Những điều bạn cần biết về wannaCry ransomware

Những điều bạn cần biết về wannaCry ransomware

Phần mềm tống tiền WannaCry tấn công toàn cầu vào tháng 5/2017. Tìm hiểu cách thức tấn công ransomware này lây lan và cách bảo vệ mạng của bạn khỏi cá

MCCare: Hướng dẫn thay mặt kính, màn hình Samsung Galaxy S5
[Chiếm Tài Mobile] – Hướng dẫn thay màn hình Ipad Air 2
Khắc phục lỗi đơ cảm ứng trên iPhone 6 Plus

Phần mềm tống tiền WannaCry tấn công toàn cầu vào tháng 5/2017. Tìm hiểu cách thức tấn công ransomware này lây lan và cách bảo vệ mạng của bạn khỏi các cuộc tấn công tương tự.

Symantec đã phát hiện ra hai liên kết có thể liên kết lỏng lẻo giữa cuộc tấn công ransomware WannaCry và nhóm Lazarus:

Cùng sự xuất hiện của các công cụ Lazarus nổi tiếng và phần mềm tống tiền WannaCry: Symantec đã xác định rằng có những công cụ được Lazarus sử dụng độc quyền trên các máy cũng bị nhiễm các phiên bản WannaCry trước đó. Các biến thể trước đó của WannaCry không có khả năng lây lan qua SMB. Các công cụ Lazarus có thể được sử dụng như một phương thức phân phối WannaCry, nhưng điều này vẫn chưa được xác nhận.

Mã chia sẻ: Như Neil Mehta đã tweet từ Google, có một số mã được chia sẻ giữa các công cụ ransomware nổi tiếng Lazarus và WannaCry. Symantec đã xác định rằng mã chia sẻ này là một dạng SSL. Việc triển khai SSL này sử dụng một trình tự cụ thể gồm 75 mật mã, cho đến nay chúng chỉ được thấy trong các công cụ Lazarus (bao gồm Contopee và Brambul) và WannaCry.
Mặc dù những phát hiện này không chỉ ra mối liên hệ chắc chắn giữa Lazarus và WannaCry, nhưng chúng tôi tin rằng có đủ liên kết để đảm bảo điều tra thêm. Chúng tôi sẽ tiếp tục chia sẻ thêm chi tiết về nghiên cứu của chúng tôi khi nó được mở ra.

Một chủng ransomware mới độc hại được gọi là WannaCry (Ransom.Wannacry) đã tấn công hàng trăm nghìn máy tính trên khắp thế giới kể từ khi ra đời vào thứ Sáu, ngày 12 tháng 5. WannaCry nguy hiểm hơn nhiều so với các loại ransomware thông thường khác do khả năng lây lan trên mạng của tổ chức bằng cách sử dụng các lỗ hổng nghiêm trọng trên máy tính Windows đã được Microsoft vá vào tháng 3 năm 2017 (MS17-010). Chiến công, được gọi là Eternal Blue, được phát hành trực tuyến vào tháng 4 trong một loạt rò rỉ của một nhóm có tên Shadow Brokers, nhóm này tuyên bố rằng họ đã đánh cắp dữ liệu từ Phương trình gián điệp mạng của nhóm.

Tôi có được bảo vệ khỏi phần mềm tống tiền WannaCry không?

Symantec Endpoint Protection (SEP) và Norton đã chủ động chặn mọi nỗ lực khai thác các lỗ hổng do WannaCry khai thác, có nghĩa là các máy khách đã được bảo vệ hoàn toàn trước WannaCry. Học máy nâng cao SEP14 đã chủ động chặn tất cả các trường hợp lây nhiễm WannaCry vào ngày thứ 0 mà không có bất kỳ bản cập nhật nào.

Mạng lưới trí tuệ toàn cầu Blue Coat (GIN) cung cấp khả năng tự động phát hiện tất cả các sản phẩm được bao gồm để tìm cách lây nhiễm web.

Khách hàng của Symantec và Norton được bảo vệ tự động khỏi WannaCry thông qua sự kết hợp của nhiều công nghệ. Bảo vệ chủ động được cung cấp bởi:

Bảo vệ mạng IPS
Công nghệ phát hiện hành vi SONAR
Học máy nâng cao
Đám mây đe dọa thông minh
Khách hàng phải kích hoạt các công nghệ này để bảo vệ chủ động hoàn toàn. Khách hàng SEP được khuyến khích nâng cấp lên SEP 14 để tận dụng khả năng bảo vệ chủ động được cung cấp bởi chữ ký Học máy nâng cao.

WannaCry Ransomware là gì?

WannaCry tìm kiếm và mã hóa 176 loại tệp và ứng dụng khác nhau. WCRY vào cuối tên tệp. Nó yêu cầu người dùng trả 300 đô la tiền chuộc bằng Bitcoin. Giấy đòi tiền chuộc nói rằng khoản thanh toán sẽ được nhân đôi trong ba ngày. Nếu thanh toán không được thực hiện sau bảy ngày, cô ấy tuyên bố các tệp được mã hóa sẽ bị xóa. Tuy nhiên, Symantec không tìm thấy bất kỳ mã nào trong phần mềm tống tiền có thể dẫn đến việc xóa các tập tin.

Tôi có thể khôi phục các tệp đã mã hóa không hay tôi phải trả tiền chuộc?
Hiện không thể giải mã các tệp được mã hóa, nhưng các nhà nghiên cứu của Symantec vẫn tiếp tục điều tra khả năng này. Xem bài viết này để biết thêm chi tiết. Nếu bạn có bản sao lưu của các tệp bị ảnh hưởng, bạn có thể khôi phục chúng. Symantec không khuyên bạn nên trả tiền chuộc.

Trong một số trường hợp, tệp có thể được khôi phục mà không cần sao lưu. Các tệp được lưu trên máy tính để bàn, tài liệu của tôi hoặc đĩa di động được mã hóa và bản sao gốc của chúng sẽ bị hủy. Chúng không thể sửa chữa được. Các tệp được lưu trữ ở nơi khác trên máy tính được mã hóa và bản sao gốc của chúng chỉ bị xóa. Điều này có nghĩa là chúng có thể được khôi phục bằng cách sử dụng công cụ phục hồi.

WannaCry xuất hiện khi nào và tốc độ lây lan như thế nào?

WannaCry xuất hiện lần đầu tiên vào thứ Sáu, ngày 12 tháng Năm. Symantec đã chứng kiến ​​sự gia tăng trong nỗ lực khai thác các lỗ hổng Windows do WannaCry khai thác kể từ khoảng 8:00 GMT. Số lượng các nỗ lực khai thác bị chặn bởi Symantec đã giảm nhẹ vào thứ Bảy và Chủ nhật, nhưng vẫn khá cao. Việc sử dụng phòng đã tăng vào thứ Hai, có lẽ là do mọi người trở lại làm việc sau cuối tuần.

Nó ảnh hưởng đến ai?

Bất kỳ máy tính Windows thông thường nào cũng có khả năng bị nhiễm WannaCry. Các tổ chức đang gặp rủi ro đặc biệt do khả năng lan rộng trên các mạng lưới và một số tổ chức trên thế giới đã bị ảnh hưởng, hầu hết trong số họ ở Châu Âu. Tuy nhiên, mọi người cũng có thể bị ảnh hưởng.

Đây có phải là một cuộc tấn công có chủ đích?

Hoạt động hiện tại của WannaCry không được coi là một phần của cuộc tấn công có chủ đích.

Tại sao điều này lại tạo ra rất nhiều vấn đề cho các tổ chức?

WannaCry có khả năng lây lan trên các mạng công ty mà không cần sự tương tác của người dùng bằng cách sử dụng các lỗ hổng đã biết trong Microsoft Windows. Máy tính không được áp dụng các bản cập nhật bảo mật mới nhất của Windows có nguy cơ bị lây nhiễm.

WannaCry lây lan như thế nào?

Mặc dù WannaCry có thể lây lan qua mạng của tổ chức bằng cách sử dụng lỗ hổng, nhưng sự lây nhiễm ban đầu, như máy tính đầu tiên trong tổ chức bị nhiễm, vẫn chưa được xác nhận. Symantec đã thấy một số trường hợp WannaCry được lưu trữ trên các trang web độc hại, nhưng chúng dường như là các cuộc tấn công bắt chước không liên quan đến các cuộc tấn công ban đầu.

Thanh toán tiền chuộc hoạt động như thế nào?

Những kẻ tấn công WannaCry đang yêu cầu trả tiền chuộc bằng bitcoin. WannacCy tạo một địa chỉ ví Bitcoin duy nhất cho mỗi máy tính bị nhiễm, tuy nhiên, do lỗi trạng thái chủng tộc, mã này không được thực thi chính xác. Sau đó, WannaCry mặc định ba địa chỉ Bitcoin được mã hóa cứng để thanh toán. Những kẻ tấn công không thể xác định nạn nhân nào đã trả tiền bằng địa chỉ cứng, có nghĩa là nạn nhân khó có thể giải mã tệp của họ.

Những kẻ tấn công WannaCry sau đó đã phát hành một phiên bản mới của phần mềm độc hại đã sửa lỗi này, tuy nhiên phiên bản này không thành công như bản gốc.

Vào ngày 18 tháng 5, một thông báo mới đã được hiển thị trên các máy tính bị nhiễm bệnh thông báo cho nạn nhân rằng các tệp sẽ được giải mã nếu tiền chuộc được trả.

COMMENTS

WORDPRESS: 0
DISQUS: 1