Mọi thứ về WannaCry: lây lan kiểu gì, tấn công ra sao, biến thể mới, cách phòng ngừa

Mọi thứ về WannaCry: lây lan kiểu gì, tấn công ra sao, biến thể mới, cách phòng ngừa

Đám mây, Dịch vụ trực tuyến, 16/5/17. Trả lời: 152, lượt xem: 72,343.

Duy Luân Duy Luân

Mọi thứ về WannaCry: lây lan kiểu gì, tấn công ra sao, biến thể mới, cách phòng ngừa

Thảo luận trong 'Đám mây, Dịch vụ trực tuyến' bắt đầu bởi Duy Luân, 16/5/17. Trả lời: 152, Xem: 72343.

Chia sẻ

  1. Duy Luân

    Duy Luân Không có gì!

    Tham gia:
    16/2/08
    Được thích:
    179,485
    WannaCry đang là một đại dịch ảnh hưởng toàn thế giới, xin tổng hợp lại những thông tin xoay quanh con ransomware mã hóa đòi tiền chuộc này cho anh em dễ nắm, biết về cách hoạt động của nó cũng như những thứ anh em cần làm để mình không trở thành nạn nhân của cuộc tấn công. Giờ WannaCry cũng đã có phiên bản 2.0 rồi nên rất nguy hiểm không thể coi thường được đâu.

    WannaCry

    Theo trang EndGame, WCry đi theo cùng con đường tấn công mà chúng ta vẫn thường thấy ở ransomware. Mô tả cơ bản thì thế này: WCry sẽ kiểm tra một "dấu mốc" (beacon), nếu dấu mốc này có trả về một phản hồi thì ransomware sẽ không chạy. Đây là cách để hacker kiểm soát được con ransomware của mình. Nếu beacon không có phản hồi gì cả thì ransomware bắt đầu công việc: nó khai thác lỗ hổng TERNALBLUE/MS17-010 và lây lan sang các máy tính khác. WCry sau đó mã hóa các file trong hệ thống và cảnh báo cho người dùng rằng họ đã "dính đòn".

    Wcry_execution_flow.jpg
    Bước 1, chạy file Exe, tức là người dùng "lỡ" bấm nhầm vào file thực thi để chạy ransomware lên. Để lừa người dùng chạy file này không khó, dụ họ mở một email nào đó hay chạy file tải về từ Torrent với những cái tên hấp dẫn là xong. Biến thể 2.0 của WCry còn có thể tự thực thi khi bạn truy cập vào một trang web đã bị chèn mã độc nữa kìa.

    Bước 2: kiểm tra beacon. Ransomware sẽ gọi một link như sau: hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. Nếu link này có trả về phản hồi, tức là hacker đã kiểm soát tên miền này và muốn ransomware dừng lại, thì file exe sẽ không chạy tiếp. Còn nếu không nhận được phản hồi, ransomware tiếp tục việc tấn công. Anh em có thể thấy hacker chọn một tên miền rất vớ vẩn và không có ý nghĩa để không ai chú ý tới cả.

    Liên quan đến tên miền này, có một nhà nghiên cứu trẻ tuổi sau khi xem xét mã nguồn của WCry đã phát hiện ra cơ chế beacon nói trên. Anh ta mua tên miền đó với mục tiêu nghiên cứu xem có bao nhiêu người đã bị dính, nhưng không nhờ đây lại là "kill switch" để tạm ngưng malware trong một thời gian. Sau đó anh này có cẩn thận cảnh báo rằng các biến thể mới sẽ xuất hiện bỏ qua bước kill switch này, và thực tế đã có những con ransomware như vậy ra đời sau vụ WCry.

    Ở bước thứ 3, WCry sẽ tận dụng cơ chế SMB. SMB là một giao thức truyền tải file của Windows và nó mặc định được bật trên cả Windows lẫn Windows Server nên cả máy PC hay server đều có thể bị dính. Malware dùng cơ chế này để lây lan sang các máy tính khác trong cùng mạng. Với người dùng cá nhân có thể vụ này không làm lây lan nhiều. nhưng với các hệ thống IT doanh nghiệp vốn thường kết nối các máy với nhau thì ảnh hưởng là rất kinh khủng. Anh em nào chưa tắt SMB thì hãy tắt đi nhé.

    Lỗ hổng bảo mật SMB này còn được biết tên gọi khác là EternalBlue, nó là một phần trong số các tool hacking của cơ qua an ninh Mỹ NSA đã bị lộ ra ngoài vào khoảng tháng trước bởi một nhóm hacker tự gọi mình là "The Shadow Brokers".

    Ở những bước kế tiếp, ransomware chuẩn bị một loạt thứ cho việc vận hành của mình, bao gồm tạo ra một dịch vụ chạy nền, chuẩn bị file Tor và file ví Bitcoin nhằm phục vụ cho việc giao dịch của nạn nhân với hacker. Nó cũng chuẩn bị một file key mã hóa dạng public key. Key này sẽ khớp với private key mà chỉ có hacker đang nắm giữ, cũng là chìa khóa để giải mã các file bị mã hóa.

    Chuẩn bị đâu đó xong xuôi thì nó bắt đầu chạy tiến trình mã hóa hầu hết các file trong hệ thống, chủ yếu là file cá nhân và những file quan trọng với các phần mềm. Ransomware cũng như virus, nó cũng tự cho phép mình chạy lên cùng với Windows và tạo ra các bản backup để lỡ có bị xóa thì vẫn còn anh em song sinh sống dậy.

    Hacker cũng không quên tắt các process về cơ sở dữ liệu, cụ thể là SQL Server và MySQL, để những website, phần mềm nào đang kết nối với server sẽ không thể hoạt động được. Cái này chủ yếu ảnh hưởng tới doanh nghiệp nhiều hơn chứ còn máy tính cá nhân thì thường chẳng ai dùng làm database server cả. Bằng cách này hacker có thể gây tác động nhiều hơn tới doanh nghiệp và buộc họ trả tiền sớm hơn với mong muốn các app và hệ thống của mình có thể tiếp tục vận hành.

    Ai đứng sau WannaCry?

    Symantec và Kaspersky nói rằng họ đang tìm kiếm các đầu mối để xem ai là tác giả của đợt bùng phát kinh khủng này, và họ tìm được một số dấu vết có thể ám chỉ công ty Lazarus có liên quan đến Triều Tiên đứng sau vụ việc. Nhưng để đưa ra kết luận cụ thể thì vẫn còn quá sớm bởi vì nhiều nhóm hacker khác rải rác trên thế giới cũng có khả năng thực hiện vụ tấn công. Đôi khi đây là sự kết hợp của không chỉ 1 mà là nhiều nhóm tin tặc cùng lúc nên họ mới có thể phát động một đợt lây lan với quy mô cực kì rộng như vậy.

    Vẫn là một câu hỏi rất lớn về chủ nhân của WannaCry...

    WannaCry_screen.png

    Ảnh hưởng của ransomware ra sao?

    Theo Europol, đây là vụ tấn công với quy mô lớn chưa từng có. Ransomware đã tấn công vào nhiều bệnh viện thuộc hệ thống chăm sức sức khỏe ở Anh và Scotland (NHS), có tới 70.000 thiết bị từ máy tính, máy quét MRI, tủ chứa máy dự trữ và các công cụ đã bị lây nhiễm. Các báo cáo cho rằng trên toàn cầu có hơn 250.000 máy tính nói chung bị nhiễm mã độc. Ngày 12/5, nhiều dịch vụ của NHS đã phải tắt đi các thiết bị không quan trọng.

    Nhiều công ty ở Châu Âu và Mỹ cũng bị ảnh hưởng, trong đó có nhiều cái tên lớn như FedEx, Deutsche Bahn, LATAM Airlines. Nhà máy sản xuất của Nissan tại Anh đã phải dừng sản xuất sau khi WannaCry lây vào một số hệ thống của công ty. Renault cũng phải đưa ra động thái tương tự. Có khoảng 99 quốc gia bị đánh và vẫn còn đang tiếp tục lây lan nhanh. Tình hình có thể đã tệ hơn nếu kill switch trong WannaCry đời đầu không bị vô tình phát hiện. Tại Việt Nam, một số công ty và máy tính cá nhân cũng đã bị WannaCry lây nhiễm vào.

    WannaCry_cac_vung_anh_huong.png

    WannaCry đòi 300$ để 1 máy tính được giải mã, tức là các doanh nghiệp sẽ bị thiệt hại khoản tiền này trong trường hợp họ đồng ý chi tiền. Với một doanh nghiệp có khoảng 100 máy tính là đã thấy con số thiệt hại khổng lồ. Ngay cả khi doanh nghiệp không chấp nhận trả tiền thì họ cũng phải dừng sản xuất và mất dữ liệu, những thứ có thể khiến họ thiệt hại hàng triệu USD. Ước tính đến lúc này WannCry đã gây thiệt hại khoảng 200-300 triệu USD rồi và vẫn còn gia tăng từng ngày.

    WannaCry 2.0

    Ở trên là WannaCry phiên bản đầu tiên, và rất nhanh sau khi nó bị ngăn chặn bằng cơ chế kill switch, các nhà phát triển của nó đã tạo ra phiên bản thứ 2. Con WCry 2.0 này đã đổi tên miền kill switch hoặc thậm chí không còn kill switch nữa, hay ít nhất là các nhà nghiên cứu bảo mật chưa phát hiện ra, nên về lý thuyết là chưa có cách ngăn chặn sự bùng phát kinh khủng của nó. Nhiều khả năng ngay cả hacker sinh ra nó cũng không thể nào chặn đứng sự lây lan của con malware này, nâng sự nguy hiểm của vụ tấn công lên rất nhiều lần. Giống như T-Virus trong phim Resident Evil vậy.

    Đợt tấn công thứ hai này còn dữ dội hơn khi đã xuất hiện các công cụ cho phép tùy biến ransomware theo ý thích của hacker mà không tốn nhiều thời gian. Công cụ này tuy không chỉnh sửa cách tấn công của WCry nhưng nó góp phần giúp gia tăng số lượng WCry bị tung ra, và tất nhiên là cũng gây ảnh hưởng nhiều hơn đến người dùng cá nhân và các doanh nghiệp. Ai mà biết được trong nay mai sẽ có thêm công cụ giúp tùy biến cách lây nhiễm và mã hóa của WCry thì sao? Khi đó việc tiêu diệt con ransomware này sẽ cực kì khó khăn.

    Cái nguy hiểm nhất ở đây không nằm ở vấn đề kĩ thuật, mà ở con người. Các hacker khác khi thấy hacker tạo ra WCry đã thành công thì họ cũng bắt chước làm theo. Có thể vì mục đích khẳng định danh tiếng, có thể là để thu tiền về xài, nhưng dù gì đi nữa thì số lượng hacker bắt chước làm theo mới đáng lo ngại vì họ đã biết được cách để ăn tiền và họ sẽ đưa cuộc chiến lên một tầm cao mới. Sẽ rất khó để dự đoán những cách tấn công mới của các biến thể WCry 2.0. Chúng ta hoàn toàn bị động trong khâu này và chỉ tới khi ransomware đã bị phát tán thì chúng ta mới có thể nghiên cứu cách tấn công của nó.

    Làm sao để phòng ngừa?

    Anh em nào lỡ dính thì chịu khó chờ hoặc khôi phục lại bản backup gần nhất chứ hiện tại chưa có thuốc trị WannaCry. Còn anh em nào chưa mắc thì hãy làm những bước sau:
    1. Cập nhật hệ điều hành lên bản mới nhất, chạy đầy đủ tất cả bản vá Windows Update. Nếu đang dùng macOS cũng nên cẩn trọng, rất cẩn trọng
    2. Tắt giao thức SMBv1 đi, hướng dẫn ở đây
    3. Anh em làm server cũng nhớ tắt SMBv1, set rule chặn port 455, 3389, 1389 trong firwall
    4. Không click váo các link lạ, các email lạ, link web khiêu dâm và các nội dung tương tự trừ khi anh em biết rõ ai là người gửi cho mình và họ đang gửi cái gì
     

    Chia sẻ

    #1 16/5/17
    Sửa lần cuối: 16/5/17
    el dorado, conchuot, Quang Ngọc 240124 người khác thích nội dung này.
  2. crazysexycool1981

    crazysexycool1981 Thành viên

    Tham gia:
    28/3/09
    Được thích:
    5,698
    Hình như mới chỉ phát hiện WC trên Win, còn Mac chưa dính? :eek:
     Sent from CRAZYSEXYCOOL1981 using Blackberry PASSPORT.se 
     
    jo0oker thích nội dung này.
  3. J_Android

    J_Android Anh Duong Talents

    Tham gia:
    27/7/09
    Được thích:
    2,199
    chắc chắn trong thời gian tới còn nhiều đợt bùng phát dịch virus này....chuyển linux dùng thôi :p:p
     
  4. nguyencong1411

    nguyencong1411 Thành viên

    Tham gia:
    8/7/10
    Được thích:
    88
    "Cuộc chiến chỉ mới bắt đầu thôi. Các người cứ chờ xem. Kịch hay còn ở phía sau."

    Một người nghiện phim về hacker cho biết. Haha...
     
    guardianknight thích nội dung này.
  5. uochuý1489Quốc Huy

    uochuý1489Quốc Huy Thành viên

    Tham gia:
    18/7/15
    Được thích:
    813
    gì chứ Laptop mình dữ liệu cho qua ổ di động hết...đang đợi em nó lây nhiểm cho biết...ai có con này gửi qua cho em 1 con :D:D
     
  6. Nero P

    Nero P Thành viên

    Tham gia:
    26/9/13
    Được thích:
    26
    tắt port 445 thì cả công ty nhìn nhau cười thôi, không chuyển file hay in ấn gì được nữa
     
  7. Đỗ Khánh Hưng

    Đỗ Khánh Hưng Dự bị

    Tham gia:
    20/2/15
    Được thích:
    2
    Em vẫn không hiểu lắm về bước này? Tại sao "sự có hay không có phản hồi" từ trang web đó quan trọng như vậy? Tại sao cần phải có bước này vậy các bác?
     
  8. vietsnam

    vietsnam Thành viên

    Tham gia:
    9/2/12
    Được thích:
    469
    Tinh tế bị dính WannaCry rồi hả Duy Luân ? Sao đơ đơ hè ...:rolleyes:
     
  9. life_in_mono

    life_in_mono Thành viên

    Tham gia:
    9/12/13
    Được thích:
    108
    bạn này giống mình, mod chưa làm rõ, có lẽ chỉ là dịch lại anh việt. theo mình suy đoán ở đây việc kiểm soát tên miền là đk cần và đủ để ransom chạy hay không chạy, chỉ có điều cái đk này nó hơi khó hiểu và có vẻ "vĩ mô" một cách ko cần thiết
     
    Đỗ Khánh Hưng thích nội dung này.
  10. Like A Wind

    Like A Wind Thành viên

    Tham gia:
    10/5/13
    Được thích:
    157
    Đt k lquan đến con wannacry này nhỉ các bác ??
     
  11. iceteazz

    iceteazz Thành viên

    Tham gia:
    3/11/12
    Được thích:
    988
    _ Vì họ nhắm vào hệ thống server máy chủ chạy win nhờ khai thác lỗ hổng do NSA khám phá ra rồi lưu lại nhằm kiểm soát và do thám mà ko báo cho Microsoft, sau đó NSA lại bị tấn công và bị rò rỉ tool và thông tin về các lỗ hổng ...

    _ Ko có máy chủ nào chạy Mac ... và tại sao máy cá nhân Win bị dính thì là vì cơ chế của Win server tương tự Win ( trước 10 ) nên người dùng cá nhân và users trong mạng doanh nghiệp sẽ dính theo ( tăng độ lây lan, khủng hoảng, ra tăng áp lực để ăn tiền chuộc )

    _ Sao các người dùng Mac hay Apple Fan cứ thêm cái kiểu tại sao máy Win dính mà Mac ko dính lol đơn giản là vì hacker nó đếch thèm quan tâm tới Mac vì ko có lời chứ sao ...
     
    el dorado, tranngocminh1990, tiger_868922 người khác thích nội dung này.
  12. nguyentuanphu

    nguyentuanphu Thành viên

    Tham gia:
    2/11/08
    Được thích:
    20
    t
    Theo mình biết thì Wcry là đuôi exe. nên Mac có thể ko dính.
     
  13. sướng từ nhỏ

    sướng từ nhỏ Thành viên

    Tham gia:
    24/9/12
    Được thích:
    1,431
    Cách tốt nhất là tìm ra thằng tạo ra nó và chém chết thằng đấy
     
  14. willthanh

    willthanh Thành viên

    Tham gia:
    25/12/10
    Được thích:
    61
    Bước này cho phép hacker dừng lại việc lây lan virus
     
    Chit Lee, lazyboy76Đỗ Khánh Hưng thích nội dung này.
  15. protk2

    protk2 Thành viên

    Tham gia:
    13/12/12
    Được thích:
    147
    ducnguyenn thích nội dung này.
  16. megamindtt

    megamindtt Thành viên

    Tham gia:
    21/9/13
    Được thích:
    9
    Nhìn bản đồ. Thấy những nước ko bị nhiễm. Tại sao ko bị ta. Ai giải thích dùm
     
  17. congzing

    congzing Thành viên

    Tham gia:
    26/10/07
    Được thích:
    920
    Mac cũng có SMB đó nhưng chỉ dùng để truy cập file server host = windows thui :) nên bt chả bao giờ dùng
    Mà hacker cũng chưa tạo đc 1 bản chạy trên mac. Vì mac cũng xài 1 phần sandbox nên hơi khó
     
    crazysexycool1981 thích nội dung này.
  18. thienquang07

    thienquang07 Thành viên

    Tham gia:
    28/11/11
    Được thích:
    928
    Nó chính là cái khóa để bật tắt con WC này đấy, kiểu như ra lệnh ý. Tên miền này ban đầu chưa ai đăng ký nên nó sẽ không có phản hồi. Khi có người đăng ký sở hữu tên miền này (thường là tên hacker tạo ra con virus vì cái tên miền linh tinh thế kia ai mà nghĩ ra đc), con WC nó ping đến và có phản hồi thì nó sẽ coi đó là lệnh dừng lại và ko tiếp tục mã hóa data ng dùng và lây lan nữa. Nếu ko thấy ai nói gì thì nó cứ tiếp tục làm công việc của nó thôi
     
    #18 16/5/17
    Sửa lần cuối: 16/5/17
    smoc_77, Chit Lee, liwenjing933 người khác thích nội dung này.
  19. killed

    killed Con rùa

    Tham gia:
    27/5/06
    Được thích:
    5,743
    Từ từ rồi sẽ có hết cho tất cả thôi bạn ạ, mối nguy cơ luôn tiềm ẩn và xảy ra bất ngờ

    Công ty bạn không có 1 tưởng lửa tổng quan cho việc kiểm soát cổng SMB giữa các máy với nhau à? Máy in lại đi in qua việc chia sẻ à? Từ bỏ máy in kết nối chia sẻ (giao thức smb) và gắn tường lửa tổng quan để kiểm soát đi

    Rất đơn giản, trước khi tên miền đó được mua, nó không tồn tại. Lệnh của virus là gửi đại đến tên miền đó tín hiệu kiểu như: "ê mày có tồn tại không?"
    _Nếu không tồn tại, virus sẽ chạy tiếp
    _Nếu tên miền đó tồn tại và trỏ vào 1 máy chủ nào đó, virus sẽ tự ngừng thực thi
    Tại sao biết tên miền còn tồn tại hay không tồn tại (hoạt động hay không hoạt động) thì có nhiều cách, đơn giản nhất là tín hiệu PING có hồi đáp hoặc tín hiệu GET tập tin có nội dung trả về hay không
     
    QuangAK thích nội dung này.
  20. hoangnova

    hoangnova Thành viên

    Tham gia:
    15/3/08
    Được thích:
    10,845
    @Duy Luân cho em hỏi, tạo cái hình kiểu này bằng phần mềm gì ạ
    [​IMG]
     

Chia sẻ

Đang tải...
Đang tải...