Mã độc tống tiền WannaCry lây nhiễm như thế nào?

Mã độc tống tiền WannaCry lây nhiễm như thế nào?

Theo đó, đại diện chi hội ATTT phía Nam - gọi là VNISA phía Nam - đã đề xuất một số biện pháp cơ bản để các doanh nghiệp, tổ chức và kể cả người dùng cá nhân có thể tự phòng vệ trước sự lây lan nhanh chóng của ransomware vốn được hacker phát triển từ một lỗ hổng bảo mật trên Windows, ví dụ như nâng cấp các bản vá lỗi, cách ly thiết bị và những lưu ý để tránh bị lây nhiễm WannaCry hay WannaCryt0r từ môi trường Internet.

Bên cạnh đó, chi hội ATTT phía Nam và Sở TTTT TP.HCM cũng cung cấp 3 số điện thoại đường dây nóng (hotline) để hỗ trợ, tư vấn kịp thời, gồm:

1. Trung tâm Ứng cứu Khẩn cấp Máy tính Việt Nam (VNCERT).
Điện thoại: (+84)4.36404421 - 3640424.
Fax: (+84)4.36404425.

2. Sở Thông tin và Truyền thông TP.HCM
Điện thoại: (+84)8.3520.2727

3. Chi Hội ATTT phía Nam (VNISA phía Nam)
Điện thoại: 0906911050

Theo đại diện VNISA phía Nam, mã độc tống tiền Wannacry được ghi nhận vào ngày 12/5/2017, và phát tán dưới nhiều biến thể khác nhau. Ban đầu, ransomware này bùng phát ở Mỹ và châu Âu trước khi lây lan mạnh sang các quốc gia ở khu vực châu Á, đặc biệt là Trung Quốc.

Theo thống kê của Kaspersky, đến cuối ngày 14/5/2017, đã có hơn 200.000 máy tính ở 150 quốc gia bị thiệt hại bởi WannaCry, và cũng đã có khoảng 110 nạn nhân đã phải chi tiền để chuộc lại dữ liệu.

Trong thông tin chia sẻ với báo giới vào chiều nay 16/5, chi hội ATTT phía Nam cho biết thêm rằng, việc phát hiện cơ chế “Kill Switch” (ngưng hoạt động khi kết nối được đến một trong hai tên miền www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com và www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com) đã phần nào ngăn chặn được sự lây lan của WannaCry phiên bản đầu tiên. Tuy nhiên, các phiên bản mã độc sau đã không còn dùng cơ chế này và tiếp tục phát tán với tốc độ chóng mặt.

Theo phân tích của giới chuyên gia bảo mật trong và ngoài nước, điểm đặc biệt làm cho WannaCry cực kỳ nguy hiểm là mã độc đã khai thác lỗ hổng MS17-010 có trên tất cả phiên bản hệ điều hành Windows có sử dụng giao thức chia sẻ tập tin mang tên SMBv1 để tự lây nhiễm.

Lỗi bảo mật nghiêm trọng này chỉ mới được Microsoft phát hành các bản vá lỗi vào ngày 14/3/2017 và thực tế là có rất nhiều máy tính chưa kịp thực hiện việc cập nhật/nâng cấp.

Từ công cụ khai thác lỗi MS17-010 đầu tiên là Eternal Blue xuất hiện vào tháng 4/2017, đến nay đã có nhiều phiên bản mã khai thác được giới hacker tinh chỉnh và sử dụng. Các mã khai thác lỗi này còn được tích hợp trong các bộ công cụ kiểm thử như thông dụng như Metasploit hay Empire.

Với mỗi nạn nhân bị lây nhiễm, WannaCry sẽ khởi tạo một cặp khóa RSA-2048. Mỗi tập tin được mã hoá bằng khóa ngẫu nhiên AES-128. Khóa private của mỗi nạn nhân mã hóa bởi public key của hacker.

Sau đó, mã độc WannaCry sẽ tiến hành mã hóa và xóa bỏ tất cả các tập tin tạm, thực thi phần tống tiền với phần mềm Tor và Bitcoin Wallet để nhận tiền chuộc dữ liệu mà không bị truy vết.

Phương pháp lây nhiễm

Đầu tiên WannaCry được phát tán qua các E-mail có đính kèm các tập tin .rtf hoặc HTA, các file nén có mật khẩu, (theo hãng Positive Technology đã xuất hiện cách thức tích hợp mã độc lên các Website để tự động tải WannaCry khi máy truy cập bị lỗi). Sau khi kích hoạt thành công và xuất hiện trong mạng nội bộ, WannaCry sẽ tiến hành hai nhiệm vụ:
- Tiến hành dò quét lỗi MS17-010 của các máy lân cận và các máy ngoài Internet (có thể kết nối) để lây nhiễm. Lỗ hổng này cho phép thực thi mã từ xa thông qua dịch vụ chia sẻ tập tin SMBv1 trên hệ điều hành Windows.
- Tiến hành việc mã hóa dữ liệu và kích hoạt cơ chế đòi tiền chuộc.

Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống

Nguồn tin:

 

Tham gia bình luận