Cuộc tấn công của Wanna Cry

Theo dõi MTĐT trên

WannaCry đang là một đại dịch ảnh hưởng toàn thế giới, xin tổng hợp lại những thông tin xoay quanh con ransomware mã hóa đòi tiền chuộc này cho bạn đọc dễ nắm, biết về cách hoạt động của nó cũng như những thứ mà bạn đọc cần làm để mình không trở thành nạn nhân của cuộc tấn công. Giờ WannaCry cũng đã có phiên bản 2.0 rồi nên rất nguy hiểm không thể coi thường.

Thông báo khi máy tính nhiễm wanna cry

Cách hoạt động của WannaCry
Theo trang EndGame, WannaCry đi theo cùng con đường tấn công mà chúng ta vẫn thường thấy ở ransomware. Mô tả cơ bản thì thế này: WCry sẽ kiểm tra một "dấu mốc" (beacon), nếu dấu mốc này có trả về một phản hồi thì ransomware sẽ không chạy. Đây là cách để hacker kiểm soát được con ransomware của mình. Nếu beacon không có phản hồi gì cả thì ransomware bắt đầu công việc: nó khai thác lỗ hổng TERNALBLUE/MS17-010 và lây lan sang các máy tính khác. WannaCry sau đó mã hóa các file trong hệ thống và cảnh báo cho người dùng rằng họ đã "dính đòn".

Các bước xử lý khi máy tính nhiễm wanna cry

Bước 1: chạy file Exe, tức là người dùng "lỡ" bấm nhầm vào file thực thi để chạy ransomware lên. Để lừa người dùng chạy file này không khó, dụ họ mở một email nào đó hay chạy file tải về từ Torrent với những cái tên hấp dẫn là xong. Biến thể 2.0 của WCry còn có thể tự thực thi khi người dùng truy cập vào một trang web đã bị chèn mã độc nữa kìa.

Bước 2: kiểm tra beacon. Ransomware sẽ gọi một link như sau: hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. Nếu link này có trả về phản hồi, tức là hacker đã kiểm soát tên miền này và muốn ransomware dừng lại, thì file exe sẽ không chạy tiếp. Còn nếu không nhận được phản hồi, ransomware tiếp tục việc tấn công. Người dùng có thể thấy hacker chọn một tên miền rất vớ vẩn và không có ý nghĩa để không ai chú ý tới cả. Liên quan đến tên miền này, có một nhà nghiên cứu trẻ tuổi sau khi xem xét mã nguồn của WCry đã phát hiện ra cơ chế beacon nói trên. Anh ta mua tên miền đó với mục tiêu nghiên cứu xem có bao nhiêu người đã bị dính, nhưng không ngờ đây lại là "kill switch" để tạm ngưng malware trong một thời gian. Sau đó anh này có cẩn thận cảnh báo rằng các biến thể mới sẽ xuất hiện bỏ qua bước kill switch này, và thực tế đã có những con ransomware như vậy ra đời sau vụ WCry.

Ở bước thứ 3: WCry sẽ tận dụng cơ chế SMB. SMB là một giao thức truyền tải file của Windows và nó mặc định được bật trên cả Windows lẫn Windows Server nên cả máy PC hay server đều có thể bị dính. Malware dùng cơ chế này để lây lan sang các máy tính khác trong cùng mạng. Với người dùng cá nhân có thể vụ này không làm lây lan nhiều. Nhưng với các hệ thống IT doanh nghiệp vốn thường kết nối các máy với nhau thì ảnh hưởng là rất kinh khủng. Bạn đọc nào chưa tắt SMB thì hãy tắt đi nhé.

Lỗ hổng bảo mật SMB này còn được biết tên gọi khác là EternalBlue, nó là một phần trong số các tool hacking của cơ quan an ninh Mỹ NSA đã bị lộ ra ngoài vào khoảng tháng trước bởi một nhóm hacker tự gọi mình là "The Shadow Brokers".
Ở những bước kế tiếp, ransomware chuẩn bị một loạt thứ cho việc vận hành của mình, bao gồm tạo ra một dịch vụ chạy nền, chuẩn bị file Tor và file ví Bitcoin nhằm phục vụ cho việc giao dịch của nạn nhân với hacker. Nó cũng chuẩn bị một file key mã hóa dạng public key. Key này sẽ khớp với private key mà chỉ có hacker đang nắm giữ, cũng là chìa khóa để giải mã các file bị mã hóa.

Chuẩn bị đâu đó xong xuôi thì nó bắt đầu chạy tiến trình mã hóa hầu hết các file trong hệ thống, chủ yếu là file cá nhân và những file quan trọng với các phần mềm. Ransomware cũng như virus, nó cũng tự cho phép mình chạy lên cùng với Windows và tạo ra các bản backup để lỡ có bị xóa thì vẫn còn anh em song sinh sống dậy.
Hacker cũng không quên tắt các process về cơ sở dữ liệu, cụ thể là SQL Server và MySQL, để những website, phần mềm nào đang kết nối với server sẽ không thể hoạt động được. Cái này chủ yếu ảnh hưởng tới doanh nghiệp nhiều hơn chứ còn máy tính cá nhân thì thường chẳng ai dùng làm database server cả. Bằng cách này hacker có thể gây tác động nhiều hơn tới doanh nghiệp và buộc họ trả tiền sớm hơn với mong muốn các app và hệ thống của mình có thể tiếp tục vận hành.

Ảnh hưởng của ransomware ra sao?

Theo Europol, đây là vụ tấn công với quy mô lớn chưa từng có. Ransomware đã tấn công vào nhiều bệnh viện thuộc hệ thống chăm sức sức khỏe ở Anh và Scotland (NHS), có tới 70.000 thiết bị từ máy tính, máy quét MRI, tủ chứa máy dự trữ và các công cụ đã bị lây nhiễm. Các báo cáo cho rằng trên toàn cầu có hơn 250.000 máy tính nói chung bị nhiễm mã độc.

Nhiều công ty ở Châu Âu và Mỹ cũng bị ảnh hưởng, trong đó có nhiều cái tên lớn như FedEx, Deutsche Bahn, LATAM Airlines. Nhà máy sản xuất của Nissan tại Anh đã phải dừng sản xuất sau khi WannaCry lây vào một số hệ thống của công ty. Renault cũng phải đưa ra động thái tương tự. Có khoảng 99 quốc gia bị đánh và vẫn còn đang tiếp tục lây lan nhanh. Tình hình có thể đã tệ hơn nếu kill switch trong WannaCry đời đầu không bị vô tình phát hiện. Tại Việt Nam, một số công ty và máy tính cá nhân cũng đã bị WannaCry lây nhiễm vào.

WannaCry đòi 300$ bitcoin để 1 máy tính được giải mã, tức là các doanh nghiệp sẽ bị thiệt hại khoản tiền này trong trường hợp họ đồng ý chi tiền. Với một doanh nghiệp có khoảng 100 máy tính là đã thấy con số thiệt hại khổng lồ. Ngay cả khi doanh nghiệp không chấp nhận trả tiền thì họ cũng phải dừng sản xuất và mất dữ liệu, những thứ có thể khiến họ thiệt hại hàng triệu USD. Ước tính đến lúc này WannCry đã gây thiệt hại khoảng 200-300 triệu USD rồi và vẫn còn gia tăng từng ngày.

WannaCry 2.0
Ở trên là WannaCry phiên bản đầu tiên, và rất nhanh sau khi nó bị ngăn chặn bằng cơ chế kill switch, các nhà phát triển của nó đã tạo ra phiên bản thứ 2. Con WCry 2.0 này đã đổi tên miền kill switch hoặc thậm chí không còn kill switch nữa, hay ít nhất là các nhà nghiên cứu bảo mật chưa phát hiện ra, nên về lý thuyết là chưa có cách ngăn chặn sự bùng phát kinh khủng của nó. Nhiều khả năng ngay cả hacker sinh ra nó cũng không thể nào chặn đứng sự lây lan của con malware này, nâng sự nguy hiểm của vụ tấn công lên rất nhiều lần. Giống như T-Virus trong phim Resident Evil vậy.

Đợt tấn công thứ hai này còn dữ dội hơn khi đã xuất hiện các công cụ cho phép tùy biến ransomware theo ý thích của hacker mà không tốn nhiều thời gian. Công cụ này tuy không chỉnh sửa cách tấn công của WCry nhưng nó góp phần giúp gia tăng số lượng WCry bị tung ra, và tất nhiên là cũng gây ảnh hưởng nhiều hơn đến người dùng cá nhân và các doanh nghiệp. Ai mà biết được trong nay mai sẽ có thêm công cụ giúp tùy biến cách lây nhiễm và mã hóa của WCry thì sao? Khi đó việc tiêu diệt con ransomware này sẽ cực kỳ khó khăn.

Cái nguy hiểm nhất ở đây không nằm ở vấn đề kỹ thuật, mà ở con người. Các hacker khác khi thấy hacker tạo ra WCry đã thành công thì họ cũng bắt chước làm theo. Có thể vì mục đích khẳng định danh tiếng, có thể là để thu tiền về xài, nhưng dù gì đi nữa thì số lượng hacker bắt chước làm theo mới đáng lo ngại vì họ đã biết được cách để ăn tiền và họ sẽ đưa cuộc chiến lên một tầm cao mới.

Sẽ rất khó để dự đoán những cách tấn công mới của các biến thể WCry 2.0. Chúng ta hoàn toàn bị động trong khâu này và chỉ tới khi ransomware đã bị phát tán thì chúng ta mới có thể nghiên cứu cách tấn công của nó.

Cách hay nhất là trên chiếc máy tính của bạn đọc cần cài đặt phần mềm phòng chống virus có bản quyền; hoặc nếu dùng bản miễn phí, xin hãy nhớ trước khi mở trình duyệt, cần cập nhật thủ công chương trình diệt virus ấy.

Minh Trí (tổng hợp)