WannaCry là một loại mã độc tống tiền [ransomware], với các tên gọi khác nhau như WannaCrypt0r 2.0 hay WCry. Phần mềm độc hại này mã hóa dữ liệu của máy tính và ngăn cản người dùng truy cập dữ liệu trên đó cho đến khi tin tặc nhận được tiền chuộc. Mã độc tống tiền wanna cry virus đã tấn công và làm tê liệt nhiều hệ thống máy tính lớn trên thế giới, khiến cho các tổ chức, doanh nghiệp gặp rất nhiều khó khăn.
Tìm hiểu khái niệm và cơ chế hoạt động của wanna cry virus
1. Wanna cry virus là gì?
WannaCry là một loại mã độc tống tiền [ransomware], với các tên gọi khác nhau như WannaCrypt0r 2.0 hay WCry. Phần mềm độc hại này mã hóa dữ liệu của máy tính và ngăn cản người dùng truy cập dữ liệu trên đó cho đến khi tin tặc nhận được tiền chuộc. Các chuyên gia cho rằng, mã độc này nguy hiểm vì, nó hỗ trợ tin tặc “giữ” dữ liệu của người dùng làm “con tin” để tống tiền các cá nhân hoặc tổ chức/doanh nghiệp. Việc làm này được cho là hiệu quả hơn việc đánh cắp hoặc xóa đi dữ liệu trên máy tính.
2. Cơ chế hoạt động của wanna cry virus
Khi được cài đặt vào máy tính, wanna cry virus sẽ tìm kiếm các tập tin [thông thường là các tập tin văn bản] trong ổ cứng và mã hóa chúng, sau đó để lại cho chủ sở hữu một thông báo yêu cầu trả tiền chuộc nếu muốn giải mã dữ liệu. Mã độc wanna cry virus khai thác lỗ hổng của hệ điều hành Windows mà Cơ quan An ninh Quốc gia Mỹ [NSA] đã nắm giữ. Tội phạm mạng đã sử dụng chính những công cụ của NSA để phát tán và lây lan mã độc.
Khi bị nhiễm mã độc WannaCry, người dùng sẽ khó phát hiện, cho đến khi nhận được thông báo cho biết máy tính đã bị khóa và các tập tin đã bị mã hóa. Để khôi phục dữ liệu, người dùng cần phải trả một khoản tiền ảo Bitcoin trị giá khoảng 300 USD cho kẻ tấn công.
Sau 3 ngày chưa thanh toán, mức tiền chuộc sẽ tăng lên gấp đôi và sau thời hạn 7 ngày, dữ liệu của người dùng sẽ bị mất. Màn hình của máy tính bị nhiễm WannaCry sẽ hiển thị đầy đủ thông tin để người dùng thanh toán, chạy đồng hồ đếm ngược thời gian và được thể hiện bằng 28 ngôn ngữ khác nhau.
Cách wanna cry virus lây nhiễm trên diện rộng
1. WannaCry có 2 cách thức lây lan chính:
Cách 1: Phát tán qua phương thức thông thường là đính kèm vào các bản “bẻ khóa” của phần mềm rồi chia sẻ lên các trang web có nhiều người truy cập. Mục đích là để người dùng tải về và kích hoạt hoặc truy cập vào các trang web độc hại để lây nhiễm mã độc. Về mặt kỹ thuật, wanna cry virus phát tán qua các mạng lưới phát tán mã độc và bộ khai thác Exploit Kit.
Cách 2: Lây lan qua mạng LAN bằng cách khai thác các lỗ hổng EternalBlue của dịch vụ SMB mà NSA phát triển bí mật, nhưng sau đó đã bị nhóm tin tặc ShadowBroker đánh cắp và phát hành công khai. Cách này đã làm cho WannaCry lây lan một cách nhanh chóng trên toàn thế giới.
2. Nhiều quốc gia bị tấn công liên tục bởi wanna cry virus
Cuộc tấn công mã độc này đã làm ảnh hưởng đến hàng triệu người dùng. Theo số liệu được công bố trên kênh truyền hình BBC của Anh, chỉ trong thời gian ngắn, cuộc tấn công này đã gây ảnh hưởng tới hơn 150 quốc gia trên thế giới, khiến khoảng 200 nghìn hệ thống mạng bị ảnh hưởng, trong đó có Việt Nam. Đây được coi là một trong những cuộc tấn công mạng gây thiệt hại lớn nhất từ trước tới nay.
Đức, Nga, Tây Ban Nha, Mỹ… là những quốc gia cũng bị ảnh hưởng nặng nề bởi các cuộc tấn công mạng trên quy mô lớn. Tại Đức, mã độc này tấn công vào ngành đường sắt gây ảnh hưởng cho một số nhà ga và quầy bán vé. Tại Nga, mã độc này đã tấn công hệ thống công nghệ thông tin ngành đường sắt, nhưng chưa gây ảnh hưởng đến vận hành. Mã độc này cũng lây nhiễm vào một số ngân hàng ở Nga, nhưng chưa có phát hiện nào cho thấy rò rỉ thông tin dữ liệu khách hàng.
Theo bản đồ theo dõi các vùng bị wanna cry virus tấn công do Intel lập, các quốc gia bị ảnh hưởng nghiêm trọng bao gồm các nước thuộc khu vực ở Châu Âu, Mỹ và Trung Quốc….
Tại Việt Nam, Hà Nội và TP. Hồ Chí Minh cũng xuất hiện trên bản đồ khu vực bị ảnh hưởng.
Ngày 13/5/2017, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam [VNCERT] đã có công văn gửi các đơn vị chuyên trách về an toàn thông tin về việc theo dõi, ngăn chặn kết nối máy chủ điều khiển mã độc wanna cry virus.
Ngày 16/5/2017, theo thống kê từ Hệ thống giám sát virus của Bkav, tại Việt Nam đã có hơn 1.900 máy tính bị lây nhiễm mã độc tống tiền WannaCry. Trong đó, gần 1.600 máy tính được ghi nhận thuộc 243 tổ chức, doanh nghiệp và gần 300 máy tính là của người sử dụng cá nhân.
Các chuyên gia Bkav cho biết, với khoảng 52% máy tính tại Việt Nam [tức gần 4 triệu máy tính] chưa được vá lỗ hổng EternalBlue, các máy tính này có thể bị nhiễm wanna cry virus nếu tin tặc mở rộng việc tấn công.
Tại sao wanna cry virus lại nguy hiểm hơn các ransomware khác
WannaCry và các biến thể của nó khai thác một lỗ hổng trên hệ điều hành Windows mà Cơ quan An ninh Quốc gia Mỹ [NSA] nắm giữ. Tội phạm mạng đã sử dụng chính những công cụ của NSA để lây lan ransomware.
Lỗ hổng nghiêm trọng này trên hệ điều hành Windows cũng mới chỉ được phát hiện vào tháng 2 năm nay. Microsoft đã tung ra bản vá vào ngay tháng 3 nhưng có rất nhiều máy tính trên thế giới không được nhận kịp thời bản cập nhật này.
Trong đó, đáng kể là các nước đang phát triển sử dụng hệ điều hành, ứng dụng “lậu”. Các công ty, tổ chức hạn chế kết nối mạng ngoài cũng khó lòng cập nhật các bản vá kịp thời. Đây cũng là lý do các bệnh viện, tổ chức y tế tại Anh, công ty viễn thông Telefónica của Tây Ban Nha, dịch vụ chuyển phát nhanh FedEx của Mỹ cũng nằm trong danh sách nạn nhân ảnh hưởng nặng nề nhất.
Làm sao để hạn chế thiệt hại
Theo các chuyên gia bảo mật, bước đầu tiên trong bối cảnh hiện nay là người dùng cần hết sức thận trọng với mọi thông tin được gửi đến. Nhưng giáo sư John Villasenor của Đại học California, Los Angeles [Mỹ] lại khẳng định “không có giải pháp nào hoàn hảo” để chống cuộc tấn công này.
Người dùng nên thường xuyên sao lưu dữ liệu để đảm bảo có thể lấy lại bất kể khi nào cần. Tính năng sao lưu sẽ giúp chủ sở hữu không phải trả số tiền lớn để chuộc.
Cuộc tấn công đều khai thác vào một lỗ hổng của Windows nhưng đã được Microsoft phát hành bản vá. Người dùng cần cập nhật ngay lên phiên bản Windows mới nhất để tránh mã độc có thể khai thác. Việc không mở các email lạ, giả mạo cũng là điều cần phải làm triệt để trong thời gian này.
Cảnh báo và khuyến nghị khi bị wanna cry virus tấn công
Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ đã đưa ra hướng dẫn cách ngăn ngừa và giảm thiểu thiệt hại do WannaCry gây ra như sau:
1. Đối với cá nhân
– Thực hiện cập nhật hệ điều hành Windows đang sử dụng.
– Cập nhật các chương trình antivius đang sử dụng. Đối với các máy tính chưa có phần mềm antivirus cần tiến hành cài đặt và sử dụng ngay một phần mềm antivirus có bản quyền.
– Cẩn trọng khi nhận được email có đính kèm và các đường dẫn lạ được gửi trong email, trên các mạng xã hội, công cụ chat….
– Cần thận trọng khi mở các tệp tin đính kèm tệp ngay cả khi nhận được từ những địa chỉ quen thuộc. Sử dụng các công cụ kiểm tra phần mềm độc hại trực tuyến hoặc có bản quyền trên máy tính với các file này trước khi mở chúng.
– Không mở các đường dẫn có đuôi .hta hoặc đường dẫn có cấu trúc không rõ ràng, các đường dẫn rút gọn.
– Thực hiện biện pháp sao lưu [dự phòng] dữ liệu quan trọng.
2. Đối với tổ chức, doanh nghiệp
Các quản trị viên hệ thống cần thực hiện các nội dung sau:
– Kiểm tra các máy chủ và tạm thời khóa [block] các dịch vụ đang sử dụng các cổng 445/137/138/139.
– Tiến hành các biện pháp cập nhật sớm, phù hợp theo đặc thù các máy chủ Windows của tổ chức. Tạo các bản snapshot đối với các máy chủ ảo đề phòng việc bị tấn công.
– Có biện pháp cập nhật các máy trạm đang sử dụng hệ điều hành Windows.
– Cập nhật cơ sở dữ liệu cho các máy chủ Antivirus Endpoint đang sử dụng. Đối với hệ thống chưa sử dụng các công cụ này thì cần triển khai sử dụng các phần mềm Endpoint có bản quyền và cập nhật ngay cho các máy trạm.
– Tận dụng các giải pháp đảm bảo an toàn thông tin đang có sẵn trong tổ chức như Firewall, IDS/IPS, SIEM…
– Thực hiện các biện pháp lưu trữ dữ liệu quan trọng.
– Liên hệ với các cơ quan chức năng cũng như các tổ chức, doanh nghiệp trong lĩnh vực an toàn thông tin để được hỗ trợ khi cần thiết.