Vào ngày 12 tháng 5 năm 2017 một biến thể mới của Ransom.CryptXXX (phát hiện với tên là Ransom.Wannacry) trong gia đình ransomware đã bắt đầu lan truyền rộng và nhanh trên internet tác động đến nhiều các tổ chức, đặc biệt ở châu Âu. Ghi nhận có hơn 74 quốc gia và 200.000 thiết bị bị lây nhiễm. Đây chỉ là con số khởi đầu.
WannaCry ransomware là gì?
Nói chung, WannaCry có hai phần. Trước hết, đó là một exploit (khai thác dạng ẩn) mà mục đích là lây nhiễm và phát tán. Và phần thứ hai là một bộ mã hóa được tải xuống máy tính sau khi thiết bị đó bị nhiễm ransomware này.
Đây là sự khác biệt chính giữa WannaCry và phần lớn các bộ mã hóa khác. Trước đây, các bộ mã hóa phổ biến để có thể lây nhiễm vào một máy tính, người dùng phải mắc lỗi như nhấp vào liên kết đáng ngờ, cho phép Word chạy macro độc hại hoặc tải xuống một tệp đính kèm đáng ngờ từ email. Một hệ thống có thể bị nhiễm WannaCry thì sẽ không thể làm gì được.
WannaCry mã hóa các tập tin dữ liệu và yêu cầu người dùng phải trả một khoản tiền chuộc là 300 đô la Mỹ bằng bitcoins. Bảng thông báo ghi rõ số tiền thanh toán sẽ được tăng gấp đôi sau 3 ngày. Nếu thanh toán không được thực hiện sau 7 ngày, các tệp được mã hóa sẽ bị xóa.
Hình 1: Màn hình yêu cầu trả tiền chuộc hiển thị bởi Trojan WannaCry
Hình 2: Bản Note yêu cầu đòi tiền chuộc từ WannaCry Trojan
WannaCry mã hóa tập tin với các phần mở rộng sau, thêm .WCRY vào tên tệp
Xem danh sách đầy đủ các đuôi mở rộng.
Nó lan truyền sang các máy tính khác bằng cách khai thác một lỗ hổng thực thi mã SMB được biết đến trong các máy tính Microsoft Windows. (MS17-010)
Bạn có được bảo vệ chống lại mối đe dọa này không?
Mạng Tình báo Toàn cầu (GIN) của Blue Coat cung cấp khả năng phát hiện tự động cho tất cả các sản phẩm được enabled cho các nỗ lực lây nhiễm dựa trên web.
Các khách hàng của Symantec và Norton được bảo vệ chống lại WannaCry bằng các các công nghệ danh tiếng Antivirus, SONAR protection, Network based protection.
Thật không may, hiện tại không có gì có thể giải mã các tệp đã được mã hóa bởi WannaCry (tuy nhiên các nhà nghiên cứu của các hãng bảo mật đang nghiên cứu). Điều này có nghĩa là phương pháp duy nhất để chống lại chúng là không bị lây nhiễm từ đầu.
Để loại bỏ WannaCry, bạn sẽ cần sử dụng chế độ Safe Mode. Dưới đây là hướng dẫn bật chế độ Safe Mode trên máy tính. Cũng lưu ý là thông tin dưới đây có được dựa trên tìm kiếm và không đảm bảo chắc chắn máy tính của bạn có thể loại bỏ WannaCry. Để làm theo hướng dẫn dưới đây, bạn sẽ cần đọc bài viết này trên thiết bị khác vì trong quá trình thao tác, bạn sẽ phải tắt trình duyệt.
Cách bật chế độ Safe Mode
Chú ý: Trên một số máy tính, Boot Key lại không phải là F8, khi đó bạn sẽ cần xem lại hướng dẫn của nhà sản xuất để tìm ra phím này.
Loại bỏ các quá trình bị nhiễm
Giờ bạn cần tìm các quá trình (process) đang chạy trên máy có liên quan tới WannaCry. Nhấn tổ hợp phím Ctrl + Shift + Esc để mở hộp thoại Task Manager. Sau đó hãy nhìn kĩ trên thẻ Processes để tìm các entry lạ.
Thông thường các quá trình nhiễm độc sẽ rất ngốn tài nguyên máy tính, như CPU hay RAM. Nếu thấy entry bất thường, hãy click chuột phải, và chọn Open the File > Delete Everything. Hãy đảm bảo chỉ làm vậy khi bạn chắc chắn quy trình có liên quan tới WannaCry.
Các chương trình khởi động
Giờ hãy mở Startup Programs bằng cách gõ System Configuration vào ô tìm kiếm của Windows. Sau đó chọn kết quả đầu tiên và bạn sẽ thấy danh sách các chương trình.
Nếu dùng Windows 10, bạn có thể thấy Startup Programs ngay trong Task Manager. Trên tất cả các phiên bản Windows, nếu thấy chương trình nào có tên nhà phát triển lạ hoặc nghi ngờ, hãy bỏ chọn và click OK.
Registry
Mở hộp thoại Run của Windows hoặc nhấn tổ hợp phím Windows + R. Sau đó gõ regedit và nhấn Enter.
Khi thấy Registry Editor, nhấn Ctrl + F và gõ tên Ransom.CryptXXX hoặc WannaCry. Hãy xóa tất cả những gì có liên quan tới tên này và chọn Find Next để tìm các kết quả tiếp theo.
Các tập tin dính virus
Cuối cùng, đừng quên xóa tất cả các tập tin có khả năng nhiễm virus. Trên Start Menu, lần lượt gõ từng lựa chọn sau: %AppData%, %LocalAppData%, %ProgramData%, %WinDir%, %Temp%. Mỗi lần tìm kiếm bằng một trong những cái tên trên, một thư mục sẽ hiện ra, hãy chọn lọc theo thời gian và xóa những thư mục, tập tin gần đây nhất. Ngoài ra, bạn có thể vào thư mục Temp để xóa mọi thứ trong đó.
Dù không đảm bảo 100% nhưng những hướng dẫn trên đây có thể hữu ích để giúp bạn loại bỏ WannaCry khỏi máy tính của mình.
Symantec