ĐĂNG NHẬP TÀI KHOẢN

liên hệ

WannaCry là gì và cách phòng chống

Mã độc WannaCry là gì?

Virus Wannacry (Tiếng Việt nghĩa là “Muốn Khóc”) hiện đang gây nên 1 cơn sốt trên toàn thế giới với hơn 100 quốc gia đã có báo cáo bị nó hoành hành.

Vốn là 1 loại ransomeware (Mã độc đòi tiền chuộc), mã độc này sẽ khóa dữ liệu của bạn trong 7 ngày và nếu bạn muốn mở khóa thì phải gửi tiền chuộc cho chúng dưới dạng tiền bitcoin (1 loại tiền ảo hay được sử dụng để giao dịch trên mạng).

Giá tiền chuộc sẽ tăng dần từ 300$ trong 3 ngày đầu bị khóa lên 600$ với 4 ngày còn lại. Tức là bạn càng chậm trễ gửi tiền thì tiền chuộc sẽ càng tăng lên và sau 7 ngày không gửi tiền thì toàn bộ dữ liệu trong máy tính của bạn sẽ bị xóa hoàn toàn. Thêm vào đó virus này sẽ tự động gửi link chứa mã độc cho tất cả bạn bè trên mạng xã hội cũng như thông qua email.

Hiện tại nạn nhân lớn nhất của WannaCry là Dịch vụ Y tế Quốc gia Anh (NHS)

123

Ước tính vụ tấn công mạng diễn ra trên quy mô toàn cầu, ảnh hưởng tới khoảng trên 100 quốc gia, trong đó có Anh, Mỹ, Trung Quốc, Nga, Tây Ban Nha, Italy, Đài Loan (Trung Quốc), Việt Nam và nhiều quốc gia khác. Theo các chuyên gia của Intel, hiện lỗ hổng đã ghi nhận tại Hà Nội và Hồ Chí Minh, và có thể lan rộng trên toàn quốc.

 WannaCry tìm ra lỗ hổng bảo mật và lây nhiễm chúng bên trong tổ chức bằng cách khai thác lỗ hổng được công bố bởi công cụ NSA đã bị đánh cắp bởi nhóm hacker The Shadow Brokers. Mã độc tống tiền này chủ yếu khai thác vào lỗ hổng của giao thức SMB mà các tổ chức cá nhân chưa vá lỗ hổng kịp thời, tập trung vào Win2k8 R2 và Win XP.

Phòng bệnh hơn chữa bệnh
321
Trước ngày 13/2 có 1 số trang web kiểm tra mã độc nhưng ngay sau đó WannaCry đã nâng cấp lên phiên bản 2.0 và các trang web kiểm tra trở thành nguồn phát tán.

Cho tới hôm nay 15/5/2017 chưa có cách gì để cứu được dữ liệu sau khi bị mã hóa. Cách duy nhất để phục hồi được dữ liệu là trả tiền chuộc. Vì vậy việc phòng chống trước khi bị virus tấn công là cách duy nhất để thoát khỏi đại dịch toàn cầu này.

Hiện giờ cư dân mạng đang chia sẻ nhau các cách phòng chống Wanna Cry, nhưng đa số chỉ là các phương pháp bị động như update windows hoặc cài đặt các phần mềm diệt virus.

Chúng tôi xin đưa ra cho các bạn giải pháp an toàn nhất hiện nay.

Kiểm tra port 445

Mở CMD quyền Admin và gõ netstat -an | findstr 445. Nếu gõ không hiện ra cái gì thì là OK còn nếu có chữ LISTENNING thì phải block port ngay.

 

Tắt SMB

Mở Start-> Windows PowerShell-> Phải chuột vào Windows Powershell chọn Run as administrator Copy từng dòng Paste vào. Nếu nó hiện lỗi gì thì bỏ qua sang dòng khác. (Ctrl+C sau đó nhấp chuột phải là dòng tự động paste vào CMD. Không Ctrl+V).

Remove-WindowsFeature FS-SMB1

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

exe config lanmanworkstation depend= bowser/mrxsmb20/nsi

exe config mrxsmb10 start= disabled

exe config lanmanworkstation depend= bowser/mrxsmb10/nsi

exe config mrxsmb20 start= disabled

Set-SmbServerConfiguration -EnableSMB2Protocol $false

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB2 -Type DWORD -Value 0 -Force ​

 

Chặn port 445/137/138/139 trên Firewall

Máy nào cài Antivirus mà có tường lửa riêng thì phải cấu hình trên tường lửa riêng của Anivirus. Còn máy nào ko xài Antivirus hoặc Windows Defener thì làm như sau:

B1: Mở Start search cụm từ Firewall và chọn Windows Firewall with Advanced security

B2: Inbound Rules-> New Rule-> Port

B3: Chọn UDP-> Specific local ports nhập dòng này vào 445, 137, 138, 139

B4: Block the connection

B5: Tick cả 3 cái

B6: Đặt tên tùy ý-> finish

B7: Kiểm tra lại xem bật firewall chưa, chưa thì bật lên

 

Tắt Sever Service

B1: Run-> Services.msc

B2: Tìm tới Services tên là Server. Phải chuột chọn Stop

B3: Click đúp vào nó. Startup type sửa thành Disabled. Apply->OK

 

 

Sau khi làm xong tất cả RESTART LẠI MÁY. CẤM SHUTDOWN

 

Bên cạnh đó, cần thường xuyên sao lưu dữ liệu và có các phương án backup dữ liệu của doanh nghiệp; đề phòng các link lạ, trong đó đối với các doanh nghiệp tốt nhất nên có một máy riêng để nhân viên remote khi họ nghi ngờ mail không an toàn; đối với người dùng cá nhân luôn cài phần mềm chống virus trên di động và máy tính, đặc biệt là các phần mềm chuyên biệt dành cho mã độc mã hoá dữ liệu.