Cơ chế làm việc của ransomware wannacry sau khi lây nhiễm vào máy tính nạn nhân là gì?

Không chỉ tấn công vào các máy tính xách tay cá nhân, mã độc tống chi phí WannaCry đã tiến công và làm cho tê liệt nhiều hệ thống máy tính béo trên thay giới, khiến cho các tổ chức, doanh nghiệp chạm chán rất các khó khăn.

Bạn đang xem: Cơ chế làm việc của ransomware wannacry sau khi lây nhiễm vào máy tính nạn nhân là gì?

WannaCry là gì?

WannaCry là 1 loại mã độc tống tiền (ransomware), với những tên gọi khác nhau như WannaCrypt0r 2.0 giỏi WCry. Phần mềm ô nhiễm và độc hại này mã hóa dữ liệu của sản phẩm tính và phòng cản người dùng truy cập dữ liệu trên đó cho tới khi tin tặc nhận thấy tiền chuộc. Các chuyên viên cho rằng, mã độc này nguy hại vì, nó cung ứng tin tặc “giữ” dữ liệu của người tiêu dùng làm “con tin” nhằm tống tiền các cá thể hoặc tổ chức/doanh nghiệp. Bài toán làm này được cho là tác dụng hơn việc ăn cắp hoặc xóa đi tài liệu trên lắp thêm tính.

Cơ chế hoạt động vui chơi của WannaCry

Khi được thiết lập vào lắp thêm tính, WannaCry sẽ tìm kiếm các tập tin (thông thường xuyên là các tập tin văn bản) vào ổ cứng và mã hóa chúng, tiếp nối để lại mang đến chủ mua một thông tin yêu cầu trả chi phí chuộc nếu còn muốn giải mã dữ liệu.Mã độc WannaCry khai thác lỗ hổng của hệ điều hành Windows mà lại Cơ quan bình an Quốc gia Mỹ (NSA) đã cố kỉnh giữ. Tội phạm mạng đã sử dụng chính những công cụ của NSA để phát tán và lây lan mã độc.

Khi bị truyền nhiễm mã độc WannaCry, người dùng sẽ khó khăn phát hiện, cho đến khi cảm nhận thông báo cho biết thêm máy tính đã trở nên khóa và các tập tin đã trở nên mã hóa. Để khôi phục dữ liệu, người dùng cần buộc phải trả một khoản tiền ảo Bitcoin trị giá khoảng tầm 300 USD đến kẻ tấn công. Sau 3 ngày không thanh toán, mức tiền chuộc đang tăng lên gấp đôi và sau thời hạn 7 ngày, dữ liệu của người dùng sẽ bị mất. Màn hình của sản phẩm tính bị lây lan WannaCry sẽ hiển thị đầy đủ thông tin để người tiêu dùng thanh toán, chạy đồng hồ thời trang đếm ngược thời gian và được thể hiện bởi 28 ngữ điệu khác nhau.


*

Cách WannaCry lây nhiễm trên diện rộng

WannaCry tất cả 2 cách thức lây lan chính:

Cách 1: phân phát tán qua phương thức thông thường là đính kèm vào các phiên bản “bẻ khóa” của ứng dụng rồi share lên các trang web có tương đối nhiều người truy nã cập. Mục tiêu là để người dùng tải về với kích hoạt hoặc truy vấn vào các trang web độc hại để truyền nhiễm mã độc. Về khía cạnh kỹ thuật, WannaCry phát tán qua các mạng lưới vạc tán mã độc với bộ khai quật Exploit Kit.

Cách 2: lây nhiễm qua mạng LAN bằng cách khai thác các lỗ hổng EternalBlue của thương mại dịch vụ SMB cơ mà NSA cải cách và phát triển bí mật, tuy thế sau đó đã bị nhóm tin tặc ShadowBroker đánh tráo và thi công công khai. Giải pháp này đã làm cho WannaCry lan truyền một cách nhanh chóng trên toàn thay giới.

Nhiều giang sơn bị tấn công liên tục

Cuộc tấn công mã độc này đang làm ảnh hưởng đến hàng triệu con người dùng. Theo thống kê được ra mắt trên kênh truyền hình bbc của Anh, chỉ trong thời gian ngắn, cuộc tiến công này đang gây tác động tới rộng 150 quốc gia trên cố kỉnh giới, khiến cho khoảng 200 nghìn hệ thống mạng bị hình ảnh hưởng, trong đó có Việt Nam. Đây được xem như là một giữa những cuộc tiến công mạng tạo thiệt hại lớn nhất từ trước cho tới nay.

Đức, Nga, Tây Ban Nha, Mỹ... Là những tổ quốc cũng bị ảnh hưởng nặng vật nài bởi các cuộc tấn công mạng trên bài bản lớn. Tại Đức, mã độc này tiến công vào ngành đường tàu gây tác động cho một số trong những nhà ga với quầy cung cấp vé. Trên Nga, mã độc này đã tiến công hệ thống công nghệ thông tin ngành mặt đường sắt, nhưng chưa gây ảnh hưởng đến vận hành. Mã độc này cũng lây nhiễm vào một số trong những ngân sản phẩm ở Nga, nhưng chưa tồn tại phát hiện nay nào cho biết thêm rò rỉ thông tin dữ liệu khách hàng hàng.

Riêng với Tây Ban Nha, mã độc này đã nhằm mục đích đến một hãng viễn thông lớn là Telefonica, ảnh hưởng đến một số trong những máy tính của nhà mạng này. Tuy vậy, đại diện thay mặt hãng này đến biết, vụ tấn công vẫn chưa ảnh hưởng đến thông tin dữ liệu của khách hàng.

Theo bản đồ theo dõi những vùng bị WannaCry tiến công do intel lập, các đất nước bị ảnh hưởng nghiêm trọng bao hàm các nước thuộc khu vực ở Châu Âu, Mỹ với Trung Quốc.... Tại Việt Nam, thủ đô hà nội và tp hồ chí minh cũng mở ra trên phiên bản đồ khoanh vùng bị hình ảnh hưởng.

Các chuyên gia Bkav mang lại biết, với mức 52% laptop tại vn (tức ngay gần 4 triệu vật dụng tính) chưa được vá lỗ hổng EternalBlue, các máy tính xách tay này rất có thể bị lây truyền WannaCry ví như tin tặc không ngừng mở rộng việc tấn công.

Cảnh báo với khuyến nghị

Trung tâm technology thông tin cùng Giám sát an ninh mạng, Ban Cơ yếu chính phủ nước nhà đã đưa ra hướng dẫn bí quyết ngăn phòng ngừa và sút thiểu thiệt hại vị WannaCry gây nên như sau:

Đối cùng với cá nhân:

- Thực hiện cập nhật hệ điều hành quản lý Windows đã sử dụng. Riêng đối với các laptop sử dụng Windows XP, sử dụng bản cập nhật mới nhất giành riêng cho phiên phiên bản này, hoặc tra cứu kiếm theo từ khóa bản cập nhật KB4012598 trên trang chủ của Microsoft.

- update các công tác antivius vẫn sử dụng. Đối với những máy tính chưa tồn tại phần mượt antivirus nên tiến hành cài đặt và sử dụng ngay một phần mềm antivirus có bản quyền.

- cảnh giác khi dìm được thư điện tử có đi cùng và những đường dẫn kỳ lạ được giữ hộ trong email, trên các mạng buôn bản hội, giải pháp chat....

- Cần an toàn khi mở những tệp tin đi cùng tệp ngay cả khi nhận được từ những showroom quen thuộc. Sử dụng các công cụ khám nghiệm phần mềm độc hại trực tuyến đường hoặc có bạn dạng quyền trên laptop với các file này trước khi mở chúng.

- ko mở các đường dẫn tất cả đuôi .hta hoặc đường truyền có cấu trúc không rõ ràng, những đường dẫn rút gọn.

Xem thêm: Cách Hãm Tiết Canh Vịt Bằng Nước Mắm Nam Ngư Vừa Sạch Lại An Toàn

- triển khai biện pháp sao giữ (dự phòng) dữ liệu quan trọng.

Đối với tổ chức, doanh nghiệp:

Các quản ngại trị viên khối hệ thống cần tiến hành các ngôn từ sau:

- Kiểm tra những máy nhà và trong thời điểm tạm thời khóa (block) những dịch vụ vẫn sử dụng các cổng 445/137/138/139.

- triển khai các biện pháp update sớm, phù hợp theo quánh thù các máy chủ Windows của tổ chức. Tạo các bản snapshot đối với các máy chủ ảo đề phòng vấn đề bị tấn công.

- bao gồm biện pháp cập nhật các sản phẩm trạm đang áp dụng hệ quản lý và điều hành Windows.

- update cơ sở dữ liệu cho những máy nhà Antivirus Endpoint đang sử dụng. Đối với hệ thống chưa sử dụng những công thế này thì cần thực thi sử dụng các phần mềm Endpoint có bạn dạng quyền và update ngay cho các máy trạm.

- tận dụng tối đa các giải pháp đảm bảo an toàn thông tin đang sẵn có sẵn trong tổ chức như Firewall, IDS/IPS, SIEM... để theo dõi, đo lường và thống kê và bảo đảm hệ thống trong thời điểm nhạy cảm này. Update các bản vá từ các hãng bảo mật đối với các phương án đang tất cả sẵn. Thực hiện ngăn chặn, theo dõi các tên miền được mã độc WannaCry sử dụng để xác định được các laptop bị truyền nhiễm trong mạng để sở hữu biện pháp xử trí kịp thời.

- triển khai các giải pháp lưu trữ tài liệu quan trọng.

- tương tác với những cơ quan chức năng cũng như những tổ chức, công ty lớn trong lĩnh vực bình yên thông tin nhằm được cung cấp khi cần thiết.

Công cụ giải mã Wannacry miễn phí

Chìa khóa giải mã WannaCry

Adrien Guinet, một chuyên gia bảo mật người Pháp sẽ phát hiện nay ra bí quyết miễn phí để lấy lại hầu như dữ liệu đã bị WannaCry mã hóa. Pháp luật này hoạt động trên các nền tảng Windows XP, Windows 7, Vista, Windows vps 2003 và Windows 2008.

Lược đồ vật mã hóa của WannaCry hoạt động bằng phương pháp tạo ra một cặp khóa trên laptop của nạn nhân, dựa trên các số nguyên tố. Cặp này có một khóa công khai minh bạch và một khóa cá thể để mã hóa và giải thuật những dữ liệu hệ thống trên trang bị tính.

Nhằm ngăn chặn nạn nhân tìm được khóa cá nhân để tự mở khóa các tệp tin bị khóa, WannaCry sẽ gỡ quăng quật chìa khóa này khỏi hệ thống khiến nàn nhân cần thiết tiếp cận câu hỏi giải mã, buộc phải trả tiền cho kẻ tấn công để được trả lại dữ liệu.

Theo Guinet, WannaCry sẽ không xóa những số nguyên tố khỏi bộ nhớ trước khi đóng góp băng bộ nhớ liên kết. Dựa vào phát hiện tại này, Guinet đã tạo ra công cụ giải thuật WannaCry mang tên WannaKey. Chương trình sẽ tìm kiếm mọi phương pháp để trích xuất được cặp team số yếu tắc được áp dụng trong công thức tạo mã từ cỗ nhớ.

Tuy nhiên, để cách thức này hiệu quả cần nhị điều kiện: máy vi tính của nàn nhân không khởi cồn lại lần nào kể từ lần lây truyền mã độc và bộ nhớ lưu trữ liên kết chưa bị xóa hay định hình lại.

Công cụ giải mã WannaCry - WanaKiwi

Benjamin Delpy, một thiết kế viên cũng đã tạo thành được công cụ giải mã WannaCry dễ dàng sử dụng, mang tên là WannaKiwi, dựa vào những phát hiện của Guinet, giúp dễ dàng và đơn giản hóa quy trình giải mã đều tệp tin bị WannaCry mã hóa.

Công thay này được hỗ trợ miễn phí cho các nạn nhân cài về máy, cài đặt và chạy trên các máy lan truyền mã độc thông qua giao diện loại lệnh cmd.

Các chuyên gia bảo mật cũng giữ ý, điều khoản trên mặc dù không công dụng với toàn bộ các máy, tuy thế vẫn là phương án mang đến mong muốn cho các nạn nhân của WannaCry để mang lại dữ liệu.