Kaspersky Lab đã ngăn chặn thành công WannaCry

Kaspersky Lab đã phân tích dữ liệu và xác nhận rằng đã phát hiện ít nhất 45.000 cuộc tấn công tại 74 quốc gia, phần lớn xảy ra tại Nga.

Mã độc tống tiền lây nhiễm vào máy tính của nạn nhân bằng cách khai thác lỗ hổng của Microsoft Windows được mô tả và vá lỗi tại Microsoft Security Bulletin MS17-010. Việc khai thác sử dụng “Eternal Blue” đã được công bố trong Shadowbrokers dump vào ngày 14/04 vừa qua.

 

Trước khi các thông tin gây chấn động về mã độc này được báo chí đề cập thì các sản phẩm của Kaspersky Lab đã phát hiện và ngăn chặn thành công một số lượng lớn các cuộc tấn công ransomware trên khắp thế giới. Trong các cuộc tấn công này, dữ liệu được mã hóa với phần mở rộng “.WCRY” được thêm vào tên tập tin.

Các giải pháp bảo mật của Kaspersky Lab đã phát hiện được các mã độc tống tiền liên quan đến WannaCry, bảo vệ người dùng cá nhân và doanh nghiệp an toàn trước sự bùng phát nguy hiểm.

Thành phần System Watcher (Giám sát hệ thống) có trong giải pháp Kaspersky Internet Security cho người dùng cá nhân và Kaspersky Security for Business là lá chắn then chốt để bảo vệ dữ liệu của người dùng trước sự tấn công của WannaCry hay bất kỳ phần mềm tống tiền nào. System Watcher có khả năng phục hồi lại trạng thái ban đầu những thay đổi được thực hiện bởi phần mềm tống tiền trong trường hợp một mẫu độc hại đã vượt qua các lớp phòng thủ khác.

Ngoài ra, công nghệ Intrusion Detection có trong các giải pháp của Kaspersky Lab có thể chặn đứng sự lây nhiễm của WannaCry từ cấp độ mạng.

Các phát hiện của Kaspersky Lab liên quan đến WannaCry gồm:

  • Trojan-Ransom.Win32.Scatter.uf
  • Trojan-Ransom.Win32.Scatter.tr
  • Trojan-Ransom.Win32.Fury.fr
  • Trojan-Ransom.Win32.Gen.djd
  • Trojan-Ransom.Win32.Wanna.b
  • Trojan-Ransom.Win32.Wanna.c
  • Trojan-Ransom.Win32.Wanna.d
  • Trojan-Ransom.Win32.Wanna.f
  • Trojan-Ransom.Win32.Zapchast.i
  • Trojan.Win64.EquationDrug.gen
  • Trojan.Win32.Generic

Các phần mở rộng mà mã độc nhắm tới để mã hóa gồm các nhóm định dạng:

  • Tập tin văn phòng thông thường (.ppt, .doc, .docx, .xlsx, .sxi).
  • Các định dạng văn phòng ít phổ biến và đặc thù của quốc gia (.sxw, .odt, .hwp).
  • Các tập tin lưu trữ (.zip, .rar, .tar, .bz2, .mp4, .mkv)
  • Email và cơ sở dữ liệu email (.eml, .msg, .ost, .pst, .edb).
  • Các tập tin cơ sở dữ liệu (.sql, .accdb, .mdb, .dbf, .odb, .myd).
  • Mã nguồn và tập tin dự án của nhà phát triển (.php, .java, .cpp, .pas, .asm).
  • Khóa và chứng chỉ mã hóa (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
  • Các tập tin thiết kế đồ hoạ (.vsd, .odg, .raw, .nf, .svg, .psd).
  • Tập tin máy ảo (.vmx, .vmdk, .vdi).

Các chuyên gia của Kaspersky Lab hiện đang tiếp tục làm việc về khả năng tạo ra một công cụ giải mã để giúp đỡ các nạn nhân. Người dùng có thể theo dõi website www.nomoreransom.org để tìm kiếm công cụ giải mã phù hợp.

Cách thức phòng chống mã độc WannaCry:

  • Đảm bảo rằng tất cả các máy tính đã được cài đặt phần mềm bảo mật và đã bật các thành phần chống phần mềm tống tiền (ransomware).
  • Cài đặt bản vá chính thức (MS17-010) từ Microsoft nhằm vá lỗ hổng SMB Server bị khai thác trong cuộc tấn công này.
  • Đảm bảo rằng các sản phẩm của Kaspersky Lab đã bật thành phần System Watcher (trạng thái Enable)
  • Thực hiện quét hệ thống (Critical Area Scan) có trong các giải pháp của Kaspersky Lab để phát hiện các lây nhiễm nhanh nhất (nếu không các lây nhiễm sẽ được phát hiện tự động nhưng sau 24 giờ)
  • Nếu phát hiện có tấn công từ phần mềm độc hại như tên gọi MEM: Trojan.Win64.EquationDrug.gen thì cần reboot lại hệ thống.
  • Một lần nữa, chắc chắn bản vá MS17-010 được cài đặt.
  • Tiến hành sao lưu dữ liệu thường xuyên vào các nơi lưu trữ không kết nối với Internet

Cách thức và quy mô tấn công 

Phân tích của Kaspersky Lb cho thấy “WannaCry” được bắt đầu thông qua việc triển khai mã từ xa SMBv2 trong Microsoft Windows. Khai thác này (có tên mã là “EternalBlue”) đã được làm sẵn trên internet thông qua Shadowbrokers dump vào ngày 14/4/2017 và được vá bởi Microsoft vào ngày 14 tháng 3. Thật không may, có vẻ như nhiều tổ chức và người dùng chưa cài đặt bản vá này.

Điều đáng lo ngại là không những các máy tính Windows chưa được vá đang phơi bày các dịch vụ SMB của họ có thể bị tấn công từ xa bằng khai thác “EternalBlue” và bị lây nhiễm bởi WannaCry, mà kể cả các máy tính không tồn tại lỗ hổng vẫn có khả năng bị hạ gục dễ dàng. Tuy nhiên, lỗ hổng này được xem là yếu tố chính gây ra sự bùng nổ của WannaCry.

 Top 20 quốc gia bị ảnh hưởng nhiều nhất bao gồm: Nga Ukraine, Ấn Độ, Đài Loan, Tajkistan, Kazakhstan, Luxembour, Trung Quốc, Romania, Việt Nam…

Lưu ý rằng “số tiền cần thanh toán sẽ được tăng lên” sau một lần đếm ngược cụ thể, cùng với màn hình hiển thị khác làm tăng mức độ khẩn cấp để trả tiền, đe dọa rằng người dùng sẽ hoàn toàn mất tập tin của họ sau khoảng thời gian đã thông báo. Không phải tất cả ransomware đều cung cấp bộ đếm thời gian này như WannaCry.

 

Để đảm bảo rằng người dùng không bỏ lỡ cảnh báo, công cụ sẽ thay đổi hình nền của người dùng bằng các hướng dẫn về cách tìm bộ giải mã.

Để sử dụng cách thanh toán bằng bitcoin, phần mềm độc hại hướng tới một trang có mã QR ở btcfrog, liên kết với một ví bitcoin chính 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94. Siêu dữ liệu hình ảnh không cung cấp bất kỳ thông tin bổ sung nào.

 

Những người thiết kế WannaCry đã chuẩn bị sẵn phần “Hỏi – Đáp” bằng các ngôn ngữ khác nhau, bao gồm tiếng Việt, Tiếng Trung Quốc, Đan Mạch, Hà Lan, Tiếng Anh, Philippin, Tiếng Pháp, Tiếng Nhật v.v. Những “Hỏi – Đáp” này dạng như: Tôi có thể phục hồi các tập tin của mình không? Tôi trả tiền như thế nào? Làm sao để liên hệ? v.v

TIN LIÊN QUAN

Hệ thống bảo mật Mac OS chậm Microsoft 10 năm

Malware Flashback/ Flashfake bùng nổ trên máy Mac của Apple gần đây dường như chỉ là khởi đầu cho một làn sóng tấn công mới nhắm đến hệ thống, theo nhà sáng lập và CEO của hãng bảo mật Kaspersky, Eugene Kaspersky.

5 phần mềm Anti-Ransomware tốt nhất ngăn chặn virus WannaCry

Trong khi mã độc ransomware WannaCry đang lây lan khủng khiếp, vì vậy trước khi quá muộn bạn hãy cài phần mềm ngăn chặn virus WannaCry để bảo vệ máy tính.

Hacker tấn công Wifi khách sạn để lấy thông tin mật quốc gia

Nhóm Hacker này chuyên khống chế mạng lưới Wi-Fi của các khách sạn để tiếp cận máy tính của các quan chức cấp cao để ăn cắp thông tin bí mật về các kế hoạch hạt nhân.

Mã độc Obad được vào danh sách Malware nguy hiểm nhất năm

Trong bản tổng kết được công bố gần đây của hãng bảo mật Kaspersky Lab, Obad được cho là mã độc nguy hiểm nhất năm 2013.

Những phần mềm Antivirus tốt nhất năm 2013

Bảo mật máy tính là điều cần thiết nhưng việc lựa chọn phần mềm diệt virus tốt phù hợp cho máy của bạn là cả một vấn đề. Dưới đây là những phần mềm Antivirus tốt nhất năm 2013 mà bạn có thể lựa chọn.

Microsoft vá lỗi 'zero-day' nghiêm trọng trên Windows

Microsoft đã tung ra 6 bản cập nhật bảo mật để vá 11 lỗ hổng trong Windows, Internet Explorer (IE), Office và một vài sản phẩm khác trong đó có một lỗi đã bị hacker khai thác

Windows 8 đã bị hacker hạ gục

Tuần trước, Windows 8 ra mắt không chỉ là một sự kiện lớn của Microsoft mà còn là ngày đầy thử thách đối với các hacker do chính phủ tài trợ.

Microsoft cảnh báo về lỗ hổng nghiêm trọng trong Internet Explorer

Microsoft cho hay một lỗ hổng bảo mật nghiêm trong từ phiên bản 6 đến 11 của trình duyệt web Internet Explorer đã xuất hiện. Tin tốt là họ hứa sẽ phát hành bản vá lỗi sớm. Tuy nhiên tin xấu là người dùng Windows XP sẽ không nhận được bản vá lỗi này.

THỦ THUẬT HAY

Cách chụp màn hình và quay video trên máy chơi game Nintendo Switch

Nintendo Switch có một nút dành riêng để chụp màn hình và bây giờ thậm chí nó có thể quay các video trong một số trò chơi. Những ảnh chụp màn hình và video này sẽ được lưu vào bộ lưu trữ nội bộ của Switch hoặc thẻ nhớ

Cách nhận biết số điện thoại lừa đảo và một số cách phòng tránh

Lừa đảo qua các cuộc gọi hoặc tin nhắn không mới nhưng với hình thức ngày càng tinh vi khiến không ít người dùng vẫn bị sập bẫy.

Hướng dẫn cách đăng nhật ký kèm nhạc trên Zalo vô cùng ấn tượng mà bạn không thể bỏ qua

Nếu như trước đây, Zalo đơn giản chỉ là một ứng dụng hỗ trợ người dùng nghe gọi, nhắn tin miễn phí thì giờ đây nó còn là một ứng dụng mạng xã hội đa năng. Nhật ký là một tính năng thú vị giúp bạn lưu giữ những khoảnh

Hướng dẫn cách lì xì và chúc tết thông quá ứng dụng Momo

Nếu chưa biết Momo là gì có thể lên internet tìm hiểu thêm. Hoặc nếu lười thì các bạn chỉ cần hiểu cơ bản Momo là một vi điện tử, người dùng sẽ thêm thẻ ngân hàng (đã đăng ký internet banking) vào chiếc ví này. Khi cần

Bạn đã biết cách ghi âm bí mật trên iPhone chưa? Hãy thử ngay tính năng này

Ghi âm bí mật là một tính năng ẩn có trên hệ điều hành iOS của iPhone, nó được dùng để ghi lại một cuộc hội thoại hay bất cứ điều gì mà không bị phát hiện. Đây chắc hẳn là tính năng cần thiết cho nhiều người dùng

ĐÁNH GIÁ NHANH

Đánh giá Xiaomi Redmi EarBuds 3 Pro: Tai nghe sở hữu chip Qualcomm xịn sò, thời lượng pin lên tới 30 tiếng, giá chưa đến 1 triệu đồng

Vừa qua, Xiaomi đã chính thức trình làng mẫu tai nghe không dây mới nhất có tên gọi Redmi EarBuds 3 Pro. Sản phẩm không chỉ sở hữu vẻ ngoài trẻ trung với nhiều tùy chọn màu cá tính, mà nó còn được trang bị nhiều tính

Đánh giá nhanh Honor 8X: Thiết kế thời trang, chip Kirin 710, camera kép, giá 200 USD

Sau một thời gian rò rỉ, Honor - thương hiệu của Huawei đã chính thức công bố điện thoại mới là Honor 8X cùng Honor 8X Max. Như tên gọi, Honor 8X có kích thước màn hình nhỏ hơn. Mức giá khởi điểm cho điện thoại chỉ từ

Đánh giá hiệu năng Redmi Note 12 Turbo: Sự mạnh mẽ của con chip tốc độ cao

Tận dụng sức mạnh của con chip Snapdragon 4 Gen 1, Redmi Note 12 Turbo đã gây ấn tượng rất tốt với người dùng trong thị trường điện thoại thông minh với hiệu năng ấn tượng. Với tên gọi “Turbo” đầy hứa hẹn, chiếc điện