Cơ chế làm việc của ransomware wannacry?

Câu hỏi: Cơ chế làm việc của ransomware wannacry?

Trả lời: 

- Sau khi được được cài về máy tính, Virus Wannacry sẽ đi tìm kiếm các tệp tin (nhưng thông thường sẽ là các tệp tin dạng văn bản) nằm ở trong ổ cứng và bắt đầu mã hóa chúng. Lúc đầu người dùng sẽ không hề phát hiện rằng mình đang bị đánh cắp dữ liệu cho đến khi nhận được thông báo rằng máy tính đã bị khóa và các tập tin cũng vậy. Để khôi phục dữ liệu lại thì người dùng phải trả một khoản phí bằng đồng tiền ảo như Bitcoin, Ethereum hoặc Monero,… nhưng chủ yếu sẽ là Bitcoin với trị giá là khoản 300 USD cho kẻ gây ra cuộc tấn công này. Không chỉ dừng lại ở đó, chỉ cần sau 3 ngày bạn không thanh toán, thì mức tiền chuộc lại tăng lên gấp đôi và dữ liệu của người dùng sẽ mất hoàn toàn sau 7 ngày. Màn hình máy tính của người dùng khi bị nhiễm virus wannacry sẽ hiển thị đầy đủ thông tin để thanh toán cùng với đó là thời gian đếm ngược cho đến lúc dữ liệu bị xóa hoàn toàn và được thể hiện qua 28 ngôn ngữ. 

- Khi một máy tính của người dùng bị nhiễm Ransomware trong Network, nó sẽ tiếp tục lây lan sang các máy tính khác trong mạng nội bộ và sẽ tiếp tục lập lại quy trình mã hóa đánh cắp dữ liệu và tống tiền đòi tiền chuộc.

- Trong 2 năm gần đây cụm từ “Ransomware WannaCry” quá quen thuộc với người dùng Internet. 

Hãy cùng Top lời giải tìm hiểu về nó qua bài viết này nhé! 

1. WannaCry là gì?

WannaCry là một loại mã độc tống tiền (ransomware), với các tên gọi khác nhau như WannaCrypt0r 2.0 hay WCry. Phần mềm độc hại này mã hóa dữ liệu của máy tính và ngăn cản người dùng truy cập dữ liệu trên đó cho đến khi tin tặc nhận được tiền chuộc. Các chuyên gia cho rằng, mã độc này nguy hiểm vì, nó hỗ trợ tin tặc “giữ” dữ liệu của người dùng làm “con tin” để tống tiền các cá nhân hoặc tổ chức/doanh nghiệp. Việc làm này được cho là hiệu quả hơn việc đánh cắp hoặc xóa đi dữ liệu trên máy tính.

2. Sự nguy hiểm của wannacry 

- Mã độc Wanna Cry được bổ sung khả năng lây nhiễm trên các máy tính theo kết nối ngang hàng. Cụ thể hơn, ngay khi lây nhiễm vào máy tính của nạn nhân, Wanna Cry sẽ tiền hành quá trình mã hoá toàn bộ dữ liệu, tiếp theo đó mã độc này sẽ thực hiện việc quét toàn bộ máy tính trong cùng mạng để tìm kiếm thiết bị có lỗ hổng EternalBlue của dịch vụ SMB. Lúc này, Wanna Cry sẽ tiếp tục lây lan sang các máy tính có lỗ hổng Eternal. Quá trình lây nhiễm, quét máy tính sẽ thực hiện liên tục và dừng khi không còn máy tính nào trong cùng mạng có lỗ hổng Eternal.

- Quá trình xâm nhập, mã hoá dữ liệu và lây nhiễm của Wanna Cry diễn ra rất nhanh, do đó bạn hoàn toàn có thể biết được máy tính của mình đã nhiễm Wanna Cry hay chưa. Ngay khi việc mã hoá dữ liệu hoàn tất, một cửa sổ với nền màu đỏ hiện lên để thông báo rằng máy tính đã bị khoá và mọi dữ liệu đều bị mã hoá, người dùng sẽ cần phải trả một khoản tiền Bitcoin đến địa chỉ của kẻ tấn công để có thể lấy lại quyền truy cập dữ liệu. Tuy theo mức độ quan trọng cũng như quy mô dữ liệu mà mức tiền chuộc là ít hay nhiều.

- Sau 3 ngày liên tục mà kẻ tấn công không nhận được tiền, mức tiền chuộc để mở khoá dữ liệu sẽ tăng lên gấp 2. Thậm chí sẽ bị mất sạch nếu sau 7 ngày kể từ thời điểm đưa ra thông báo mà hacker vẫn chưa nhận được tiền chuộc. Để tiện hơn cho quá trình trả tiền chuộc, những kẻ tấn công thậm chí còn lập trình Wanna Cry hiển thị thông báo dưới nhiều ngôn ngữ khác nhau tuỳ theo khu vực của máy tính bị lây nhiễm. Như vậy, người dùng có thể thấy được độ nguy hiểm của Wanna Cry và hoàn toàn “muốn khóc” (Wanna Cry) nếu như không may máy tính của mình bị lây nhiễm.

3. Cách WannaCry lây nhiễm trên diện rộng

WannaCry có 2 cách thức lây lan chính:

- Cách 1: Phát tán qua phương thức thông thường là đính kèm vào các bản “bẻ khóa” của phần mềm rồi chia sẻ lên các trang web có nhiều người truy cập. Mục đích là để người dùng tải về và kích hoạt hoặc truy cập vào các trang web độc hại để lây nhiễm mã độc. Về mặt kỹ thuật, WannaCry phát tán qua các mạng lưới phát tán mã độc và bộ khai thác Exploit Kit.

- Cách 2: Lây lan qua mạng LAN bằng cách khai thác các lỗ hổng EternalBlue của dịch vụ SMB mà NSA phát triển bí mật, nhưng sau đó đã bị nhóm tin tặc ShadowBroker đánh cắp và phát hành công khai. Cách này đã làm cho WannaCry lây lan một cách nhanh chóng trên toàn thế giới.

4. Cách phòng chống virus WannaCry

- Theo nhận định từ chuyên gia CMC INFOSEC, trong tuần tới, nhóm tin tặc sẽ còn chứng kiến thêm rất nhiều biến thể mới của WannaCry cũng như các loại mã độc mới phức tạp hơn. 

- Vì vậy, việc làm cấp thiết trong thời điểm hiện tại là tạm thời disable SMB và liên tục cập nhật các bản vá lỗi với hệ điều hành Windows, đặc biệt là với các máy chủ. Bên cạnh đó, người dùng vẫn cần đề phòng việc mở các email và file lạ không rõ nguồn gốc.

- Doanh nghiệp và người dùng có thể tải bản vá khẩn của Microsoft, dành cho lỗi trong giao thức SMB, sử dụng cho cả những phiên bản không còn được hỗ trợ bao gồm Windows XP, Vista, Windows8, Server2003 và 2008.

- Bên cạnh đó, cần thường xuyên sao lưu dữ liệu và có các phương án backup dữ liệu của doanh nghiệp; đề phòng các link lạ, trong đó đối với các doanh nghiệp tốt nhất nên có một máy riêng để nhân viên remote khi họ nghi ngờ mail không an toàn; đối với người dùng cá nhân luôn cài phần mềm chống virus trên di động và máy tính, đặc biệt là các phần mềm chuyên biệt dành cho mã độc mã hoá dữ liệu.

- Tóm lại bạn phải:

+ Cập nhật ngay các phiên bản hệ điều hành Windows đang sử dụng.

+ Cập nhật ngay các chương trình Anti-vius đang sử dụng.

+ Cẩn trọng khi nhận được email có đính kèm và các đường link lạ, trên các mạng xã hội.

+ Xóa thông tin thẻ trên các website thanh toán/ mua sắm trực tuyến,…

+ Không mở các link có đuôi HTA hoặc đường dẫn có cấu trúc không rõ ràng, các đường dẫn rút gọn link.

+ Thực hiện biện pháp lưu trữ dữ liệu quan trọng.