Cơ chế làm việc của ransomware wannacry sau khi lây nhiễm vào
Chắc hẳn mọi người cũng biết cách đây 2-3 năm về trước thì cái tên Virus Wannacry không quá xa lạ với chúng ta. Và sự xuất hiện của nó khiến cho cả thế giới phải đau đầu. Chính xác là ngày 12/5/2017, Cuộc tấn công do virus wannacry bắt đầu xảy ra với quy mô lan rộng cực kỳ lớn và khoảng 75.000 máy tính bị lây nhiễm trên 99 quốc gia. Việt Nam cũng là một trong những quốc gia chịu ảnh hưởng nhiều bởi cuộc tấn công này.
Vậy Virus Wannacry là gì? Cơ chế làm việc của ransomware wannacry sau khi lây nhiễm vào máy tính nạn nhân là gì? Và cách phòng chống như thế nào? Chúng ta cùng tìm hiểu nó qua bài viết dưới đây nhé!
Virus Wannacry là gì?
Đây là một loại mã độc tống tiền (ransomware), có các tên gọi khác như là WCry,WCrypt,Wanacrypt0r hay WannaCryptor 2.0. Với mục đích chính của nó là mã hóa dữ liệu của người dùng , chặn người dùng truy cập và sử dụng hệ thống trên máy tính của họ (chủ yếu là ở hệ điều hành Windows), sau đó là tống tiền đòi tiền chuộc.
Với tốc độ lây lan cực kỳ mạnh mẽ, mã độc Wannacry đã lây nhiễm trên 250 000 máy tính trên phạm vi toàn cầu chủ yếu là do sử dụng những phần mềm không rõ nguồn gốc, các phần mềm lậu, Window Crack,…Đặc biệt Virus Wanncry lây cực kỳ nhanh trên mạng Lan, chỉ cần một máy tính nhiễm thì coi như cả hệ thống cũng không ngoại lệ.
Nó khai thác lỗ hổng hệ thống trên hệ điều hành Windows được nắm giữ bởi Cơ quan An Ninh Quốc gia Hoa Kỳ (NSA) và nó sử dụng chính những công cụ của NSA để lây lan mã độc wannacry.
Ransomware lây nhiễm như thế nào?
Ransomware lây nhiễm vào máy tính của người dùng bằng rất là nhiều hình thức, đó là:
- Nó được đính kèm trong cái gói phần mềm miễn phí trên Internet, và khi bạn tải những phần mềm này về và cài đặt vào máy, Ransomware sẽ len lỏi vào và lây nhiễm máy tính.
- Nó nằm trong các E-mail gửi đến hộp thư người dùng. Khi bạn mở thư vào đọc và vô tình nhấn vào tệp đính kèm nằm trong thư, Ransomware sẽ có cơ hội lây nhiễm vào máy của bạn.
- Và còn nữa, các trang web đen, các website giả mạo, các đường link độc hại, lừa đảo với những nội dung như là: clip “khiêu dâm”, clip “hot”, link chia sẻ những phần quà hấp dẫn, ứng dụng hay, phần mềm ưu đãi miễn phí,… những nội dung này khiến cho người dùng tò mò, xuất hiện mọi nơi trên các trang mạng xã hội nổi tiếng như là Facebook, youtube, Intagram, Twitter,… và khi bạn click vào những đường link này thì máy của bạn mở đường cho ransomware tiến vào rồi đấy.
Trên đây là hình ảnh minh họa cho thấy tầm ảnh hưởng lan rộng của virus wanncry lớn đến chừng nào trên toàn cầu.
Đó chỉ mới là những trường hợp phổ biến thôi, bên cạnh đó thì còn rất nhiều con đường khác mà chúng ta không thể nào biết trước được, ngay cả khi chúng ta sơ xuất nhẹ mà vô tình cài đặt ransomware vào máy tính của mình.
Cơ chế làm việc của Ransomware wannacry sau khi lây nhiễm vào máy tính nạn nhân là gì?
Sau khi được được cài về máy tính, Virus Wannacry sẽ đi tìm kiếm các tệp tin (nhưng thông thường sẽ là các tệp tin dạng văn bảng) nằm ở trong ổ cứng và bắt đầu mã hóa chúng. Lúc đầu người dùng sẽ không hề phát hiện rằng mình đang bị đánh cắp dữ liệu cho đến khi nhận được thông báo rằng máy tính đã bị khóa và các tập tin cũng vậy. Để khôi phục dữ liệu lại thì người dùng phải trả một khoản phí bằng đồng tiền ảo như Bitcoin, Ethereum hoặc Monero,… nhưng chủ yếu sẽ là Bitcoin với trị giá là khoản 300 USD cho kẻ gây ra cuộc tấn công này. Không chỉ dừng lại ở đó, chỉ cần sau 3 ngày bạn không thanh toán, thì mức tiền chuộc lại tăng lên gấp đôi và dữ liệu của người dùng sẽ mất hoàn toàn sau 7 ngày. Màn hình máy tính của người dùng khi bị nhiễm virus wannacry sẽ hiển thị đầy đủ thông tin để thanh toán cùng với đó là thời gian đếm ngược cho đến lúc dữ liệu bị xóa hoàn toàn và được thể hiện qua 28 ngôn ngữ.
Khi một máy tính của người dùng bị nhiễm Ransomware trong Network, nó sẽ tiếp tục lây lan sang các máy tính khác trong mạng nội bộ và sẽ tiếp tục lập lại quy trình mã hóa đánh cắp dữ liệu và tống tiền đòi tiền chuộc.
Cách phòng chống sự tấn công lây nhiễm của Virus Wannacry
- Bạn cần cập nhật ngay hệ điều hành Windows mà bạn đang sử dụng
- Không mở, click vào các E-mail không rõ nguồn gốc (spam)
- Thường xuyên kiểm tra, lưu trữ dữ liệu để tránh bị mã hóa toàn bộ dữ liệu
- Cài đặt và liên tục cập nhật các phiên bản mới của các chương trình diệt chống Virus, nên sử dụng các phần mềm chống Virus có bản quyền
- Kiểm tra cẩn thận với các tệp tin, phần mềm được cài đặt vào máy tính
- Không truy cập các đường link, các website giả mạo, độc hại.
- Tận dụng các giải pháp đảm bảo an toàn thông tin mạng trong các tổ chức, doanh nghiệp như là: Firewall, IDS/IPS, SIEM,…Thực hiện ngăn chặn, xác nhận được các máy tính bị nhiễm để có hành động biện pháp xử lí kịp thời.
- Hoặc liên hệ với các cơ quan chức năng, các tổ chức chuyên trong lĩnh vực an toàn bảo mật thông tin mạng để hỗ trợ khi cần đến.
Các bạn có thể tham khảo các phần mềm diệt virus ở đây: Các phần mềm diệt virus
Bên cạnh đó, khi cuộc tấn công quy mô lớn này xảy ra thì cũng có người đã tạo ra được công cụ giải Virus wannacry như là công cụ WannaKiwi được tạo ra bởi Benjamin Delpy. Dựa trên việc giúp đơn giản hóa quá trình giải mã những tệp tin bị Virus WannaCry mã hóa.
Công cụ này được cung cấp miễn phí, cài đặt và chạy trên các máy bị nhiễm mã độc thông qua giao diện dòng lệnh cmd.
Mặc dù công cụ trên tuy không hiệu quả với tất cả các máy, nhưng đó vẫn là giải pháp mang đến hy vọng cho các nạn nhân để lấy có thể lấy lại dữ liệu.
Vậy virus máy tính thì sao? Nó có lây lan hay không? các bạn có thể xem thêm tại đây: Virus máy tính là gì?
Còn các bài viết bổ ích khác nữa, các bạn có thể xem và tham khảo tại Itsystems
Nếu bạn muốn phòng chống thì hãy backup thường xuyên dữ liệu của mình. và nếu bạn muốn 1 công ty chuyên nghiệp giống IT Systems hỗ trợ thì hãy tham khảo dịch vụ Bảo Trì Máy Tính của IT Systems nhé.