Kaspersky Lab đã phát hiện và ngăn chặn thành công WannaCry

pull-icon
logo-mobile

Danh mục

/

/

Kaspersky Lab đã phát hiện và ngăn chặn thành công WannaCry

Tin NTS Group
Tin Kaspersky Lab
Tin Khuyến mãi
Quỹ Hỗ trợ Giáo dục NTS Kaspersky
Thông tin hàng giả

Kaspersky Lab đã phát hiện và ngăn chặn thành công WannaCry

16/05/2017 15:10

68

Sự bùng phát của mã độc tống tiền WannaCry (Wanna Cpryt0r) có thể gọi là một cuộc tấn công mạng đòi tiền chuộc với quy mô lớn nhất lịch sử, nhắm vào hơn 100 quốc gia trên toàn thế giới, trong đó có cả Việt Nam. Vậy người dùng Kaspersky có được bảo vệ an toàn khỏi WannaCry?

Theo Kaspersky Lab, vào ngày 12 tháng 05, một đợt tấn công bắt cóc dữ liệu rộng rãi nhằm vào nhiều tổ chức trên thế giới đã xảy ra. Kaspersky Lab đã phân tích dữ liệu và xác nhận rằng các hệ thống bảo mật của chúng tôi đã phát hiện ít nhất 45.000 cuộc tấn công tại 74 quốc gia, phần lớn xảy ra tại Nga.

Mã độc tống tiền lây nhiễm vào máy tính của nạn nhân bằng cách khai thác lỗ hổng của Microsoft Windows được mô tả và vá lỗi tại Microsoft Security Bulletin MS17-010. Việc khai thác sử dụng “Eternal Blue” đã được công bố trong Shadowbrokers dump vào ngày 14 tháng 04 vừa qua.

Trước khi các thông tin gây chấn động về mã độc này được báo chí đề cập thì các sản phẩm của Kaspersky Lab đã phát hiện và ngăn chặn thành công một số lượng lớn các cuộc tấn công ransomware trên khắp thế giới. Trong các cuộc tấn công này, dữ liệu được mã hóa với phần mở rộng “.WCRY” được thêm vào tên tập tin.

May mắn là các giải pháp bảo mật của Kaspersky Lab đã phát hiện được các mã độc tống tiền liên quan đến WannaCry, có thể bảo vệ người dùng cá nhân và doanh nghiệp an toàn trước nguy cơ bùng phát dữ dội của mã độc này.

Tính năng Giám sát hệ thống (System Watcher) được tích hợp trong giải pháp bảo mật Kaspersky Internet Security dành cho người dùng cá nhân và Kaspersky Security for Business dành cho người dùng doanh nghiệp là một lá chắn then chốt để bảo vệ người dùng khỏi sự tấn công của mã độc nguy hiểm WannaCry. Khả năng phục hồi trạng thái ban đầu khi phát hiện những thay đổi được thực thi bởi phần mềm tống tiền của System Watcher sẽ kịp thời ngăn chặn và phục hồi máy tính người dùng nếu lỡ như một mẫu độc hại vượt qua được các rào cản phòng thủ khác trước đó.

Ngoài ra, công nghệ Intrusion Detection có trong các giải pháp của Kaspersky Lab có thể chặn đứng sự lây nhiễm của WannaCry từ cấp độ mạng.

Tên các phát hiện của hãng bảo mật Kaspersky Lab liên quan đến WannaCry gồm:

Trojan-Ransom.Win32.Scatter.uf;

Trojan-Ransom.Win32.Scatter.tr;

Trojan-Ransom.Win32.Fury.fr;

Trojan-Ransom.Win32.Gen.djd;

Trojan-Ransom.Win32.Wanna.b;

Trojan-Ransom.Win32.Wanna.c;

Trojan-Ransom.Win32.Wanna.d;

Trojan-Ransom.Win32.Wanna.f;

Trojan-Ransom.Win32.Zapchast.i;

Trojan.Win64.EquationDrug.gen và Trojan.Win32.Generic.

Các phần mở rộng mà mã độc nhắm tới để mã hóa gồm các nhóm định dạng sau:

1. Các phần mở rộng tập tin văn phòng thông thường được sử dụng (.ppt, .doc, .docx, .xlsx, .sxi).

2. Các định dạng văn phòng ít phổ biến và đặc thù của quốc gia (.sxw, .odt, .hwp).

3. Lưu trữ, tập tin phương tiện (.zip, .rar, .tar, .bz2, .mp4, .mkv)

4. Email và cơ sở dữ liệu email (.eml, .msg, .ost, .pst, .edb).

5. Các tập tin cơ sở dữ liệu (.sql, .accdb, .mdb, .dbf, .odb, .myd).

6. Mã nguồn và tập tin dự án của nhà phát triển (.php, .java, .cpp, .pas, .asm).

7. Khóa và chứng chỉ mã hóa (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).

8. Các tác giả thiết kế đồ hoạ, tác giả và nhiếp ảnh gia (.vsd, .odg, .raw, .nf, .svg, .psd).

9. Tập tin máy ảo (.vmx, .vmdk, .vdi).

Nếu lỡ như đã bị lây nhiễm bởi mã độc WannaCry, người dùng nên theo dõi trang web dự án No More Ransom – www.nomoreransom.org – đây là dự án liên minh giữa các cơ quan chức năng và nhiều hãng bảo mật danh tiếng thế giới tham gia như Kaspersky Lab, Intel Security… tham gia. Một khi tìm ra các công cụ giải mã cho một chủng loại mã độc tống tiền nào, các chuyên gia sẽ nhanh chóng chia sẻ trên trang web này để nạn nhân có thể giải cứu tập tin của mình miễn phí.

Cách phòng chống mã độc tống tiền WannaCry

  • Đảm bảo tất cả máy tính đều được cài đặt phần mềm bảo mật và bật các tính năng chống phần mềm tống tiền (ransomware), luôn cập nhật dữ liệu bảo vệ mới nhất cho phần mềm.
  • Cài đặt bản vá lỗi chính thức MS17-010 từ Microsoft để vá lỗ hổng SMB Sever bị khai thác trong đợt tấn công này.
  • Người dùng Windows XP (đã bị khai tử từ năm 2014) và Windows Server 2003 có thể tải bản vá lỗi bảo mật bằng cách truy cập vào địa chỉ sau: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
  • Nhanh chóng quét hệ thống (Critical Area Scan) trong các phần mềm Kaspersky Lab để phát hiện các lây nhiễm nhanh nhất (nếu không các lây nhiễm có thể được phát hiện tự động nhưng chỉ sau 24 giờ)
  • Nếu phát hiện có tấn công từ phần mềm độc hại như tên gọi MEM: Trojan.Win64.EquationDrug.gen thì cần reboot lại hệ thống.
  • Thường xuyên sao lưu dữ liệu vào các nơi lưu trữ không kết nối Internet như ổ cứng di động, USB hay các công cụ lưu trữ khác.

Cách thức và quy mô tấn công của WannaCry

Phân tích của Kaspersky Lab cho thấy cuộc tấn công, được gọi là “WannaCry”, được bắt đầu thông qua việc triển khai mã từ xa SMBv2 trong Microsoft Windows. Khai thác này (có tên mã là “EternalBlue”) đã được làm sẵn trên internet thông qua Shadowbrokers dump vào ngày 14 tháng 4 năm 2017 và được vá bởi Microsoft vào ngày 14 tháng 3. Thật không may, có vẻ như nhiều tổ chức và người dùng chưa cài đặt bản vá này.

Điều đáng lo ngại là không những các máy tính Windows chưa được vá đang phơi bày các dịch vụ SMB của họ có thể bị tấn công từ xa bằng khai thác “EternalBlue” và bị lây nhiễm bởi WannaCry, mà kể cả các máy tính không tồn tại lỗ hổng vẫn có khả năng bị hạ gục dễ dàng. Tuy nhiên, lỗ hổng này được xem là yếu tố chính gây ra sự bùng nổ của WannaCry.

Top 20 quốc gia bị ảnh hưởng nhiều nhất bao gồm: Nga Ukraine, Ấn Độ, Đài Loan, Tajkistan, Kazakhstan, Luxembour, Trung Quốc, Romania, Việt Nam v.v  Những ghi nhận này có thể bị hạn chế và có thể chưa thể hiện được bức tranh toàn cảnh, số lượng thực tế có thể cao hơn.

Lưu ý rằng “số tiền cần thanh toán sẽ được tăng lên” sau một lần đếm ngược cụ thể, cùng với màn hình hiển thị khác làm tăng mức độ khẩn cấp để trả tiền, đe dọa rằng người dùng sẽ hoàn toàn mất tập tin của họ sau khoảng thời gian đã thông báo. Không phải tất cả ransomware đều cung cấp bộ đếm thời gian này như WannaCry.

Để đảm bảo rằng người dùng không bỏ lỡ cảnh báo, công cụ sẽ thay đổi hình nền của người dùng bằng các hướng dẫn về cách tìm bộ giải mã.

Để sử dụng cách thanh toán bằng bitcoin, phần mềm độc hại hướng tới một trang có mã QR ở btcfrog, liên kết với một ví bitcoin chính 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94. Siêu dữ liệu hình ảnh không cung cấp bất kỳ thông tin bổ sung nào.

Những người thiết kế WannaCry đã chuẩn bị sẵn phần “Hỏi – Đáp” bằng các ngôn ngữ khác nhau, bao gồm tiếng Việt, Tiếng Trung Quốc, Đan Mạch, Hà Lan, Tiếng Anh, Philippin, Tiếng Pháp, Tiếng Nhật v.v. Những “Hỏi – Đáp” này dạng như: Tôi có thể phục hồi các tập tin của mình không? Tôi trả tiền như thế nào? Làm sao để liên hệ? v.v

;

Bài viết liên quan

Kaspersky tiết lộ hơn 500.000 vụ tấn công lừa đảo nhắm vào các doanh nghiệp tại Đông Nam Á trong năm 2024
Kaspersky tiết lộ hơn 500.000 vụ tấn công lừa đảo nhắm vào các doanh nghiệp tại Đông Nam Á trong năm 2024

02/04/2025 01:52

Theo dữ liệu mới nhất từ công ty an ninh mạng và bảo mật kỹ thuật số toàn cầu Kaspersky, tội phạm mạng đã lợi dụng các liên kết lừa đảo tài chính để xâm nhập vào hệ thống của các doanh nghiệp tại khu vực Đông Nam Á.

Kaspersky phát hiện cuộc tấn công mới SalmonSlalom nhắm vào các tổ chức công nghiệp tại khu vực châu Á - Thái Bình Dương
Kaspersky phát hiện cuộc tấn công mới SalmonSlalom nhắm vào các tổ chức công nghiệp tại khu vực châu Á - Thái Bình Dương

23/03/2025 17:16

Nhóm chuyên gia Kaspersky ICS CERT vừa phát hiện một chiến dịch tấn công mạng nhắm vào các tổ chức công nghiệp tại khu vực châu Á – Thái Bình Dương (APAC). Kẻ tấn công lợi dụng các dịch vụ điện toán đám mây hợp pháp để quản lý phần mềm độc hại và triển khai quy trình tấn công, gồm nhiều giai đoạn phức tạp để vượt kiểm duyệt của các hệ thống phát hiện xâm nhập.

Cơ quan Chính phủ và ngành công nghiệp phát triển ghi nhận số vụ tấn công an ninh mạng nghiêm trọng giảm còn 1/3 trong năm 2024
Cơ quan Chính phủ và ngành công nghiệp phát triển ghi nhận số vụ tấn công an ninh mạng nghiêm trọng giảm còn 1/3 trong năm 2024

23/03/2025 17:11

Theo báo cáo mới nhất từ giải pháp Kaspersky Managed Detection and Response (MDR) của Kaspersky, tổng số vụ tấn công an ninh mạng, có sự can thiệp trực tiếp của con người, vào các cơ quan Chính phủ và các ngành công nghiệp phát triển đã giảm đáng kể trong năm 2024. Trong khi đó, các lĩnh vực thực phẩm, công nghệ thông tin (IT), viễn thông và công nghiệp lại ghi nhận sự gia tăng.

Kaspersky báo cáo mã độc đánh cắp dữ liệu làm rò rỉ hơn 2 triệu thẻ ngân hàng
Kaspersky báo cáo mã độc đánh cắp dữ liệu làm rò rỉ hơn 2 triệu thẻ ngân hàng

23/03/2025 17:05

Theo ước tính từ Kaspersky Digital Footprint Intelligence, có tới 2,3 triệu thẻ ngân hàng đã bị rò rỉ trên dark web. Con số này được xác định dựa trên quá trình phân tích các tệp nhật ký từ mã độc đánh cắp dữ liệu trong giai đoạn 2023-2024.

Kaspersky báo cáo số vụ tấn công đánh cắp dữ liệu ngân hàng trên smartphone tăng gấp ba lần trong năm 2024
Kaspersky báo cáo số vụ tấn công đánh cắp dữ liệu ngân hàng trên smartphone tăng gấp ba lần trong năm 2024

12/03/2025 10:04

Trong năm qua, Kaspersky đã phát hiện hơn 33,3 triệu cuộc tấn công nhắm vào người dùng smartphone trên toàn cầu, liên quan đến nhiều loại mã độc và phần mềm không mong muốn.

Nhận ưu đãi Bỏ qua