Các phòng chống siêu virus máy tính Ransomware WannaCry
Các loại mã độc tống tiền
đã xuất hiện từ lâu nhưng chỉ với quy mô nhỏ lẻ, tuy nhiên vài ngày qua, sự xuất
hiện của ransomware WannaCry với sự lây
lan và quy mô rộng lớn đã khiến toàn thế giới bàng hoàng và điêu đứng, mình xin
phép mở topic cùng anh em pubs bàn luận về vấn đề này nhé!
Ransomware là gì?
Ransomware là một loại mã độc mà khi máy tính bị lây nhiễm sẽ bị mã hóa các tệp tin, thư mục và ổ đĩa thiết bị, thậm chí toàn bộ hệ thống mạng được kết nối. Người dùng sẽ phải trả tiền cho người đã tạo ra loại mã độc này để mở khóa lấy lại dữ liệu hoặc không thì dữ liệu sẽ bị mất!
Loại tiền tệ để thanh toán tống tiền được sử dụng là bitcoin, các hacker luôn sử dụng loại tiền ảo này để tránh sự truy tìm nguồn gốc.
Ransomware WannaCry
- Tên của loại mã độc đang làm mưa làm gió mấy ngày qua là WannaCry (hiện tại đã có biến thể 2.0), chúng còn có tên gọi khác là WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY
- Các đối tượng bị nhiễm bao gồm tất cả các phiên bản Windows từ Windows 10 trở về trước nếu chưa cập nhật bản vá MS-17-010 và đang bật SMBv1. Con ransomware này sử dụng lỗi và công cụ khai thác của NSA bị leak bởi nhóm tin tặc Shadow Broker.
- Số tiền mà hacker đòi chuộc lại dữ liệu là từ 300$ đến 600$, tuy nhiên trả tiền chưa chắc chúng đã gửi lại key giải mã!
- Đợt tấn công lần này có quy mô rất lớn với hơn 200.000 máy tính tại hơn 150 quốc gia đã chịu sự lây nhiễm, đặc biệt là các tập đoàn lớn như công ty vận tải FedEx, Hệ thống Dịch vụ Y tế Quốc gia Anh (NHS) và Bộ Nội vụ Nga. Theo công ty an ninh mạng Kaspersky Lab, Nga là nước chịu ảnh hưởng nặng nề nhất, tiếp đến là Ukraina, Ấn Độ và Đài Loan.
- Các thông tin cảnh báo đòi tiền chuộc của WannaCry được dịch ra nhiều ngôn ngữ, trong có có cả tiếng Việt.
- Bản đồ cập nhật sự lây nhiễm của WannaCry xem tại đây, link từ báo New York Times: https://www.nytimes.com/interactive/...-map.html?_r=0
- Thông tin chi tiết về WannaCry xem tại đây: https://gist.github.com/rain-1/98942...93ee6efbc0b168
Ransomware là gì?
Ransomware là một loại mã độc mà khi máy tính bị lây nhiễm sẽ bị mã hóa các tệp tin, thư mục và ổ đĩa thiết bị, thậm chí toàn bộ hệ thống mạng được kết nối. Người dùng sẽ phải trả tiền cho người đã tạo ra loại mã độc này để mở khóa lấy lại dữ liệu hoặc không thì dữ liệu sẽ bị mất!
Loại tiền tệ để thanh toán tống tiền được sử dụng là bitcoin, các hacker luôn sử dụng loại tiền ảo này để tránh sự truy tìm nguồn gốc.
Ransomware WannaCry
- Tên của loại mã độc đang làm mưa làm gió mấy ngày qua là WannaCry (hiện tại đã có biến thể 2.0), chúng còn có tên gọi khác là WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY
- Các đối tượng bị nhiễm bao gồm tất cả các phiên bản Windows từ Windows 10 trở về trước nếu chưa cập nhật bản vá MS-17-010 và đang bật SMBv1. Con ransomware này sử dụng lỗi và công cụ khai thác của NSA bị leak bởi nhóm tin tặc Shadow Broker.
- Số tiền mà hacker đòi chuộc lại dữ liệu là từ 300$ đến 600$, tuy nhiên trả tiền chưa chắc chúng đã gửi lại key giải mã!
- Đợt tấn công lần này có quy mô rất lớn với hơn 200.000 máy tính tại hơn 150 quốc gia đã chịu sự lây nhiễm, đặc biệt là các tập đoàn lớn như công ty vận tải FedEx, Hệ thống Dịch vụ Y tế Quốc gia Anh (NHS) và Bộ Nội vụ Nga. Theo công ty an ninh mạng Kaspersky Lab, Nga là nước chịu ảnh hưởng nặng nề nhất, tiếp đến là Ukraina, Ấn Độ và Đài Loan.
- Các thông tin cảnh báo đòi tiền chuộc của WannaCry được dịch ra nhiều ngôn ngữ, trong có có cả tiếng Việt.
- Bản đồ cập nhật sự lây nhiễm của WannaCry xem tại đây, link từ báo New York Times: https://www.nytimes.com/interactive/...-map.html?_r=0
- Thông tin chi tiết về WannaCry xem tại đây: https://gist.github.com/rain-1/98942...93ee6efbc0b168
Các file có thể lây nhiễm
Một trong những cách phòng chống:
Tác giả: Kiet Nguyen Anh Production
Admin of Linux Team Việt Nam
A.Kiểm tra port 445
Mở CMD quyền Admin và gõ
netstat -an | findstr 445
Nếu gõ không hiện ra cái gì thì là OK còn nếu có chữ LISTENNING thì phải block port ngay
B. Tắt SMB (Mở Powershell lên và oánh các lệnh sau)
Mở Start-> Windows PowerShell-> Phải chuột vào Windows Powershell chọn Run as administrator
Copy từng dòng Paste vào. Nếu nó hiện lỗi gì thì bỏ qua sang dòng khác
Remove-WindowsFeature FS-SMB1
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled
Set-SmbServerConfiguration -EnableSMB2Protocol $false
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanSer ver\Parameters" SMB2 -Type DWORD -Value 0 -Force
B. Chặn port 445/137/138/139 trên Firewall
Máy nào cài Antivirus mà có tường lửa riêng thì phải cấu hình trên tường lửa riêng
của Anivirus
Còn máy nào ko xài Antivirus hoặc Windows Defener thì làm như sau
B1: Mở Start search cụm từ Firewall và chọn Windows Firewall with Advanced security
B2: Inbound Rules-> New Rule-> Port
B3: Chọn UDP-> Specific local ports nhập dòng này vào 445, 137, 138, 139
B4: Block the connection
B5: Tick cả 3 cái
B6: Đặt tên tùy ý-> finish
B7: Kiểm tra lại xem bật firewall chưa, chưa thì bật lên
C. Tắt Sever service
B1: Run-> Services.msc
B2: Tìm tới Services Server. Phải chuột chọn Stop
B3: Click đúp vào nó. Startup type sửa thành Disabled. Apply->OK
Sau khi làm xong tất cả RESTART LẠI MÁY. CẤM SHUTDOWN
- Con này kinh khủng ở chỗ nào: nó có tốc độ phát tán cực nhanh trong mạng LAN và trên internet, 1 máy trong mạng LAN bị nhiễm nó có khả năng lây nhiễm có khả năng lây nhiễm cho các máy khác ở tốc độ 2^n nên để phòng tránh các thím hãy làm các bước dưới đây:
- Đầu tiên là update ngay các bản vá bảo mật của windows ngay khi có thể
- block ngay giao thức SMBv1 (một số thím bị lỗi ở đây, thực ra nếu block port (bên dưới) thì bước này là làm triệt để thôi, không có cũng không quá quan trọng)
mở cmd với quyền Administrator, paste vào rồi hưởng thụ
- nếu không cần thiết phải dùng remote desktop connection hay smb trên internet, block port 445/139/3389 trên router hay nếu không bao giờ dùng 2 tính năng trên thì block trực tiếp trên firewall của windows để ngăn chặn các victim scan port của IP bạn rồi lây nhiễm qua lỗ hổng bảo mật của 2 thằng trên
+ tiếp tục trên cmd, copy từng cái một rồi chạy
- Ngoài ra nó vẫn giống loại thông thường, tức là nếu vô tình hay hữu ý chạy nó trên máy thì dù có patch vẫn dính nhé, nên là:
- luôn cài chương trình diệt virus trong máy, hiện mấy thằng AV nổi tiếng đã cập nhật signature của con này, thậm chỉ cả cái windows defender cùi bắp (mà thằng này cũng mới dính 0days nên mình không khuyến khích, vừa cùi vừa nặng máy )
++
- không mở các file từ nguồn lạ, ví dụ như ít nữa có ông nào quăng link này nọ thì nhớ check kĩ kẻo sướng con mắt một tí mà đi hết data đấy - nếu đã dính bầu : đi tìm bản backup đi, còn không thì format luôn là vừa, sau khi hết thời hạn là nó hủy toàn bộ các file đã bị encrypt chứ không dọa đâu
Tác giả: Kiet Nguyen Anh Production
Admin of Linux Team Việt Nam
A.Kiểm tra port 445
Mở CMD quyền Admin và gõ
netstat -an | findstr 445
Nếu gõ không hiện ra cái gì thì là OK còn nếu có chữ LISTENNING thì phải block port ngay
B. Tắt SMB (Mở Powershell lên và oánh các lệnh sau)
Mở Start-> Windows PowerShell-> Phải chuột vào Windows Powershell chọn Run as administrator
Copy từng dòng Paste vào. Nếu nó hiện lỗi gì thì bỏ qua sang dòng khác
Remove-WindowsFeature FS-SMB1
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled
Set-SmbServerConfiguration -EnableSMB2Protocol $false
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanSer ver\Parameters" SMB2 -Type DWORD -Value 0 -Force
B. Chặn port 445/137/138/139 trên Firewall
Máy nào cài Antivirus mà có tường lửa riêng thì phải cấu hình trên tường lửa riêng
của Anivirus
Còn máy nào ko xài Antivirus hoặc Windows Defener thì làm như sau
B1: Mở Start search cụm từ Firewall và chọn Windows Firewall with Advanced security
B2: Inbound Rules-> New Rule-> Port
B3: Chọn UDP-> Specific local ports nhập dòng này vào 445, 137, 138, 139
B4: Block the connection
B5: Tick cả 3 cái
B6: Đặt tên tùy ý-> finish
B7: Kiểm tra lại xem bật firewall chưa, chưa thì bật lên
C. Tắt Sever service
B1: Run-> Services.msc
B2: Tìm tới Services Server. Phải chuột chọn Stop
B3: Click đúp vào nó. Startup type sửa thành Disabled. Apply->OK
Sau khi làm xong tất cả RESTART LẠI MÁY. CẤM SHUTDOWN
- Con này kinh khủng ở chỗ nào: nó có tốc độ phát tán cực nhanh trong mạng LAN và trên internet, 1 máy trong mạng LAN bị nhiễm nó có khả năng lây nhiễm có khả năng lây nhiễm cho các máy khác ở tốc độ 2^n nên để phòng tránh các thím hãy làm các bước dưới đây:
- Đầu tiên là update ngay các bản vá bảo mật của windows ngay khi có thể
- block ngay giao thức SMBv1 (một số thím bị lỗi ở đây, thực ra nếu block port (bên dưới) thì bước này là làm triệt để thôi, không có cũng không quá quan trọng)
mở cmd với quyền Administrator, paste vào rồi hưởng thụ
Quote:
dism /online /norestart /disable-feature /featurename:SMB1Protocol |
+ tiếp tục trên cmd, copy từng cái một rồi chạy
Quote:
netsh advfirewall firewall add rule name="Disable SMB" dir=in action=block protocol=TCP localport=137 netsh advfirewall firewall add rule name="Disable SMB" dir=in action=block protocol=TCP localport=138 netsh advfirewall firewall add rule name="Disable SMB" dir=in action=block protocol=TCP localport=139 netsh advfirewall firewall add rule name="Disable SMB" dir=in action=block protocol=TCP localport=445 netsh advfirewall firewall add rule name="Disable SMB" dir=in action=block protocol=TCP localport=137 netsh advfirewall firewall add rule name="Disable SMB" dir=in action=block protocol=UDP localport=138 netsh advfirewall firewall add rule name="Disable SMB" dir=in action=block protocol=UDP localport=139 netsh advfirewall firewall add rule name="Disable SMB" dir=in action=block protocol=UDP localport=445 netsh advfirewall firewall add rule name="Disable RDC" dir=in action=block protocol=TCP localport=3389 |
- Ngoài ra nó vẫn giống loại thông thường, tức là nếu vô tình hay hữu ý chạy nó trên máy thì dù có patch vẫn dính nhé, nên là:
- luôn cài chương trình diệt virus trong máy, hiện mấy thằng AV nổi tiếng đã cập nhật signature của con này, thậm chỉ cả cái windows defender cùi bắp (mà thằng này cũng mới dính 0days nên mình không khuyến khích, vừa cùi vừa nặng máy )
++
- không mở các file từ nguồn lạ, ví dụ như ít nữa có ông nào quăng link này nọ thì nhớ check kĩ kẻo sướng con mắt một tí mà đi hết data đấy - nếu đã dính bầu : đi tìm bản backup đi, còn không thì format luôn là vừa, sau khi hết thời hạn là nó hủy toàn bộ các file đã bị encrypt chứ không dọa đâu
Quote:
[21:07 14/05] |
Quote:
cập nhật tí là từ sáng sớm hôm nay đã có rumor xuất hiện v2, tính đến thời điểm hiện tại thì gần như đã chắc chắn là v2 của con này đã xuất hiện và nó không check xem cái url được hardcode có tồn tại không, hay tóm gọn lại là chưa có cách nào ngăn nó hành động nữa tuy nhiên phương thức lây nhiễm của nó thì vẫn là qua các lỗ hổng trên mai lại là ngày bắt đầu đi làm, rất mong các thím dành tầm 10 - 15p để cập nhật vá lại cũng như disable SMB và chặn port, vì biết đâu đấy trong hệ thống LAN của công ty các thím đã có victim bị nhiễm con này, và tốc độ phát tán trong LAN cũng như số lượng các file có extension có khả năng bị mã hóa là rất lớn chúc các thím sống sót qua đại nạn |
Ngoài ra, bạn nên update nhanh nhất có thể các bản vá của Windows, update các chương trình AntiVirus lên dữ liệu mới nhất, các hệ thống quá cũ nên ngắt mạng và nằm im chờ bão tan
Các phòng chống siêu virus máy tính Ransomware WannaCry
Reviewed by Shark
on
6:10 PM
Rating:
No comments: