Virus Wannacry (Tiếng Việt nghĩa là “Muốn Khóc”) hiện đang gây nên 1 cơn sốt trên toàn thế giới với hơn 100 quốc gia đã có báo cáo bị nó hoành hành.
Vốn là 1 loại ransomeware (Mã độc đòi tiền chuộc), mã độc này sẽ khóa dữ liệu của bạn trong 7 ngày và nếu bạn muốn mở khóa thì phải gửi tiền chuộc cho chúng dưới dạng tiền bitcoin (1 loại tiền ảo hay được sử dụng để giao dịch trên mạng).
Giá tiền chuộc sẽ tăng dần từ 300$ trong 3 ngày đầu bị khóa lên 600$ với 4 ngày còn lại. Tức là bạn càng chậm trễ gửi tiền thì tiền chuộc sẽ càng tăng lên và sau 7 ngày không gửi tiền thì toàn bộ dữ liệu trong máy tính của bạn sẽ bị xóa hoàn toàn. Thêm vào đó virus này sẽ tự động gửi link chứa mã độc cho tất cả bạn bè trên mạng xã hội cũng như thông qua email.
Hiện tại nạn nhân lớn nhất của WannaCry là Dịch vụ Y tế Quốc gia Anh (NHS)
Ước tính vụ tấn công mạng diễn ra trên quy mô toàn cầu, ảnh hưởng tới khoảng trên 100 quốc gia, trong đó có Anh, Mỹ, Trung Quốc, Nga, Tây Ban Nha, Italy, Đài Loan (Trung Quốc), Việt Nam và nhiều quốc gia khác. Theo các chuyên gia của Intel, hiện lỗ hổng đã ghi nhận tại Hà Nội và Hồ Chí Minh, và có thể lan rộng trên toàn quốc.
WannaCry tìm ra lỗ hổng bảo mật và lây nhiễm chúng bên trong tổ chức bằng cách khai thác lỗ hổng được công bố bởi công cụ NSA đã bị đánh cắp bởi nhóm hacker The Shadow Brokers. Mã độc tống tiền này chủ yếu khai thác vào lỗ hổng của giao thức SMB mà các tổ chức cá nhân chưa vá lỗ hổng kịp thời, tập trung vào Win2k8 R2 và Win XP.
Phòng bệnh hơn chữa bệnh
Trước ngày 13/2 có 1 số trang web kiểm tra mã độc nhưng ngay sau đó WannaCry đã nâng cấp lên phiên bản 2.0 và các trang web kiểm tra trở thành nguồn phát tán.
Cho tới hôm nay 15/5/2017 chưa có cách gì để cứu được dữ liệu sau khi bị mã hóa. Cách duy nhất để phục hồi được dữ liệu là trả tiền chuộc. Vì vậy việc phòng chống trước khi bị virus tấn công là cách duy nhất để thoát khỏi đại dịch toàn cầu này.
Hiện giờ cư dân mạng đang chia sẻ nhau các cách phòng chống Wanna Cry, nhưng đa số chỉ là các phương pháp bị động như update windows hoặc cài đặt các phần mềm diệt virus.
Chúng tôi xin đưa ra cho các bạn giải pháp an toàn nhất hiện nay.
Kiểm tra port 445
Mở CMD quyền Admin và gõ netstat -an | findstr 445. Nếu gõ không hiện ra cái gì thì là OK còn nếu có chữ LISTENNING thì phải block port ngay.
Tắt SMB
Mở Start-> Windows PowerShell-> Phải chuột vào Windows Powershell chọn Run as administrator Copy từng dòng Paste vào. Nếu nó hiện lỗi gì thì bỏ qua sang dòng khác. (Ctrl+C sau đó nhấp chuột phải là dòng tự động paste vào CMD. Không Ctrl+V).
Remove-WindowsFeature FS-SMB1
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
exe config mrxsmb10 start= disabled
exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
exe config mrxsmb20 start= disabled
Set-SmbServerConfiguration -EnableSMB2Protocol $false
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB2 -Type DWORD -Value 0 -Force
Chặn port 445/137/138/139 trên Firewall
Máy nào cài Antivirus mà có tường lửa riêng thì phải cấu hình trên tường lửa riêng của Anivirus. Còn máy nào ko xài Antivirus hoặc Windows Defener thì làm như sau:
B1: Mở Start search cụm từ Firewall và chọn Windows Firewall with Advanced security
B2: Inbound Rules-> New Rule-> Port
B3: Chọn UDP-> Specific local ports nhập dòng này vào 445, 137, 138, 139
B4: Block the connection
B5: Tick cả 3 cái
B6: Đặt tên tùy ý-> finish
B7: Kiểm tra lại xem bật firewall chưa, chưa thì bật lên
Tắt Sever Service
B1: Run-> Services.msc
B2: Tìm tới Services tên là Server. Phải chuột chọn Stop
B3: Click đúp vào nó. Startup type sửa thành Disabled. Apply->OK
Sau khi làm xong tất cả RESTART LẠI MÁY. CẤM SHUTDOWN
Bên cạnh đó, cần thường xuyên sao lưu dữ liệu và có các phương án backup dữ liệu của doanh nghiệp; đề phòng các link lạ, trong đó đối với các doanh nghiệp tốt nhất nên có một máy riêng để nhân viên remote khi họ nghi ngờ mail không an toàn; đối với người dùng cá nhân luôn cài phần mềm chống virus trên di động và máy tính, đặc biệt là các phần mềm chuyên biệt dành cho mã độc mã hoá dữ liệu.
