Những điều bạn cần biết về WannaCry Ransomware và cách phòng chống, gỡ bỏ

WannaCry ransomware là mã độc lây lan mạnh mẽ qua mạng, mã hóa và chiếm giữ các file để đòi tiền chuộc.

Chuyện gì sẽ xảy ra khi WannaCry tấn công

Vào ngày 12 tháng 5 năm 2017 một biến thể mới của  Ransom.CryptXXX (phát hiện với tên là Ransom.Wannacry) trong gia đình ransomware đã bắt đầu lan truyền rộng và nhanh trên internet tác động đến nhiều các tổ chức, đặc biệt ở châu Âu. Ghi nhận có hơn 74 quốc gia và 200.000 thiết  bị bị lây nhiễm. Đây chỉ là con số khởi đầu.

WannaCry ransomware là gì?

Nói chung, WannaCry có hai phần. Trước hết, đó là một exploit (khai thác dạng ẩn) mà mục đích là lây nhiễm và phát tán. Và phần thứ hai là một bộ mã hóa được tải xuống máy tính sau khi thiết bị đó bị nhiễm ransomware này.

Đây là sự khác biệt chính giữa WannaCry và phần lớn các bộ mã hóa khác. Trước đây, các bộ mã hóa phổ biến để có thể lây nhiễm vào một máy tính, người dùng phải mắc lỗi như nhấp vào liên kết đáng ngờ, cho phép Word chạy macro độc hại hoặc tải xuống một tệp đính kèm đáng ngờ từ email. Một hệ thống có thể bị nhiễm WannaCry thì sẽ không thể làm gì được.

Chúng sẽ làm gì?

WannaCry mã hóa các tập tin dữ liệu và yêu cầu người dùng phải trả một khoản tiền chuộc là 300 đô la Mỹ bằng bitcoins. Bảng thông báo ghi rõ số tiền thanh toán sẽ được tăng gấp đôi sau 3 ngày. Nếu thanh toán không được thực hiện sau 7 ngày, các tệp được mã hóa sẽ bị xóa.

wcry.jpg

Hình 1:  Màn hình yêu cầu trả tiền chuộc hiển thị bởi Trojan WannaCry

2cry.png

Hình 2: Bản Note yêu cầu đòi tiền chuộc từ WannaCry Trojan

WannaCry mã hóa tập tin với các phần mở rộng sau, thêm .WCRY vào tên tệp

  • .123 .3dm  .3ds .3g2  .3gp  .602 .7z .ARC .PAQ .accdb
  • .aes
  • .ai
  • .asc
  • .asf
  • .asm
  • .asp
  • .avi
  • .backup
  • .bak
  • .bat

Xem danh sách đầy đủ các đuôi mở rộng.

Nó lan truyền sang các máy tính khác bằng cách khai thác một lỗ hổng thực thi mã SMB được biết đến trong các máy tính Microsoft Windows. (MS17-010)

Bạn có được bảo vệ chống lại mối đe dọa này không?
Mạng Tình báo Toàn cầu (GIN) của Blue Coat cung cấp khả năng phát hiện tự động cho tất cả các sản phẩm được enabled cho các nỗ lực lây nhiễm dựa trên web.

Các khách hàng của Symantec và Norton được bảo vệ chống lại WannaCry bằng các  các công nghệ danh tiếng Antivirus, SONAR protection, Network based protection.

Bạn có thể phục hồi các tập tin được mã hóa?

Thật không may, hiện tại không có gì có thể giải mã các tệp đã được mã hóa bởi WannaCry (tuy nhiên các nhà nghiên cứu của các hãng bảo mật đang nghiên cứu). Điều này có nghĩa là phương pháp duy nhất để chống lại chúng là không bị lây nhiễm từ đầu.

Các tốt nhất để bảo vệ chống lại ransomware là gì?

Đọc đầy đủ tại đây

  • Luôn luôn cập nhật các phần mềm tường lửa và chống virus để bảo vệ máy tính.
  • Hệ điều hành nên được cập nhật thường xuyên, trong đó sẽ bao gồm các bản vá mới và tránh việc bị hacker khai thác các lỗ hổng.
  • Email là một trong những cách phổ biến để WannaCry và các ransomware tương tự xâm nhập máy tính. Vì thế đừng click hoặc mở các file tài liệu lạ.
  • Sao lưu tất cả dữ liệu quan trọng. Việc này sẽ giúp kẻ tấn công không có gì để “tóm” được bạn. Ngoài ra, bạn nên sao lưu trên máy chủ, các thiết bị lưu trữ ngoài hoặc các hình thức khác không dùng tới Internet.

Hướng dẫn loại bỏ

Để loại bỏ WannaCry, bạn sẽ cần sử dụng chế độ Safe Mode. Dưới đây là hướng dẫn bật chế độ Safe Mode trên máy tính. Cũng lưu ý là thông tin dưới đây có được dựa trên tìm kiếm và không đảm bảo chắc chắn máy tính của bạn có thể loại bỏ WannaCry. Để làm theo hướng dẫn dưới đây, bạn sẽ cần đọc bài viết này trên thiết bị khác vì trong quá trình thao tác, bạn sẽ phải tắt trình duyệt.

Cách bật chế độ Safe Mode

  • Trên Windows XP và Windows 7: Chọn F8 trước khi Windows khởi động. Trên Boot Menu, chọn Safe Mode with Networking và nhấp Enter.
  • Trên Windows 8 và 8.1: Vào Start Menu > Control Panel > Administrative Tools > System Configuration. Sau đó tìm và chọn Safe Boot và chọn Networking > Restart. Máy tính của bạn sẽ mở sang chế độ Safe Mode.
  • Trên Windows 10: Vào Start Menu > Settings > Update and Security > Recovery. Sau đó, bên dưới Advanced Startup, hãy click vào Restart Now và để máy khởi động lại. Khi máy cho phép lựa chọn Choose Option Screen, hãy click Troubleshoot > Advanced Options > StartupSettings > Enable Safe Mode with Networking Option và nhấp Enter.

Chú ý: Trên một số máy tính, Boot Key lại không phải là F8, khi đó bạn sẽ cần xem lại hướng dẫn của nhà sản xuất để tìm ra phím này.

Hãy đọc các bước cẩn thận và đảm bảo bạn biết rõ mình đang làm gì trước khi thao tác.

Loại bỏ các quá trình bị nhiễm

Giờ bạn cần tìm các quá trình (process) đang chạy trên máy có liên quan tới WannaCry. Nhấn tổ hợp phím Ctrl + Shift + Esc để mở hộp thoại Task Manager. Sau đó hãy nhìn kĩ trên thẻ Processes để tìm các entry lạ.

Thông thường các quá trình nhiễm độc sẽ rất ngốn tài nguyên máy tính, như CPU hay RAM. Nếu thấy entry bất thường, hãy click chuột phải, và chọn Open the File > Delete Everything. Hãy đảm bảo chỉ làm vậy khi bạn chắc chắn quy trình có liên quan tới WannaCry.

Các chương trình khởi động

Giờ hãy mở Startup Programs bằng cách gõ System Configuration vào ô tìm kiếm của Windows. Sau đó chọn kết quả đầu tiên và bạn sẽ thấy danh sách các chương trình.

Nếu dùng Windows 10, bạn có thể thấy Startup Programs ngay trong Task Manager. Trên tất cả các phiên bản Windows, nếu thấy chương trình nào có tên nhà phát triển lạ hoặc nghi ngờ, hãy bỏ chọn và click OK.

Registry

Mở hộp thoại Run của Windows hoặc nhấn tổ hợp phím Windows + R. Sau đó gõ regedit và nhấn Enter.

Khi thấy Registry Editor, nhấn Ctrl + F và gõ tên Ransom.CryptXXX hoặc WannaCry. Hãy xóa tất cả những gì có liên quan tới tên này và chọn Find Next để tìm các kết quả tiếp theo.

Các tập tin dính virus

Cuối cùng, đừng quên xóa tất cả các tập tin có khả năng nhiễm virus. Trên Start Menu, lần lượt gõ từng lựa chọn sau: %AppData%, %LocalAppData%, %ProgramData%, %WinDir%, %Temp%. Mỗi lần tìm kiếm bằng một trong những cái tên trên, một thư mục sẽ hiện ra, hãy chọn lọc theo thời gian và xóa những thư mục, tập tin gần đây nhất. Ngoài ra, bạn có thể vào thư mục Temp để xóa mọi thứ trong đó.

Dù không đảm bảo 100% nhưng những hướng dẫn trên đây có thể hữu ích để giúp bạn loại bỏ WannaCry  khỏi máy tính của mình.

Symantec