WannaCry ransomware là gì, nó hoạt động như thế nào và làm sao để an toàn?

WannaCry ransomware là gì, nó hoạt động như thế nào và làm sao để an toàn?

5/5 - (1 bình chọn)
WannaCry Ransomware, còn được biết đến với tên WannaCrypt, WanaCrypt0r hoặc Wcrypt. Là một ransomware nhắm vào các hệ điều hành Windows. Phát hiện vào ngày 12 tháng 5 năm 2017, WannaCrypt được sử dụng trong một cuộc tấn công Cyber lớn và từ đó đã lây nhiễm hơn 230.000 PC Windows tại 150 quốc gia. Việt Nam nằm trong top 10 quốc gia bị lây nhiễm.
WannaCry lây nhiễm trên 150 quốc gia
150 quốc gia đã bị lây nhiễm WannaCry

WannaCry ransomware là gì?

Thông báo tống tiền nạn nhân từ WannaCry
Thông báo tống tiền nạn nhân từ WannaCry

Các đợt tấn công ban đầu của WannaCrypt bao gồm Dịch vụ y tế quốc gia của Anh, CTy viễn thông Tây Ban Nha Telefónica và FedEx. Quy mô của chiến dịch ransomware gây ra sự hỗn loạn trên khắp các bệnh viện ở Anh. Nhiều công ty và ban ngành đã phải ngừng hoạt động. Trong khi nhân viên buộc phải sử dụng bút và giấy cho công việc của họ với các hệ thống bị khóa bởi Ransomware.

WannaCry ransomware xâm nhập vào máy tính của bạn như thế nào?

Theo vết từ các cuộc tấn công trên toàn thế giới, WannaCrypt trước tiên có quyền truy cập vào hệ thống máy tính thông qua tệp đính kèm email và sau đó có thể lan truyền nhanh chóng qua mạng nội bộ LAN. Phần mềm ransomware có thể mã hóa ổ cứng hệ thống của bạn và cố gắng khai thác lỗ hổng SMB để lây lan sang các máy tính ngẫu nhiên trên Internet thông qua cổng TCP và giữa các máy tính trên cùng một mạng.

Ai tạo ra WannaCry ransomware?

Không có báo cáo nào được xác nhận về người đã tạo ra WannaCrypt mặc dù WanaCrypt0r 2.0 có vẻ là nỗ lực thứ 2 được thực hiện bởi các tác giả của nó. Người tiền nhiệm của nó, Ransomware WeCry, được phát hiện trở lại vào tháng 2 năm 2018 và yêu cầu 0,1 Bitcoin để mở khóa.

Hiện tại, những kẻ tấn công được cho là đang sử dụng Microsoft Windows khai thác Eternal Blue, được cho là do NSA tạo ra. Những công cụ này đã bị đánh cắp và rò rỉ bởi một nhóm có tên Shadow Brokers.

WannaCry lây lan bằng cách nào?

Ransomware này lây lan bằng cách sử dụng lỗ hổng trong việc triển khai Server Message Block (SMB) trong các hệ thống Windows. Khai thác này được đặt tên là EternalBlue, đã bị đánh cắp và sử dụng sai mục đích bởi một nhóm có tên Shadow Brokers.

Bất ngờ, EternalBlue là vũ khí để hack được NSA phát triển cho mục đích giành quyền truy cập và chỉ huy các máy tính chạy Microsoft Windows. Nó được thiết kế đặc biệt cho đơn vị tình báo quân sự Mỹ có quyền truy cập vào các máy tính sử dụng bởi những kẻ khủng bố.

WannaCrypt tạo ra một vectơ nhập cảnh trong các máy vẫn chưa được vá ngay cả sau khi bản sửa lỗi đã có sẵn. WannaCrypt nhắm mục tiêu tất cả các phiên bản Windows chưa được vá cho MS-17-010, được Microsoft phát hành vào tháng 3 năm 2017. Bao gồm Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Máy chủ 2012 R2, Windows 10 và Windows Server 2016.

Cách lây nhiễm phổ biến bao gồm:

Thông qua các email được thiết kế để lừa người dùng chạy phần mềm độc hại và kích hoạt chức năng lây lan sâu bằng cách khai thác SMB. Báo cáo nói rằng phần mềm độc hại này đang được gửi trong tệp Microsoft Word bị nhiễm đính kèm trong email, được ngụy trang dưới dạng lời mời làm việc, hóa đơn hoặc tài liệu khác có liên quan. Quá trình lây lan thông qua khai thác SMB khi máy tính bị nhiễm lây qua các máy tính khác.

WannaCry là một Trojan dropper

Các thuộc tính thể hiện của một Trojan dropper, WannaCry, cố gắng kết nối tên miền hxxp: // www [.] Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] Com, sử dụngAPI InternetOpenUrlA ()
Nếu kết nối thành công, mối đe dọa sẽ không lây nhiễm hệ thống nữa bằng ransomware hoặc cố gắng khai thác các hệ thống khác để phát tán; Nó chỉ đơn giản là dừng thực thi. Chỉ khi kết nối thất bại, dropper tiến hành bỏ phần mềm ransomware và tạo ra một dịch vụ trên hệ thống.

Do đó, việc chặn tên miền bằng tường lửa ở cấp độ ISP hoặc mạng doanh nghiệp sẽ khiến phần mềm ransomware tiếp tục phát tán và mã hóa các tệp.

Đây chính xác là cách một nhà nghiên cứu bảo mật thực sự ngăn chặn sự bùng phát của WannaCry Ransomware! Nhà nghiên cứu cảm thấy rằng mục tiêu của việc kiểm tra tên miền này là để ransomware kiểm tra xem nó có được chạy trong Sandbox hay không. Tuy nhiên, một nhà nghiên cứu bảo mật khác cảm thấy rằng việc kiểm tra tên miền không nhận biết được proxy.

Khi được thực thi, WannaCrypt tạo các đăng ký registry sau:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = “\tasksche.exe”
HKLM\SOFTWARE\WanaCrypt0r\wd = “”. Nó thay đổi hình nền thành tin nhắn chuộc bằng cách sửa đổi khoá registry sau:

HKCU\Control Panel\Desktop\Wallpaper: “\@WanaDecryptor@.bmp”. Tiền chuộc được yêu cầu đối với khóa giải mã bắt đầu bằng 300 đô la Bitcoin, tăng sau mỗi vài giờ.

Các phần mở rộng file bị nhiễm bởi WannaCrypt

WannaCrypt tìm kiếm toàn bộ máy tính cho bất kỳ tệp nào với bất kỳ phần mở rộng tên sau đây:.123, .jpeg, .rb, .602, .jpg, .rtf, .doc, .js, .sch, .3dm, .jsp, .sh, .3ds, .key, .sldm, .3g2, .lay, .sldm, .3gp, .lay6, .sldx, .7z, .ldf, .slk, .accdb, .m3u, .sln, .aes , .m4u, .snt, .ai, .max, .sql, .ARC, .mdb, .sqlite3, .asc, .mdf, .sqlitedb, .asf, .mid, .stc, .asm, .mkv ,. std, .asp, .mml, .sti, .avi, .mov, .stw, .backup, .mp3, .suo, .bak, .mp4, .svg, .bat, .mpeg, .swf, .bmp, .mpg, .sxc, .brd, .msg, .sxd, .bz2, .myd, .sxi, .c, .myi, .sxm, .cgm, .nef, .sxw ,. class, .odb ,. , .cmd, .odg, .tbk, .cpp, .odp, .tgz, .crt, .ods, .tif, .cs, .odt, .tiff, .csr, .onetoc2, .txt, .csv ,. las, .uop, .db, .otg, .uot, .dbf, .otp, .vb, .dch, .ots, .vbs, .der, .ott, .vcd, .dif, .p12, .vdi , .dip, .PAQ, .vmdk, .djvu, .pas, .vmx, .docb, .pdf, .vob, .docm, .pem, .vsd, .docx, .pfx ,. vsdx, .dot, .php, .wav, .dotm, .pl, .wb2, .dotx, .png, .wk1, .dwg, .pot, .wks, .edb, .potm, .wma, .eml, .potx, .wmv, .fla, .ppam, .xlc, .flv, .pps, .xlm, .frm, .ppsm, .xls, .gif, .ppsx, .xlsb, .gpg, .ppt, .xlsm , .gz, .pptm, .xlsx, .h, .pptx, .xlt, .hwp, .ps1, .xltm, .ibd, .sheet, .xltx, .iso, .pst, .xlw, .jar ,. rar, .zip, .java, .raw
Sau đó, nó đổi tên chúng bằng cách nối thêm .WNCRY ‘vào tên tệp.

WannaCry có khả năng lan truyền cực nhanh

Chức năng worm trong WannaCry cho phép nó lây nhiễm các máy Windows chưa được vá trong mạng cục bộ. Đồng thời, nó cũng thực hiện quét lớn trên các địa chỉ IP Internet để tìm và lây nhiễm các PC dễ bị tổn thương khác. Hoạt động này dẫn đến dữ liệu lưu lượng SMB lớn đến từ máy chủ bị nhiễm và có thể dễ dàng theo dõi bởi nhân viên SecOps.
Khi WannaCry lây nhiễm thành công một máy dễ bị tấn công, nó sẽ sử dụng nó để lây nhiễm các PC khác. Chu kỳ tiếp tục lặp lại, khi định tuyến quét phát hiện ra các máy tính chưa được vá.

Cách bảo vệ an toàn trước WannaCry?

1.Microsoft khuyên bạn nên nâng cấp lên Windows 10 vì nó được trang bị các tính năng mới nhất và giảm thiểu khả năng lây nhiễm.
2. Cài đặt bản cập nhật bảo mật MS17-010 do Microsoft phát hành. Công ty cũng đã phát hành các bản vá bảo mật cho các phiên bản Windows không được hỗ trợ như Windows XP, Windows Server 2003, v.v.
3.Người dùng Windows nên hết sức cảnh giác với email lừa đảo -Phishing và rất cẩn thận trong khi mở tệp đính kèm email hoặc nhấp vào liên kết web.
4.Tạo bản sao lưu dữ liệu và giữ chúng an toàn
5. Windows Defender Antivirus phát hiện mối đe dọa này là Ransom: Win32 / WannaCrypt, vì vậy hãy bật và cập nhật và chạy Windows Defender Antivirus để phát hiện phần mềm ransomware này.
6. Sử dụng một số Công cụ Ransomware Anti-WannaCry.
7. EternalBlue Vulnerability Checker là một công cụ miễn phí kiểm tra xem máy tính Windows của bạn có dễ bị khai thác EternalBlue hay không.
8. Vô hiệu hóa SMB1 với các bước được ghi lại ở KB2696547.
9. Xem xét quy tắc trên bộ định tuyến hoặc tường lửa của bạn để chặn lưu lượng SMB đến trên cổng 445
10. Người dùng doanh nghiệp có thể sử dụng Device Guard để khóa thiết bị và cung cấp bảo mật dựa trên ảo hóa cấp hạt nhân, chỉ cho phép các ứng dụng đáng tin cậy chạy.

WannaCrypt có thể đã bị tạm dừng, nhưng có thể sẽ có một biến thể mới hơn sẽ tấn công dữ dội hơn, vì vậy bạn cần giữ an toàn và bảo mật cho mình.

Nguồn: thewindowsclub.com

Related Post

One Comment

Leave a Reply

Your email address will not be published. Required fields are marked *