top of page
Writer's pictureCông Ty Trần Sang

Máy tính HĐH Windows cũ đã có thể chặn ransomware WannaCry bằng bản vá

Updated: Aug 5, 2019


Máy tính HĐH Windows cũ đã có thể chặn ransomware WannaCry bằng bản vá.

Những người dùng máy tính đang chạy hệ điều hành Windows cũ hiện có thể tải về bản vá (patch) để bảo vệ họ khỏi cuộc tấn công ransomware (mã độc tống tiền) quy mô lớn vào tuần này.


Trong một động thái hiếm gặp, Microsoft đã công bố bản vá cho Windows XP, Windows Server 2003 và Windows 8 - tất cả hệ điều hành đều không còn được hỗ trợ chính thức.


Người dùng có thể tải về và tìm hiểu thêm thông tin các bản vá trong bài đăng trên blog của Microsoft về cuộc tấn công hôm thứ Sáu đến từ ransomware WannaCry.


Ransomware WannaCry đã lan rộng trên toàn cầu, lây nhiễm cho các máy tính bằng cách khai thác một lỗ hổng của Windows liên quan đến giao thức Server Message Block (SMB) - tính năng chia sẻ tập tin.


Máy tính nhiễm WannaCry sẽ bị mã hóa dữ liệu, và hiển thị thông báo đòi tiền chuộc với số tiền 300 hoặc 600 USD bằng bitcoin để giải mã các tập tin.


Cũng may người dùng Windows 10 không phải là mục tiêu của cuộc tấn công. Hồi tháng 3, Microsoft đã vá lỗ hổng bảo mật mà ransomware có thể khai thác - nhưng chỉ dành cho các hệ thống Windows mới hơn. Bản vá này "bỏ rơi" những máy Windows cũ, hoặc người dùng không vá trên các máy mới hơn, có thể là nạn nhân của cuộc tấn công hôm thứ Sáu.


Ransomware WannaCry ban đầu được phát hiện lây lan thông qua các tập tin đính kèm (attachment) trong chiến dịch lừa đảo bằng email. Một số trường hợp, email lừa đảo giả dạng đại diện một ngân hàng cảnh báo về việc chuyển tiền, theo nhóm an ninh Talos của Cisco.


Người dùng có thể tự bảo vệ mình bằng cách cẩn thận với những email như vậy, Microsoft cho biết. Phần mềm diệt virus miễn phí Windows Defender của công ty, cùng với các sản phẩm bảo mật của bên thứ ba khác như Kaspersky Lab và Avast, cũng sẽ phát hiện và loại bỏ mối đe dọa này.


Phạm vi lây nhiễm của ransomware WannaCry.

Phạm vi lây nhiễm của ransomware WannaCry.


Khi một PC không được bảo vệ đã bị nhiễm, máy tính này sẽ cố gắng lây lan sang các máy khác qua mạng cục bộ (Local Area Network - LAN), cũng như qua internet. WannaCry sẽ quét những máy chưa được vá lỗi - tồn tại lỗ hỏng bảo mật SMB.


Doanh nghiệp có thể ngăn chặn ransomware WannaCry bằng cách vô hiệu hóa giao thức SMB trong các máy tính dễ bị lây nhiễm. Họ cũng có thể sử dụng tường lửa để chặn lưu lượng truy cập internet lạ khỏi việc tiếp cận các cổng mạng mà SMB sử dụng.


May mắn, cuộc tấn công ransomware hôm thứ Sáu có thể đã được khống chế. Một nhà nghiên cứu bảo mật - 22 tuổi, đến từ tây nam nước Anh, đang làm việc cho công ty an ninh mạng Kryptos Logic - tự nhận là MalwareTech đã vô tình kích hoạt phương thức dừng khẩn cấp (kill switch) trong WannaCry để ngăn chặn nó lây lan.


"Tôi đi ăn trưa cùng với một người bạn và trở về làm việc khoảng 3 giờ chiều. Tôi thấy dòng tin tức về NHS (National Health Service) và các tổ chức khác của Anh đang bị tấn công", anh kể với nhật báo The Guardian. "Tôi đã tìm hiểu và sau đó phát hiện mẫu phần mềm độc hại đằng sau nó, và thấy rằng nó được kết nối với một tên miền riêng chưa được đăng ký. Vì vậy, tôi đã mua tên miền này mà không biết nó có tác dụng gì vào thời điểm đó".


Kill switch can thiệp vào mã nguồn của phần mềm độc hại trong trường hợp người tạo muốn ngăn nó lây lan. Cách này liên quan đến một tên miền vô nghĩa rất dài mà phần mềm độc hại yêu cầu - như thể nó đang tìm kiếm bất kỳ trang web nào - và nếu yêu cầu ngược trở lại, cho thấy rằng tên miền đó đang hoạt động, kill switch sẽ có tác dụng và phần mềm độc hại ngừng lan truyền. Tên miền đó có giá 10,69 USD (tương đương 243.000 đồng) và ngay lập tức đã đăng ký hàng ngàn kết nối mỗi giây.


MalwareTech giải thích rằng anh đã mua tên miền đó vì công ty của anh theo dõi các botnet, và bằng cách đăng ký tên miền, họ có thể hiểu rõ cách botnet đang lây lan. "Mục đích chỉ để theo dõi sự lây lan và xem chúng ta có thể làm gì với nó sau này hay không. Nhưng chúng tôi thực sự đã ngừng việc lây lan chỉ bằng cách đăng ký tên miền", anh nói. Nhưng những giờ sau đó là một "mớ cảm xúc hỗn độn".


"Lúc đầu ai đó đã đăng tin sai rằng chúng tôi gây ra việc lây lan bằng cách đăng ký tên miền, vì vậy tôi có chút sốc cho đến khi tôi nhận ra câu chuyện đã thực sự thay đổi theo hướng khác và chúng tôi đã ngừng nó", anh nói.


Kết quả, hơn 100.000 ca nhiễm tiềm năng đã được ngăn ngừa, theo National Cyber Security Centre (Trung tâm An ninh Mạng Quốc gia) của Anh. Nhưng các chuyên gia cũng cảnh báo rằng những người phát triển WannaCry có thể đang tạo ra các phiên bản khác, sẽ không dễ dàng để vô hiệu hóa.


"Điều rất quan trọng là mọi người nên hiểu rằng tất cả bọn họ (những kẻ hacker) cần làm là thay đổi một số mã và phát tán lại. Hãy vá hệ thống của bạn ngay!", MalwareTech viết trên Twitter.


Không may, việc kích hoạt kill switch sẽ không cứu được các nạn nhân hiện tại. Ransomware WannaCry vẫn trú ngụ trên hệ thống đã bị nhiễm.


Cuộc tấn công ransomware hôm thứ Sáu dường như lây lan chủ yếu ở châu Âu và châu Á, với Nga là quốc gia bị ảnh hưởng nặng nề nhất, theo các nhà nghiên cứu bảo mật.


Chuyên gia bảo mật khuyên các nạn nhân hãy chờ đợi trước khi trả tiền chuộc. Khả năng những nhà nghiên cứu sẽ phát triển một giải pháp miễn phí có thể gỡ bỏ sự lây nhiễm này.


bottom of page