Ransomware WannaCry là một virus độc hại có tốc độ lây nhiễm cực kỳ nhanh và nguy hiểm cho máy tính. Vậy cơ chế làm việc của Ransomware WannaCry sau khi lây nhiễm vào máy tính của nạn nhân là gì? Có cách nào ngăn chặn không? Hãy cùng chúng tôi giải đ ở bài viết này.
Khái quát về Ransomware WannaCry
Ransomware WannaCry là một loại mã độc (malware) được tội phạm mạng sử dụng để tống tiền, thông qua việc mã hóa các tập tin có giá trị và khóa người dùng khỏi máy tính của chính họ.
Lỗ hổng mà WannaCry khai thác nằm trong việc Microsoft Windows triển khai giao thức Server Message Block (SMB). Giao thức này giúp các nút khác nhau trên một hệ thống mạng giao tiếp với nhau. Cơ quan An ninh Quốc gia Hoa Kỳ đã phát hiện ra lỗ hổng này, nhưng thay vì báo cáo nó cho cộng đồng infosec, họ đã phát triển một mã riêng để khai thác nó, được gọi là EternalBlue.
Lần khai thác này đã bị đánh cắp bởi một nhóm hacker được gọi là Shadow Brokers. Bản thân Microsoft đã phát hiện ra lỗ hổng của SMB một tháng trước đó và đã phát hành một bản vá lỗi mang tên Microsoft Security Bulletin MS17-010 để ngăn chặn. Thật không may, nhiều hệ thống chưa kịp cập nhật bản vá này vẫn dễ dàng bị tấn công, do Ransomware Wannacry đã lợi dụng EternalBlue để lây nhiễm vào máy tính. Ransomware WannaCry bắt đầu lây lan nhanh chóng vào ngày 12 tháng 5 năm 2017, và bùng phát như một “đại dịch”. Microsoft ngay sau đó đã chỉ trích chính phủ Hoa Kỳ vì không cảnh báo cho họ về lỗ hổng bảo mật của SMB sớm hơn.
Sở dĩ người ta ví Ransomware WannaCry như một đại dịch là bởi nó đã tấn công khoảng 230.000 máy tính trên toàn cầu. Một trong những công ty đầu tiên bị ảnh hưởng là Telefónica, công ty di động Tây Ban Nha. Tiếp sau đó, hàng nghìn bệnh viện NHS và các ca phẫu thuật trên khắp Vương quốc Anh đã bị ảnh hưởng. Khi ransomware WannaCry lan rộng ra ngoài phạm vi châu Âu, hệ thống máy tính ở 150 quốc gia đã bị tê liệt.
Những cuộc tấn công bằng ransomware WannaCry đã tác động tiêu cực đến nền tài chính thế giới. Theo ước tính, tội phạm mạng này đã gây ra thiệt hại 4 tỷ USD trên toàn cầu.
Cơ chế làm việc của mã độc Ransomware Wannacry sau khi lây nhiễm vào máy tính nạn nhân là gì?
Đối tượng mục tiêu của Ransomware WannaCry là các máy tính sử dụng Microsoft Windows làm hệ điều hành.
Mã độc tống tiền WannaCry xuất hiện trên máy tính bị nhiễm dưới dạng một phần mềm độc lập có chức năng trích xuất các thành phần ứng dụng được nhúng bên trong chính nó. Các thành phần đó bao gồm: một ứng dụng mã hóa và giải mã dữ liệu, tệp chứa khóa mã hóa và một bản sao của Tor. Đặc biệt nó có khả năng lây lan rất mạnh qua mạng LAN. Nếu một máy tính trong cùng một hệ thống mạng LAN bị nhiễm WannaCry, thì chắc chắn toàn bộ các máy khác sẽ bị nhiễm nếu như chưa được vá lỗi trước đó.
Kỹ thuật mã hóa mà Ransomware Wannacry sử dụng được gọi là ransomware tiền điện tử. Giống như các loại mã độc tống tiền khác, WannaCry “bắt cóc” dữ liệu của người dùng làm “con tin” và yêu cầu thanh toán tiền chuộc bằng tiền điện tử Bitcoin.
Cụ thể hơn, sau khi khởi chạy, WannaCry cố gắng truy cập vào một URL được mã hóa cứng (kill switch); nếu không thể làm vậy, nó sẽ tiếp tục tìm kiếm và mã hóa các tập tin ở một loạt định dạng quan trọng, từ tệp Microsoft Office đến MP3 và MKV, khiến người dùng không thể truy cập được. Sau đó, nó sẽ hiển thị thông báo đòi tiền chuộc 300 đô-la Bitcoin trong vòng 3 ngày để giải mã dữ liệu, quá 3 ngày số tiền sẽ tăng lên gấp đôi, và quá 7 ngày thì dữ liệu sẽ vĩnh viễn biến mất.
Giải pháp ngăn chặn Ransomware WannaCry
Những thông tin trên đã phần nào giúp bạn hình dung cơ chế làm việc của Ransomware WannaCry sau khi lây nhiễm vào máy tính nạn nhân là gì. Dưới đây là một số giải pháp giúp máy tính của bạn an toàn trước nguy cơ xâm nhập của WannaCry.
-
Cập nhật phần mềm và hệ điều hành của bạn thường xuyên: Người dùng máy tính trở thành nạn nhân của cuộc tấn công WannaCry đa số là do chưa cập nhật hệ điều hành Microsoft Windows chứa bản vá. Nếu họ cập nhật hệ điều hành thường xuyên, họ sẽ được bảo vệ bởi bản vá bảo mật mà Microsoft đã phát hành ngay trước cuộc tấn công.
-
Không nhấp vào các liên kết đáng ngờ: Nếu bạn mở một email lạ hoặc nhìn thấy một trang web mà bạn không tin tưởng, đừng nhấp vào bất kỳ liên kết nào. Nhấp vào các liên kết chưa được xác minh có thể kích hoạt tải xuống ransomware.
-
Chỉ tải xuống các tập tin từ các trang web mà bạn tin tưởng.
-
Không kết nối máy tính của bạn với các USB không xác định: Không cắm USB hoặc các thiết bị lưu trữ ngoài khác vào máy tính của bạn, nếu bạn không biết chúng đến từ đâu. Chúng có thể bị nhiễm ransomware hoặc bất cứ loại virus nào khác.
-
Cài đặt phần mềm bảo mật internet và thường xuyên cập nhật: Giữ máy tính của bạn được bảo vệ và ngăn chặn ransomware bằng cách cài đặt phần mềm bảo mật internet đáng tin cậy. Để đảm bảo bạn nhận được sự bảo vệ tối đa, bảo mật internet của bạn phải được thường xuyên cập nhật ở phiên bản mới nhất.
-
Sao lưu dữ liệu của bạn: Một bài học “xương máu” chính là sao lưu dữ liệu của bạn thường xuyên bằng ổ cứng ngoài hoặc bộ lưu trữ đám mây. Nếu chẳng may bạn trở thành nạn nhân của mã độc, dữ liệu của bạn sẽ an toàn nếu nó được sao lưu. Chú ý ngắt kết nối thiết bị lưu trữ bên ngoài khỏi máy tính sau khi bạn đã sao lưu dữ liệu của mình.
Với những chia sẻ trên đây, chắc hẳn bạn đã phần nào hình dung được cơ chế làm việc của Ransomware WannaCry sau khi lây nhiễm vào máy tính nạn nhân là gì rồi phải không? Để tránh sự xâm nhập độc hại, hãy đề cao cảnh giác bằng cách thực hiện các giải pháp đảm bảo an toàn bảo mật cho máy tính của bạn nhé!