WannaCry ransomware là mã độc lây lan mạnh mẽ qua mạng, mã hóa và chiếm giữ các file để đòi tiền chuộc.
Chuyện gì sẽ xảy ra khi WannaCry tấn công
Vào ngày 12 tháng 5 năm 2017 một biến thể mới của Ransom.CryptXXX (phát hiện với tên là Ransom.Wannacry) trong gia đình ransomware đã bắt đầu lan truyền rộng và nhanh trên internet tác động đến nhiều các tổ chức, đặc biệt ở châu Âu. Ghi nhận có hơn 74 quốc gia và 200.000 thiết bị bị lây nhiễm. Đây chỉ là con số khởi đầu.
WannaCry ransomware là gì?
Nói chung, WannaCry có hai phần. Trước hết, đó là một exploit (khai thác dạng ẩn) mà mục đích là lây nhiễm và phát tán. Và phần thứ hai là một bộ mã hóa được tải xuống máy tính sau khi thiết bị đó bị nhiễm ransomware này.
Đây là sự khác biệt chính giữa WannaCry và phần lớn các bộ mã hóa khác. Trước đây, các bộ mã hóa phổ biến để có thể lây nhiễm vào một máy tính, người dùng phải mắc lỗi như nhấp vào liên kết đáng ngờ, cho phép Word chạy macro độc hại hoặc tải xuống một tệp đính kèm đáng ngờ từ email. Một hệ thống có thể bị nhiễm WannaCry thì sẽ không thể làm gì được.
Chúng sẽ làm gì?
WannaCry mã hóa các tập tin dữ liệu và yêu cầu người dùng phải trả một khoản tiền chuộc là 300 đô la Mỹ bằng bitcoins. Bảng thông báo ghi rõ số tiền thanh toán sẽ được tăng gấp đôi sau 3 ngày. Nếu thanh toán không được thực hiện sau 7 ngày, các tệp được mã hóa sẽ bị xóa.
Hình 1: Màn hình yêu cầu trả tiền chuộc hiển thị bởi Trojan WannaCry
Hình 2: Bản Note yêu cầu đòi tiền chuộc từ WannaCry Trojan
WannaCry mã hóa tập tin với các phần mở rộng sau, thêm .WCRY vào tên tệp
- .123 .3dm .3ds .3g2 .3gp .602 .7z .ARC .PAQ .accdb
- .aes
- .ai
- .asc
- .asf
- .asm
- .asp
- .avi
- .backup
- .bak
- .bat
Xem danh sách đầy đủ các đuôi mở rộng.
Nó lan truyền sang các máy tính khác bằng cách khai thác một lỗ hổng thực thi mã SMB được biết đến trong các máy tính Microsoft Windows. (MS17-010)
Bạn có được bảo vệ chống lại mối đe dọa này không?
Mạng Tình báo Toàn cầu (GIN) của Blue Coat cung cấp khả năng phát hiện tự động cho tất cả các sản phẩm được enabled cho các nỗ lực lây nhiễm dựa trên web.
Các khách hàng của Symantec và Norton được bảo vệ chống lại WannaCry bằng các các công nghệ danh tiếng Antivirus, SONAR protection, Network based protection.
Bạn có thể phục hồi các tập tin được mã hóa?
Thật không may, hiện tại không có gì có thể giải mã các tệp đã được mã hóa bởi WannaCry (tuy nhiên các nhà nghiên cứu của các hãng bảo mật đang nghiên cứu). Điều này có nghĩa là phương pháp duy nhất để chống lại chúng là không bị lây nhiễm từ đầu.
Các tốt nhất để bảo vệ chống lại ransomware là gì?
- Luôn luôn cập nhật các phần mềm tường lửa và chống virus để bảo vệ máy tính.
- Hệ điều hành nên được cập nhật thường xuyên, trong đó sẽ bao gồm các bản vá mới và tránh việc bị hacker khai thác các lỗ hổng.
- Email là một trong những cách phổ biến để WannaCry và các ransomware tương tự xâm nhập máy tính. Vì thế đừng click hoặc mở các file tài liệu lạ.
- Sao lưu tất cả dữ liệu quan trọng. Việc này sẽ giúp kẻ tấn công không có gì để “tóm” được bạn. Ngoài ra, bạn nên sao lưu trên máy chủ, các thiết bị lưu trữ ngoài hoặc các hình thức khác không dùng tới Internet.
Hướng dẫn loại bỏ
Để loại bỏ WannaCry, bạn sẽ cần sử dụng chế độ Safe Mode. Dưới đây là hướng dẫn bật chế độ Safe Mode trên máy tính. Cũng lưu ý là thông tin dưới đây có được dựa trên tìm kiếm và không đảm bảo chắc chắn máy tính của bạn có thể loại bỏ WannaCry. Để làm theo hướng dẫn dưới đây, bạn sẽ cần đọc bài viết này trên thiết bị khác vì trong quá trình thao tác, bạn sẽ phải tắt trình duyệt.
Cách bật chế độ Safe Mode
- Trên Windows XP và Windows 7: Chọn F8 trước khi Windows khởi động. Trên Boot Menu, chọn Safe Mode with Networking và nhấp Enter.
- Trên Windows 8 và 8.1: Vào Start Menu > Control Panel > Administrative Tools > System Configuration. Sau đó tìm và chọn Safe Boot và chọn Networking > Restart. Máy tính của bạn sẽ mở sang chế độ Safe Mode.
- Trên Windows 10: Vào Start Menu > Settings > Update and Security > Recovery. Sau đó, bên dưới Advanced Startup, hãy click vào Restart Now và để máy khởi động lại. Khi máy cho phép lựa chọn Choose Option Screen, hãy click Troubleshoot > Advanced Options > StartupSettings > Enable Safe Mode with Networking Option và nhấp Enter.
Chú ý: Trên một số máy tính, Boot Key lại không phải là F8, khi đó bạn sẽ cần xem lại hướng dẫn của nhà sản xuất để tìm ra phím này.
Hãy đọc các bước cẩn thận và đảm bảo bạn biết rõ mình đang làm gì trước khi thao tác.
Loại bỏ các quá trình bị nhiễm
Giờ bạn cần tìm các quá trình (process) đang chạy trên máy có liên quan tới WannaCry. Nhấn tổ hợp phím Ctrl + Shift + Esc để mở hộp thoại Task Manager. Sau đó hãy nhìn kĩ trên thẻ Processes để tìm các entry lạ.
Thông thường các quá trình nhiễm độc sẽ rất ngốn tài nguyên máy tính, như CPU hay RAM. Nếu thấy entry bất thường, hãy click chuột phải, và chọn Open the File > Delete Everything. Hãy đảm bảo chỉ làm vậy khi bạn chắc chắn quy trình có liên quan tới WannaCry.
Các chương trình khởi động
Giờ hãy mở Startup Programs bằng cách gõ System Configuration vào ô tìm kiếm của Windows. Sau đó chọn kết quả đầu tiên và bạn sẽ thấy danh sách các chương trình.
Nếu dùng Windows 10, bạn có thể thấy Startup Programs ngay trong Task Manager. Trên tất cả các phiên bản Windows, nếu thấy chương trình nào có tên nhà phát triển lạ hoặc nghi ngờ, hãy bỏ chọn và click OK.
Registry
Mở hộp thoại Run của Windows hoặc nhấn tổ hợp phím Windows + R. Sau đó gõ regedit và nhấn Enter.
Khi thấy Registry Editor, nhấn Ctrl + F và gõ tên Ransom.CryptXXX hoặc WannaCry. Hãy xóa tất cả những gì có liên quan tới tên này và chọn Find Next để tìm các kết quả tiếp theo.
Các tập tin dính virus
Cuối cùng, đừng quên xóa tất cả các tập tin có khả năng nhiễm virus. Trên Start Menu, lần lượt gõ từng lựa chọn sau: %AppData%, %LocalAppData%, %ProgramData%, %WinDir%, %Temp%. Mỗi lần tìm kiếm bằng một trong những cái tên trên, một thư mục sẽ hiện ra, hãy chọn lọc theo thời gian và xóa những thư mục, tập tin gần đây nhất. Ngoài ra, bạn có thể vào thư mục Temp để xóa mọi thứ trong đó.
Dù không đảm bảo 100% nhưng những hướng dẫn trên đây có thể hữu ích để giúp bạn loại bỏ WannaCry khỏi máy tính của mình.
Symantec
more recommended stories
Chương trình khuyến mãi Autodesk trong quý 2 Năm tài chính 2019Gửi những bản quyền vĩnh viễn.
7 bộ công cụ chuyên nghành tối ưu năng suất làm việc của AutoCAD và AutoCAD LT 20197 bộ công cụ chuyên nghành.
Revit giúp Whizdom 101 tối ưu quy trình thiết kế cơ sở hạ tầng hiệu quảViệc biến các mảnh đất thô.
PACISOFT tổ chức thành công lễ kỉ niệm 7 năm thành lập công tyNgày 11/11 vừa qua, lễ kỷ niệm.
Bảo vệ Microsoft Office 365 với Acronis Backup 12Bạn có biết rằng 77% khách.
-
Phiên bản eM Client 7.1 có gì mới?
eM Client là một ứng dụng e-mail chạy trên.
-
Thông báo ra mắt Foxit Launches PhantomPDF 9.0 và ConnectedPDF 2.0
Foxit Software đã giới thiệu.
-
Sketchup Make : đây có phải là lời tạm biệt?
Sketchup Make : đây có phải.
-
PACISOFT cung cấp và phân phối phần mềm Dropbox
PACISOFT cung cấp và phân phối.
Thông báo chuyển đổi từ SQL Server 2016 lên SQL Server 2017 tại VNNgày 1 tháng 10 năm 2017,.
-
Microsoft chính thức cung cấp phiên bản SQL Server 2017
Microsoft chính thức cung cấp phiên.
Cải thiện sự hài lòng của khách hàng với phần mềm FoxitCải thiện sự hài lòng của.
ConnectedPDF là PDF thế hệ kế tiếp cho thế giới kết nốiConnectedPDF là PDF thế hệ kế.
Ứng dụng eM Client đầy đủ tính năng của một giao diện hiện đại và dễ sử dụngỨng dụng eM Client đầy đủ.
Ứng dụng eM Client tuyệt vời cho Windows Mail của bạnỨng dụng eM Client tuyệt vời.
Tính năng vượt trội của Foxit PhantomPDFTính năng vượt trội của Foxit.
Các định dạng PDF của Foxit đã cách mạng hóa việc gửi tài liệuCác định dạng PDF của Foxit.
Trình đọc, tạo và chuyển đổi PDF của Foxit hoàn toàn miễn phí cho WindowsTrình đọc, tạo và chuyển đổi.
Phiên bản nitro Pro 11Phiên bản nitro Pro 11 Nitro.
Phiên bản eM Client PemiumPhiên bản eM Client Pemium Ứng.