Tin An Ninh Mạng

Đang có vụ tấn công ransomware cực lớn trên toàn cầu, tải về bản vá lỗi ngay

hacker 01
(VnReview) Chỉ trong vài giờ, mã độc tống tiền WannaCrypt0r đã lây nhiễm hơn 45 nghìn máy tính tại 74 quốc gia, bao gồm Mỹ, Nga, Đức, Ý, Philippines và Việt Nam.

Có thể xem đây là cuộc tấn công mạng khai thác giao thức P2P (Peer-to-Peer) lớn nhất trong một thập kỷ qua, sự lan truyền cực kỳ nhanh chóng của nó khiến các hệ thống máy tính quan trọng không kịp trở tay.

Theo Gizmodo, tài khoản Twitter @MalwareHunterTeam bắt đầu thông báo về tốc độ lan truyền đáng báo động của một ransomware mang tên WannaCrypt0r (một biến thể của WannaCry) bắt đầu từ sáng hôm qua (chiều 12/5 theo giờ Việt Nam) từ hệ thống y tế của bệnh viện NHS đến từ Anh, 16 hệ thống của NHS sau đó đều bị lây nhiễm mã độc này. Không có bằng chứng cho thấy mã độc đã truy cập vào hồ sơ bệnh nhân, và NHS không phải mục đích tấn công duy nhất của WannaCrypt0r.

Chỉ chưa đầy 3 tiếng (chính xác là chưa đầy 2 tiếng kể từ lần tấn công đầu tiên), có hơn 11 quốc gia bị ảnh hưởng bởi mã độc này. Chưa hết, 6 tiếng sau (tức rạng sáng nay theo giờ Việt Nam), mã độc đã lan rộng ra 74 quốc gia với hơn 45 ngàn cuộc tấn công trên toàn thế giới.

{

}

02_wanna.jpg

Cửa sổ hiện ra yêu cầu nạn nhân trả tiền chuộc dữ liệu bằng bitcoin

Hiện tại, số lượng máy tính bị tấn công vẫn đang tăng nhanh. Costin Raiu, giám đốc nghiên cứu toàn cầu của Kaspersky cho biết, nhiều bệnh viện liên kết với NHS đều ngắt toàn bộ hệ thống máy tính quản lý của mình, sử dụng bút viết để theo dõi hồ sơ bệnh nhân.

Nga, Đài Loan và Tây Ban Nha là các quốc gia bị ảnh hưởng nặng nề nhất, bản đồ lây lan trên đây của MalwareTech cho thấy mã độc lan truyền đến hầu hết các lục địa đông dân, nhiều báo cáo cho biết WannaCrypt0r đã được tìm thấy tại Mỹ. Nguồn tin này cho biết mã độc được lan truyền thông qua giao thức mạng ngang hàng P2P (Peer-to-Peer) và được “tăng thêm sức mạnh” qua khai thác lỗ hổng EternalBlue trên Windows bằng công cụ xây dựng bởi NSA.

WannaCrypt0r xuất phát từ 16 bệnh viện ở Anh và Telefonica, một nhà mạng ở Tây Ban Nha. Cũng giống như các ransomware khác, WannaCrypt0r sẽ mã hóa toàn bộ dữ liệu, tập tin được lưu trong máy rồi hiện thông báo yêu cầu trả tiền để nhận mã chuộc lại dữ liệu. Trong đó ghi nạn nhân chỉ có 3 ngày, sau 3 ngày giá tiền sẽ tăng gấp đôi, còn sau 7 ngày nếu vẫn không trả tiền, các file đó sẽ vĩnh viễn không thể phục hồi nữa.

Trong khi “tiền thân” của WannaCrypt0r là WannaCry không thể lây lan rộng vì nó chỉ hoạt động khi người dùng click vào một đường link giả mạo hay một tập tin giả, thì WannaCrypt0r lại tận dụng các lỗ hổng để lây lan rộng rãi. Thông qua khai thác EternalBlue, mã độc cài đặt một phần mềm backdoor NSA mang tên DoublePulsar. Từ đó, WannaCry được lây nhiễm vào thiết bị. Điều này giúp mã độc lây lan cực nhanh và tự động đến các máy tính trong cùng một mạng, có thể lên đến hàng trăm máy cùng lúc.

03_wanna.jpg

Khai thác lỗ hổng EternalBlue – Ảnh: ExtremeTech

Các nhà nghiên cứu phát hiện một số hệ thống liên kết ví bitcoin, trong đó có hàng ngàn USD từ nạn nhân đã được gửi qua nằm trong mã độc này.

Tính đến sáng nay, có rất nhiều doanh nghiệp, công ty đang phải đau đầu với WannaCrypt0r. Hãng vận chuyển FedEx xác nhận với BBC rằng một số hệ thống máy tính chạy Windows của mình đang bị ảnh hưởng do mã độc gây ra. FedEx cho biết sẽ thực hiện các biện pháp khắc phục nhanh nhất có thể. Theo SwiftOnSecurity, sau khi văn phòng tại Anh bị nhiễm mã độc, FedEx đã yêu cầu các đối tác Mỹ ngừng tất cả các hệ thống mạng quan trọng sử dụng Windows. Được biết, Bộ Nội vụ Nga rất có thể là cũng nạn nhân của vụ tấn công này.

Điều đáng quan tâm là tất cả những vấn đề trên đều có thể phòng tránh được bằng cách cài đặt bản vá an ninh mới nhất được Microsoft phát hành ngày 14/3 (trừ Windows XP). Ngoài ra, người dùng cần thường xuyên kiểm tra Windows Update để đảm bảo máy tính được cập nhật các phiên bản, bản vá lỗi mới nhất.

Theo VnReview

Bkav đang tìm hiểu và sẽ thông tin sớm đến bạn đọc.

Thêm một cách xử lý mới là tạo 1 file fix.reg với nội dung dưới đây rùi run as administrator:

Mã:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionstaskdl.exe]
"Debugger"="taskkill /IM /F taskdl.exe"

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionstaskse.exe]
"Debugger"="taskkill /IM /F taskse.exe"

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionswannacry.exe]
"Debugger"="taskkill.exe /IM /F wannacry.exe"

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsmssecsvc.exe]
"Debugger"="taskkill.exe /IM /F mssecsvc.exe"

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionstasksche.exe]
"Debugger"="taskkill.exe /IM /F tasksche.exe"

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionstaskhsvc.exe]
"Debugger"="taskkill.exe /IM /F taskhsvc.exe"

Via: gist.github.com

ko dính virus thì có nên chạy file như trên ko ạ ??
ko dính virus thì có nên chạy file như trên ko ạ ??

Không cần chạy nếu không có nguy cơ dính bạn nhé!

em đang dùng win xp thì nên làm như vậy phải không ạ? hướng dẫn chi tiết giúp em với được không ạ?
em đang dùng win xp thì nên làm như vậy phải không ạ? hướng dẫn chi tiết giúp em với được không ạ?

Hiện đã có nhiều công cụ hiệu quả hơn cách tạm thời trên nhé bạn. Bạn có thể dùng tool này:
https://whitehat.vn/threads/bkav-phat-hanh-cong-cu-mien-phi-kiem-tra-wanna-crypt.8827/

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !