Thời điểm mới xuất hiện cả thế giới đã tự hỏi Ransomware WannaCry là gì? Và đã 2 năm trôi qua kể từ ngày Ransomware WannaCry xuất hiện đã làm điêu đứng hàng triệu máy tính trên toàn thế giới. Theo báo cáo từ NSA ( Cơ quan quan ninh hoa kì) hiện tại trên thế giới vẫn còn tiềm ẩn nhiều nguy cơ từ mã độc này.
Vậy thật ra Ransomware WannaCry là gì?
Mã độc Wanna Cry luôn khiến cả thế giới sửng sốt bởi độ bá đạo.
Để trả lời câu hỏi WannaCry là gì? thực chất là một mã độc được phát triển từ công cụ EternalBlue do nhóm Hacker có tên Shadow tung ra vào ngày 14/04/2017. Không chỉ đơn giản là công cụ gây hại cho máy tính, Ransomware Wanna Cry còn được cho là một sản phẩm có nguồn gốc từ cơ quan anh ninh quốc gia Hoa Kỳ.
Với tốc độ lây lan cực nhanh, từ lúc được phát hiện cho đến lúc cuộc tấn công diễn ra, mã độc WannaCry đã lây nhiễm trên 250.000 máy tính trên phạm vi toàn cầu, thông qua các phần mềm lậu, sau khi xâm nhập máy tính Ransomware Wannacry sẽ cứ nằm im chờ đợi lệnh tổng tấn công từ các tin tặc. WannaCry đặc biệt lây lan cực nhanh trên mạng Lan, chỉ cần một máy tính bị nhiễm thì cả hệ thống cũng vạ lây.
Mã độc này khai thác lỗ hổng MS17-010 của giao thức SMB của Microsoft (Server Message Block). Microsoft ngay sau đó đã có phản hồi cùng bản cập nhật hotfix tuy nhiên theo các chuyên gia đánh giá động thái đó đã quá muộn màn vì WannaCry đã được lây nhiễm rất nhiều máy tính. Cả thế giới lúc đó nín thở đợi hành động tiếp theo của các Hacker với Ransomware Wannacry.
Để hiểu rõ hơn về Ransomware cũng như Ransomware WannaCry bạn có thể xem tại đây.
Ransomware WannaCry đã tấn công như thế nào?
Theo thông tinh từ NSA, ngày 12 tháng 5 năm 2017 cuộc tấn công tổng thể vào các máy tính trên toàn cầu đã được các Hacker sở hữu WannaCry kích hoạt. Có đến 45.000 cuộc tấn công được ghi nhận trên 99 quốc gia. Trong đó, Nga là nước chịu nặng nề nhất, tiếp đến là Ukraina, Ấn Độ và Đài Loan. Việt Nam cũng là một trong những quốc gia bị ảnh hưởng nhiều từ mã độc WannaCry bởi sử dụng Window Crack và các phần mềm không rõ nguồn gốc. Thậm chí đến thời điểm bị khóa màn hình nhiều người vẫn tự hỏi Ransomware WannaCry là gì?
Ransomware WannaCry đang mã hóa và đòi tiền chuộc.
Với những máy tính bị tấn công bởi WannaCry, nó sẽ mã hóa dữ liệu và hiện thông báo đòi tiền chuộc. Mã độc Wannacry sẽ mã hóa ổ đĩa cứng trước tiên, sau đó sẽ tiến hành khai thác lỗ hổng SMB để lây sang các mãy tính ngẫu nhiên trên internet và mạng Lan. Do được mã hóa theo thuật toán RSA 2048-bit nên để giải mã là điều gần như không thể nào. Thậm chí, cho đến thời điểm hiện tại vẫn chưa có cách nào để giải mã các file bị mã hóa từ WannaCry.
Mặc dù cho các chuyên gia an ninh mạnh cảnh báo nạn nhân đừng trả tiền chuộc cho Hacker từ 300 – 600 USD bằng bitcoin ở thời điểm đó nhưng vẫn có nhiều doanh nghiệp quyết định chi trả để đối lấy sự bình yên nhưng có lẽ còn tùy thuộc vào tâm trạng của Hacker lúc đó. Có trường hợp, khổ chủ đã trả tiền chuộc nhưng vẫn không được chúng trả file mã hóa trước đó.
Trong lúc cả thế giới ngỡ ngàng Ransomware WannaCry là gì? Các chuyên gia an ninh mạng có hành động cụ thể
Các chuyên gia an ninh mạng thế giới phát hiện ra lỗ hổng của Windows để WannaCry xâm nhập không phải là lỗ hổng Zero-day như cách mà Microsoft đã cung cấp trong bản sửa lỗi trước đó. Gần 2 tháng trước đó, Microsoft đã cập nhật bản hotfix để vá lỗi giao thức SMB (Server Message Block), đồng thời họ cũng khuyên người dùng ngừng sử dụng giao thức SMB1 cũ và thay vào đó sử dụng SMB3 an toàn hơn vừa được cập nhật.
Microsoft đã nhanh chóng có bản cập nhật Hotfix tuy nhiên vẫn không thể kiểm soát WannaCry.
Các chuyên gia an ninh mạng thời điểm đó cũng cảnh báo, bất kì thiết bị nào cũng đều có thể trở thành mục tiêu của mã độc WannaCry. Với người dùng đang sử dụng Windows XP hoặc các phiên bản cũ đều có nguy cơ bị lây nhiễm cao hơn gấp nhiều lần vì đã không còn được cập nhật.
Chuyên gia IT của Google là Neel Netha vào ngày 15/5 đã có bảng so sánh giữa Ransomware Wannacry và một số Virus gần đây mà Google thu thập được từ các cuộc tấn công an ninh mạng hầu hết đều xuất phát từ Bắc Triều Tiên. Tuy nhiên, theo các chuyên gia bảo mật của Nga thì đó thuộc về nhóm tin tặc Lazarus. Nhóm này trước đó đã lên tiếng thừa nhận về việc tấn công hãng phim Sony Pictures trong năm 2014.
Ngoài ra, hầu hết các đoạn đòi tiền chuộc của WannaCry đều sử dụng Google Translate để truyền tải thông điệp, chỉ duy nhất bản tiếng Trung thì có nội dung khác. Vì lý do này, các chuyên gia nghi ngờ rằng có thể đây là nhóm Hacker thật sự có nguồn gốc từ Trung Quốc hoặc họ cố tình thay đổi bản dịch từ Google và Ransomware là một sản phẩm của nhóm này.
Hậu quả Wanna Cry để lại là gì?
Cuộ tấn công tống tiền đã gây hậu quả nghiêm trọng ở nhiều bệnh viện công tại Anh. Họ bắt buộc phải từ chối những trường hợp không quá khẩn cấp vì họ không thể kiểm soát được dữ liệu. Một số xe cứu thương buộc phải chở những bệnh nhân cần đo số liệu đi đến các bệnh viện khác.
Hầu hết các bệnh viện công tại Anh đều sử dụng Windows lỗi thời !?
Đó là hậu quả ở Anh vì họ vẫn đang sử dụng Windows XP. Một số hãng khác như Nissan Motor, Tyne and Wear, v.v.. đã ngừng sản xuất kể từ khi hệ thống của họ bị xâm nhập bởi Ransomware này. Renault cũng ngừng sản xuất ở một vài nhà máy để tìm biện pháp ngăn chặn lây lan của WannaCry.
Tại Nga, chính phủ của họ cũng buộc phải ngưng hoạt động bởi vì có hơn 1000 máy tính của bộ nội vụ, bộ khẩn cấp và công ty viễn thông cũng bị nhiễm. Gây nên những thiệt hại lên đến hàng chục triệu đô la chỉ riêng tại quốc gia Đông Âu này. Ở Anh, chính phủ nước này cũng bị phản đối vì họ đã quá lơ là trong hệ thống bệnh viện công gây nên những vụ việc đáng tiếc tại thời điểm đó.
Giải pháp của Trend Micro đối với Ransomware WannaCry
Trend Micro là một trong những công ty bảo mật đầu tiên tìm ra giải pháp đối với Ransomware WannaCry là giải pháp hoàn hảo nhất tại thời điểm đó. Với các giải pháp như Worry Free áp dụng công nghệ Xgen đã sớm block toàn bộ mã độc này khi chúng tìm cách xâm nhập vào máy tính.
Trend Micro là công ty đầu tiên tìm được cách ngăn chặn WannaCry.
Với các doanh nghiệp. Trend Micro Worry Free đã bảo vệ từ cả hệ thống mạng cho đến các Email được lưu trữ, Endpoint Security cũng được nâng cấp thêm khả năng giám sát và phát hiện để có thể chặn Ransomware WannaCry ngay từ ban đầu.
Đối với người dùng cá nhân, Trend Micro Internet Security cũng đã góp phần giúp họ yên tâm khi sử dụng Internet tại nhà bằng cách ngăn chặn các trang web, email và tệp độc hại liên quan đến mã độc này đã được trừ khử khi phát hiện ra.
Thậm chí, đối với người dùng phiên bản dùng thử cũng được Trend Micro chú trọng như có thêm công cụ Trend Micro Lock được thiết kế để xử lý và loại bỏ nếu mã độc khóa màn hình máy tính. Trend Micro Crypto-Ransomware cũng là công cụ để giải mã một số tập tin bị mã hóa hòng đòi tiền chuộc.
Một số lời khuyên từ các chuyên gia tránh Ransomware bạn cần lưu ý:
– Cập nhật ngay hệ điều hành windows bạn đang sử dụng.
– Liên tục cập nhật phiên bản mới của chương trình diệt Virus trong máy tính.
– Không mở các email chưa rõ nguồn gốc.
– Không nhận các file gửi trực tiếp từ mạng xã hội ( đặc biệt là các file .exe)
– Thường xuyên lưu trữ dữ liệu tránh bị mã hóa toàn bộ.
– Nếu bạn nhận được bất kì điều gì về Ransomware Wannacry hãy thận trọng.
Trend Micro Việt Nam