Thẻ: Windown

Thông tin về vụ phát tán mã độc tống tiền WannaCry

  1. Mức độ ảnh hưởng tới người sử dụng hệ điều hành chạy Windows

Hiện nay mã độc tống tiền có tên WannaCryMã độc mã hóa dữ liệu để tống tiền đang lan rộng khắp thế giới, bao gồm Anh, Mỹ, Trung Quốc, Nga, Đài Loan hay Việt Nam… Hàng nghìn máy tính đã bị khóa và đòi 300 USD tiền chuộc thông qua Bitcoin. Hacker đã lợi dụng lỗ hổng của dịch vụ sharefile trên windows để phát tán mã độc này. Đây là loại mã độc chuyên tấn công cướp quyền truy cập vào máy tính hoặc thiết bị di động của bạn, chúng đặt khóa mã hóa toàn bộ tài liệu của bạn để đòi tiền chuộc. Khi thanh toán cho chúng thì mới có thể thực hiện việc giải mã file.

Đây là lỗ hổng liên quan tới chức năng share file qua giao thực SMB (Lỗ hổng SM17-010). Phạm vi ảnh hưởng bao gồm các phiên bản sau của hệ điều hành Windows:

  • Windows Vista
  • Windows Server 2008
  • Windows 7
  • Windows Server 2008 R2
  • Windows 8.1
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows RT 8.1
  • Windows 10
  • Windows Server 2016

Về mặt kĩ thuật, hacker sẽ scan tất cả các máy tính chạy hệ điều hành windows( bao gồm cả server và máy tính của người dùng) có mở cổng 445 hoặc 139 để thực hiện việc khai thác và lây lan mã độc này trên diện rộng.

Đây là một cuộc tấn công lớn mang tính toàn cầu, hiện nay trên thế giới có trên 100.000 máy tính bị nhiễm loại mã độc này. Tốc độ lây lan của loại mã độc cũng rất nhanh qua mạng LAN. Điều cần làm ngay bây giờ là phòng tránh việc nhiễm mã độc này ngay bằng cách thực hiện các bản vá mới nhất từ windows hoặc thực hiện việc chặn port 445, 139.

  1. Cách thức khắc phục

Có thể khắc phục lỗ hổng này bằng 1 trong những cách dưới đây:

  • Cách 1: Update or patch

Với các máy tính chạy hệ điều hành Windows còn được support bởi Microsoft chi tiết tham khảo tại đây. Cần update ngay bản vá mới nhất của Microsoft.

  • Cách 2: Disable SMB

Với các máy tính chạy các hệ điều hành không còn được support như: Windows XP, Windows Server 2K3… cần disable dịch vụ share file như sau:

Bước 1: Vào Control Panel\Programs\Programs and Features click vào Turn Windows features on or off

Bước 2: Xóa chức năng SMB1.0/CIFS File Sharing Support bằng cách click vào ô vuông để xóa dấu tick (v)

 Bước 3: restart lại máy tính

  • Cách 3: Block port 445

Tiến hành đặt rule trong Windows Firewall chặn port 445 của dịch vụ chia sẻ file, theo chiều inbound như sau:

Bước 1: vào Control Panel\System and Security\Windows Firewall chọn Advanced Settings

 

Bước 2: click vào Inbound Rules chọn New Rule.

Bước 3: Chọn Port và click vào next

Bước 4: tại Specific local port gõ “445” và click Next

Bước 5: chọn Block the Connection và click Next và Next tiếp

Bước 6: đặt tên cho Rule và ấn Finish

Advertisements