ra. NSA và Microsoft hiện chưa đưa ra bình luận sau sự cố.

Phần mềm tống tiền này luôn thay đổi để có nhiều cách đột nhập vào hệ thống máy tính.

Các phần mở rộng mà mã độc nhắm tới để mã hóa gồm các nhóm định dạng sau:

1. Các phần mở rộng tập tin văn phòng thông thường được sử dụng (.ppt, .doc, .docx, .xlsx, .sxi).
2. Các định dạng văn phòng ít phổ biến và đặc thù của quốc gia (.sxw, .odt, .hwp).
3. Lưu trữ, tập tin phương tiện (.zip, .rar, .tar, .bz2, .mp4, .mkv)
4. Email và cơ sở dữ liệu email (.eml, .msg, .ost, .pst, .edb).
5. Các tập tin cơ sở dữ liệu (.sql, .accdb, .mdb, .dbf, .odb, .myd).
6. Mã nguồn và tập tin dự án của nhà phát triển (.php, .java, .cpp, .pas, .asm).
7. Khóa và chứng chỉ mã hóa (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
8. Các tác giả thiết kế đồ hoạ, tác giả và nhiếp ảnh gia (.vsd, .odg, .raw, .nf, .svg, .psd).
9. Tập tin máy ảo (.vmx, .vmdk, .vdi).

Theo các chuyên gia bảo mật, với sự cố mã độc tống tiền WannaCry và nếu đã bị lây nhiễm thì người dùng nên theo dõi trang web www.nomoreransom.org - là dự án với sự liên minh của các cơ quan chức năng, nhiều hãng bảo mật danh tiếng thế giới như Intel Security, Kaspersky Lab, Trend Micro,... tham gia. Thông thường, khi có công cụ giải mã một chủng loại mã độc tống tiền nào đó sẽ được các chuyên gia chia sẻ trên trang web này.

Cách phòng chống mã độc tống tiền WannaCry

• Đảm bảo rằng tất cả các máy tính đã được cài đặt phần mềm bảo mật và đã bật các thành phần chống phần mềm tống tiền.
• Cài đặt bản vá chính thức (MS17-010) từ Microsoft tại đây, nhằm vá lỗ hổng SMB Server bị khai thác trong cuộc tấn công này.
• Đối với Windows XP (là hệ điều hành đã bị khai tử từ năm 2014) và Windows Server 2003, người dùng có thể tải bản vá lỗi bảo mật tại đây.
• Thực hiện quét hệ thống (Critical Area Scan) có trong các giải pháp của Kaspersky Lab để phát hiện các lây nhiễm nhanh nhất (nếu không các lây nhiễm sẽ được phát hiện tự động nhưng sau 24 giờ)
• Tiến hành sao lưu dữ liệu thường xuyên vào các nơi lưu trữ không kết nối với Internet.

Bên cạnh đó, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) cũng đã yêu cầu các cơ quan, đơn vị cần theo dõi, ngăn chặn kết nối đến các máy chủ điều khiển mã độc WannaCry và cập nhật vào các hệ thống bảo vệ như: IDS/IPS, Firewall ... những thông tin nhận dạng về loại mã độc tống tiền mới này, bao gồm 33 địa chỉ IP các máy chủ điều khiển mã độc (C&C Server); 10 tệp tin và 22 mã băm (Hash SHA-256).

• Cục An toàn thông tin hướng dẫn cách xử lý khẩn cấp mã độc tống tiền WannaCry

Từ khóa liên quan:

Phần mềm WannaCry

phần mềm virus tống tiền

mã độc

tấn công mạng

mã hóa dữ liệu

dữ liệu trên máy tính

phần mềm tống tiền

ransomware

Loading...