Tin tức
Những điều cần biết về mã độc Ransomware WannaCry đang được cảnh báo trên toàn cầu
18/03/2019
Mã độc WannaCry chỉ mới phát tán từ ngày 12/5 nhưng đã nhanh chóng ảnh hưởng nặng nề đến toàn bộ thế giới. Để phòng tránh mã độc Ransomware WannaCry đang lây lan trên toàn thế giới, chúng ta phải biết rõ mã độc Ransomware WannaCry là gì từ đó tìm cách tránh lây nhiễm từ nó.
Để hiểu rõ hơn về mã độc Ransomware WannaCry là gì, ta hãy cùng tìm hiểu riêng về Ransomware là gì?, lịch sự tấn công của nó ảnh hưởng như thế nào nhé.
Ransomware là gì?
Ransomware là một loại malware (phần mềm mã độc) ngăn chặn hoặc giới hạn người dùng sử dụng thiết bị, hệ thống hoặc dữ liệu của mình. Có nhiều dạng ransomeware khác nhau, một số thì đi mã hóa file khiến bạn không thể mở được tài liệu quan trọng, một số khác thì dùng cơ chế khóa máy để không cho nạn nhân tiếp tục sử dụng. Nó sẽ buộc nạn nhân phải trả tiền để lại có quyền sử dụng tiếp hệ thống của họ, thế nên mới có chữ ransom - nghĩa là tiền chuộc. Khoảng tiền này có khi chỉ vài đô la, có khi lên đến vài chục, thậm chí là cả trăm USD (từng có trường hợp phải trả 600$). Một số tin tặc khác thì dùng bitcoin cho an toàn và tránh bị bắt. Nhưng có một điều không được đảm bảo là khi bạn đã trả tiền rồi thì tin tặc sẽ chưa chắc đã cấp quyền hay mã hóa file trở lại cho bạn hay còn làm thêm điều gì tệ hại hơn.
Cách hoạt động của Ransomware
Thông thường do sự chủ quan của người dùng khi sử dụng máy tính sẽ dẫn đến lây nhiễm Ransomware lúc nào bạn không hề biết. Ransomware có thể bị download xuống máy người dùng bằng nhiều cách khác nhau, phổ biến nhất đó là lừa người dùng vào một website giả mạo hoặc website đã bị chèn mã độc và một cách rất cổ điển là đính kèm trong mail.
Bên cạnh việc lợi dụng email, website để phát tán, ransomware còn tận dụng các lỗ hổng bảo mật của hệ điều hành hoặc các phần mềm để lây nhiễm và chạy. Chỉ mới hồi giữa năm nay McAfee cho hay họ phát hiện ra một họ ransomware chuyên khai thác lỗi của Adobe Flash để xâm chiếm vào máy tính.
Như đã nói về khái niệm phần trên, một khi Ransomware xâm nhập vào máy tính của bạn nó sẽ lập tức:
- Khóa thiết bị của bạn lại.
- Mã hóa toàn bộ dữ liệu trong ổ cứng.
Cả 2 cách hoạt động trên, Ransomware đều để lại một lời nhắn đòi tiện chuộc kiểu như "Nếu anh không trả tiền cho tôi, dữ liệu của anh sẽ mất hết trong 7 ngày", hoặc "Hãy trả tiền ngay hoặc không bao giờ được xài chiếc điện thoại đó nữa". Và đến hiện tại vẫn chưa có cách nào mã khóa hay mã hóa ngược lại nếu máy bạn bị dính ransomware, nếu trong máy có dữ liệu quan trọng mà bạn chưa sao lưu thì đó đúng là thảm họa.
Lịch sử tấn công của Ransomware
Những trường hợp đầu tiên bị dính ransomware mà được ghi nhận là tại Nga vào năm 2005 - 2006. Khi đó, một ransoware mang số hiệu TROJ_CRYZIP.A đã nén các tập tin quan trọng của người dùng lại thành một file zip rồi xóa đi các tập tin gốc. Để mở file zip này thì cần có password. TROJ_CRYZIP.A còn tạo một file văn bản để làm "thư tống tiền", trong đó nói rằng người dùng muốn có password để mở file zip thì phải trả 300$.
Đến năm 2011, chúng ta bắt đầu nghe về SMS ransomware. Con ransomware với số hiệu TROJ_RANSOM.QOWA liên tục hiển thị một thông báo đòi tiền khiến cho người dùng bực mình, để rồi cuối cùng họ phải trả "tiền chuộc" bằng cách nhắn tin đến một số SMS đặc biệt có tính phí.
Năm 2012, ransomware TROJ_RANSOM.BOV từng bị "nhúng" vào một trang web bán hàng của Pháp, từ đó lây nhiễm xuống máy tính người dùng tại Pháp và Nhật (nơi hãng có một lượng lớn người dùng). Con malware này cũng hiển thị một thông báo giả từ cơ quan cảnh sát của Pháp để đe dọa người ta.
Khoảng cuối năm 2013, người ta ghi nhận một loại ransomware mới. Những biến thể này giờ đây mã hóa file thay vì khóa máy tính như lúc trước, vì vậy mà chúng được gọi bằng cái tên "CryptoLocker" (chữ crypto có nghĩa gốc là bí mật, còn trong thế giới máy tính thì nó là mã hóa). Bằng cách này, tin tặc có thể đảm bảo rằng người dùng vẫn phải trả tiền ngay cả khi họ đã dùng các công cụ bảo mật để xóa malware.
Năm 2014 có một loại malware gọi là Critroni, còn gọi là Curve-Tor-Bitcoin (CTB) Locker. Nó sử dụng mạng lưới Tor để che giấu việc liên lạc với nạn nhân, một số khác cũng đòi bitcoin để làm tiền chuộc. Đến năm 2015, CTB Locker còn có them dịch vụ giải mã từng file một miễn phí, còn để giải mã một lượng lớn file thì vẫn phải trả tiền.
Và mới đây nhất là mã độc WannaCrypt đang lan truyền khắp thế giới với tốc độ kinh khủng. Các nhà bảo mật và Microsoft đang đau đầu để ngăn chặn tình trang tiếp tục gia tăng.
Ransomware WannaCry hoạt động như thế nào?
Virus Ransomware WannaCry được phát tán qua phương thức thông thường là nhúng vô các bản ‘crack’ của phần mềm rồi chia sẻ lên mạng, nhúng vô các website có nhiều người truy cập (website khiêu dâm, chia sẻ phần mềm lậu – không bản quyền). Mục đích là dụ người dùng tải về và kích hoạt, hoặc truy cập vào các trang web xấu thì dính.
Về kỹ thuật, WannaCry đang phát tán qua các mạng lưới phát tán malware và các Exploit Kit. Đặc biệt nó không chỉ phát tán theo cách truyền thống, mà còn lây lan qua mạng LAN. Nếu một máy trong mạng LAN bị nhiễm WannaCry thì toàn bộ các máy trong mạng cũng có thể bị nhiễm nếu như không được vá lỗi trước đó.
Tuy nhiên WannaCry chỉ lây lan trên Windows và mạng máy tính Windows, hiện không có phiên bản biến thể nào hoạt động trên Mac và Linux.
Khi đã bị nhiễm WannaCry máy của bạn sẽ âm thầm bị mã hóa tất cả các dữ liệu trong máy và sau đó là một thông báo hiện lên màn hình với nội dung phải gửi Bitcoin cho chúng nếu muốn lấy lại dữ liệu.
Cách phòng tránh mã độc WannaCry
1. Update bản vá lỗi mới nhất cho Windows.
Bạn có thể xem bài viết sau: Link download bản vá mã độc WannaCry trên Windows
2. Disable tính năng SMB: Vào Start > gõ Windows Features > xong bỏ dấu check chỗ SMB 1.0/CIFS File Sharing Support.
3. Cập nhật trình diệt virus: Hiện Windows Defender, McAfee, Symantec, ESET, Bitdefender … tức đều đã cập nhật mẫu ransomware WannaCry. Sau khi cập nhật AV bạn bật tính năng bảo vệ Realtime Protection để ngăn việc máy tính bị nhiễm.
4. Sao lưu dữ liệu: Ngay bây giờ bạn hãy copy những dữ liệu quan trọng vào USB hay ổ cứng rời. Hoặc có thể sao lưu trên các Cloud Drive.
5. Tải phần mêm kiểm tra Ransomware WannaCry: BKAV đã đău ra ứng dụng giúp bạn kiểm tra máy có bị nhiễm Ransomware WannaCry hay không? Bạn có thể tải về Tại đây.
Cách giải quyết khi máy bị virus WannaCry
Nếu đã bị virus WannaCry, đầu tiên bạn phải tắt máy ngay để tránh nó mã hóa hết dữ liệu. Sau đó tốt nhất bạn hãy format tất cả dữ liệu trên ổ cứng. Và nếu may mắn bạn có thể sử dụng phân mềm cứu dữ liệu lấy lại được vài dữ liệu chưa bị mã hóa.
Tuyệt đối không được trả tiền cho tin tặc, vì không có gì đảm bảo rằng nó sẽ trả lại dữ liệu cho bạn. Điều tốt nhất bạn nên nghĩ khi bị dính WannaCry là chỉ có cách khóc mà thôi, mọi dữ liệu sẽ biến mất.
Hãy cẩn thận trước những file lạ và những ứng dụng không rõ nguồn gốc đặc biệt là những file crack trên mạng hiện nay.
Nguồn tin:Theo P.KHKD Tổng hợp