Liên tục cập nhập...
Cập nhập 28/03/2018:
Theo báo cáo
mới nhất của tạp chí Seattle Times, một nhà máy sản xuất của Boeing tại
Charleston, Nam Carolina đã bị mã độc WannaCry tấn công khiến cho bộ phận quan
trọng thuộc dây chuyền sản xuất và lắp ráp tự động của Boeing, có tên là 777 đã không thể hoạt động. Kỹ sư
trưởng Mike VanderWel của Boeing đã phải gửi một thông báo tới toàn bộ công ty,
kêu gọi tạm thời dừng tất cả các hoạt động và rà soát kiểm tra lại toàn bộ phần
mềm của toàn hệ thống.
Cập nhập 16/02/2018:
Xuất hiện biến
thể mới của WannaCry là Black Ruby, tấn công vào máy tính của người dùng, cài đặt phần mềm
độc hại, kết hợp giữa việc mã hóa thiết bị đòi tiền chuộc và đào tiền ảo.
Cập nhập 24/01/2018:
Công
ty cổ phần Cảng Sài Gòn (mã chứng khoán SGP) vừa công
bố thông tin hệ thống phần mềm kế toán (hệ thống PL-FS) của công ty
bị sự cố nhiễm WannaCry ransomware và bị mã hóa toàn bộ số liệu, dẫn đến không
thể đọc được dữ liệu nên công tác lập BCTC quý 4 và cả năm 2017 bị ảnh hưởng,
công ty không thể hoàn thành và công bố thông tin về các BCTC quý 4 và cả năm
2017 theo đúng thời hạn quy định (ngày 30/1/2018)
Cập nhập 07/09/2017:
Các chuyên gia bảo mật phát hiện
một biến thể mới của Amnesia ransomware giả danh là WannaCry. Biến thể này gắn
thêm phần mở rộng .wncry vào các tệp
được mã hóa. Tỉ
lệ phát hiện trên Virus Total: https://goo.gl/gSSgte
Cập nhập 25/08/2017:
Theo báo cáo của Theregister, nhiều dịch vụ Y tế ở nước Anh do Lanarkshire quản lý như Bệnh viện
Hairmyres, Bệnh viện Monklands, Trung tâm Bệnh viện Wishaw ở Scotland, đã bị
nhiễm trở lại WannaCry. Lanarkshire thông báo rằng phải mất 72 tiếng để xử lý sự
cố và cảm thấy xấu hổ khi sự cố WannaCry xảy ra lần thứ 2. Các bệnh viện này
cũng cảnh báo chỉ xử lý các trường hợp khẩn cấp của các bệnh nhân trong thời
gian trên.
Trước đó, vào giữa tháng 05/2017, trong dịch lây nhiễm WannaCry trên
toàn cầu, hàng loạt máy tính tại 16
trung tâm dịch vụ y tế tại nước Anh đã bị tê liệt hoàn toàn tại Aintree,
Blackpool, Bệnh viện Broomfield ở Essex, Bệnh viện Đa khoa Colchester, tất cả
các hệ thống bệnh viện ở Derbyshire, Great Yarmouth, Đông và Bắc Hertfordshire,
bệnh viện James Paget ở Norfolk, Lanarkshire
và Leicester.
Và cũng theo báo cáo của Theregister, trong thời gian này, một dòng
ransomware mới với tên gọi "Defray" cũng đang lây nhiễm và nhắm đến
các bệnh viện thông qua các tệp Word có tên là "Báo cáo bệnh nhân" (Patient
Report) ở Mỹ và Anh.
Xem thêm: Defray ransomware:
Phát hiện Ransomware mới tấn công vào mảng Giáo dục, Y tế và sản xuất công nghệ
Cập nhập 18/08/2017:
Hôm nay, Theo báo cáo của tờ báo
địa phương Seoul Shinmu, Công ty điện tử tiêu dùng LG Electronics đã xác nhận
WannaCry ransomware đã lây nhiễm các kiosk tự phục vụ tại các trung tâm dịch vụ
khác nhau trên cả nước ở Hàn Quốc và hệ thống đã phải đóng cửa trong 2 ngày để
xử lý và ngăn chặn sự lây lan của mã độc này. Theo LG Electronics, vụ việc đã xảy
ra hôm 14/08/2017.
Cập nhập 03/08/2017:
Hôm thứ tư, những kẻ tấn công đứng
sau vụ WannaCry đã rút hết Bitcoint tại 03 ví điện tử của họ, số tiền tại thời điểm
lên tới khoảng 140.000 USD. Đã có 338 nạn nhân trả tiền chuộc đến các ví BTC
này. Thông thường các ví BTC của những kẻ tấn công luôn bị theo dõi bởi các cơ
quan An ninh tội phạm mạng . Xem chi tiết các ví BTC: https://goo.gl/fVcYyd
; https://goo.gl/xymgvR ; và https://goo.gl/bfCxJ7 .
Cập nhập 24/07/2017:
Xuất hiện ScreenLocker mới giả dạng
WannaCry, ngôn ngữ hiển thị là Thổ Nhĩ Kỳ.
ScreenLocker xâm nhập qua RDP và sử dụng phần mềm EncryptedOnClick để tạo
file ZIP được bảo vệ bằng mật khẩu với phần mở rộng .EOC . Tỉ lệ phát hiện trên
VirusTotal: https://goo.gl/1FwyHk
Cập nhập 05/07/2017:
Phát hiện WanaCry.Net ransomware phiên bản “Made in
China” . Tỉ lệ phát hiện trên Virus Total: https://goo.gl/r7a2G5
Cùng ngày cảnh
sát Trung Quốc cũng đã công bố bắt giữ 02 tác giả phát triển WannaCry
Ransomware phiên bản cho dành điện thoại thông minh chạy Android. Cảnh
sát Trung Quốc cho biết vào ngày 7 tháng 6, họ bắt một người đàn ông 20 tuổi
tên là Chen từ Wuhu, tỉnh Anhui, là tác giả chế tạo ra ransomware và một cậu bé
13 tuổi tên là Jinmou, tại thành phố Anyang, tỉnh Hà Nam là nghi can thứ hai phụ
trách việc phân phối.
Cập nhập 01/07/2017:
Phát hiện WanaCry.Net ransomware lần đầu phát tán dựa
trên NET Framework. Tỉ lệ phát hiện trên Virus Total: https://goo.gl/kXHs46
Cập nhập 22/06/2017:
Năm mươi lăm (55) máy
quay tốc độ và Camera giao thông ở tiểu bang Victoria của Úc đã bị nhiễm
WannaCry.
Cập nhập 21/06/2017:
Đã sau 01 tháng sau sự
cố WannaCry bùng phát thì hôm nay Honda đã buộc phải tạm thời đóng cửa nhà máy
sản xuất xe hơi tại Sayama, Nhật Bản, sau khi một số hệ thống máy tính của họ
đã bị nhiễm WannaCry.
Cập nhập 17/06/2017:
Phát
hiện công cụ giả mạo với tên gọi Wana Decrypt0r Trojan-Syria
Editi0n ransomware. Tỉ
lệ phát hiện trên Virus Total: https://goo.gl/dY9Bqe
Cập nhập 07/06/2017:
Phát hiện mẫu
android WannaCry đầu tiên tấn công vào điện thoại thông minh ở
Trung Quốc.
Cập nhập 03/06/2017:
Có thể khôi phục các tập tin bị mã hoá khi nhiễm WannaCry dựa trên những
sai sót khi code của Hacker.
Cập nhập 30/05/2017:
Group-IB, một
nhà cung cấp bảo mật không gian mạng của Nga đã đưa ra bằng chứng các
nhà nghiên cứu tìm thấy các máy chủ C&C chính dùng để điều phối các cuộc tấn
công của WannaCry:
1. Đầu tiên là 210.52.109.22 được
giao cho một công ty ở Trung Quốc có tên là China Netcom. Tuy nhiên,
Group-IB tuyên bố thông tin trên chỉ được nghe nói từ các nguồn mà các
bộ IP như 210.52.109.0/24 được giao cho Triều Tiên trong thời gian
chờ đợi. Thông tin này hiện không được xác nhận.
2. Tuy nhiên, vị trí của địa
chỉ IP máy chủ C&C thứ hai do Group-IB cung cấp là 175.45.178.222
thuộc về một nhà cung cấp dịch vụ Internet Bắc Triều Tiên. Dịch vụ của
Whois chỉ ra rằng địa chỉ này được phân bổ cho Quận Potonggang, nơi Ủy ban Quốc
phòng Quốc gia đặt trụ sở - cơ quan quân sự cao nhất ở Bắc Triều Tiên.
Cập nhập 24/05/2017:
1. Thống kê 10 ngày sau khi
WannaCry bùng phát và lây nhiễm, có khoảng 300.000 thiết bị tại 150 quốc gia
trên toàn cầu bị nhiễm WannaCry. Các nhà bảo mật kết luận rằng hơn 98% nạn nhân
đều sử dụng Windows 7 (với 64.02% bản 64bit và 34.33% bản 32bit)
do Wannacry sử dụng sâu SMB chỉ làm việc hiệu quả trên
Windows 7. Hiện tại mô-đun worm của WannaCry vẫn đang tìm kiếm nạn nhân mới.
2. Phát hiện
Ransomware 4rw5w, mô phỏng chức năng như WanaCry, các tập tin
mã hoá và nối thêm phần mở rộng .4rwcry4w
3. Cho đến nay, gần 400 mẫu
của phần mềm độc hại WannaCry đã được phát hiện trong tự nhiên.
Cập nhập 23/05/2017:
Các chuyên gia bảo
mật đã xác định được một dòng malware mới tên gọi EternalRocks (hay
còn gọi là DoomsDayWorm) tự lây lan bằng cách khai thác lỗ hổng
trong giao thức chia sẻ tệp tin SMB của Windows, nhưng khác với WannaCry
Ransomware chỉ sử dụng hai công cụ khai thác lỗ hổng trong hệ thống
Microsoft của NSA là EternalBlue và DoublePulsar thì EternalRocks
malware khai thác cả bảy công cụ khai thác lỗ hổng của NSA bao gồm:
1. EternalBlue
— Công cụ khai thác SMBv1.
2. EternalRomance
— Công cụ khai thác SMBv1.
3. EternalChampion
— Công cụ khai thác SMBv2.
4. EternalSynergy — Công cụ
khai thác SMBv3.
5. SMBTouch — Công cụ
giám sát SMB.
6. ArchTouch — Công
cụ giám sát SMB.
7. DoublePulsar — Backdoor
Trojan.
Xem chi tiết bộ mã tại:
http://avastvn.com/vi/eternalrocks-malware-moi-su-dung-ca-bay-cong-cu-khai-thac-lo-hong-cua-nsa
Cập nhập 22/05/2017:
Xuất hiện 01 dạng biến thể
của CryptoLock với cơ chế lây nhiễm như WannaCry. Tỷ lệ phát hiện
trên VirusTotal: https://goo.gl/DoKDpr
Cập nhập 19/05/2017:
1. Benjamin
Delpy, một nhà nghiên cứu bảo mật, đã phát hiện ra một cách để lấy ra các khoá
mã hóa bí mật sử dụng miễn phí cho việc giài mã WannaCry ransomware. Công
cụ có tên WannaKiwi. Link tải về: https://github.com/gentilkiwi/wanakiwi/releases
2. Adylkuzz: Một ransomware
khác giống WannaCry đã phát tán mạnh mẽ tấn công Nga, Ukraine, Thái
Lan và Đài Loan nhiều nhất, tiếp theo là Brazil và Ấn Độ, cũng là những mục
tiêu lớn của Adylkuzz. Thay vì mã hóa dữ liệu rồi đòi tiền chuộc như WannaCry,
thì Adylkuzz sẽ lợi dụng các máy bị nhiễm độc làm công cụ để "đào mỏ"
loại tiền ảo có tên Moreno, rồi chuyển số tiền đó cho chính ke tấn công. Adylkuzz hoạt đông âm thầm và lén lút gây bệnh
cho các thiết bị rồi tiến hành "đào mỏ" người dùng.
Cập nhập 18/05/2017:
UIWIX: Một ransomware mới
dựa trên lỗ hổng chưa được vá của giao thức Server Message Block (SMB) giống
WannaCry đã phát tán và hoành hành ở Trung Quôc.
Tỷ lệ phát hiện UIWIX trên
VirusTotal: https://goo.gl/8c5z9j
Cập nhập 17/05/2017:
Trong tuyên bố bằng tiếng
Anh hôm nay , nhóm Shadow Brokers ( nhóm đã khai thác lỗ hổng
Windows SMB dẫn tới thảm hoạ WannaCry) sẽ phát hành thêm nhiều lỗi
và lỗi Zero-day khác trên các nền tảng máy tính để bàn và điện thoại
di động bắt đầu từ tháng 6 năm 2017 được gọi là "Wine of Month
Club".
Những thông tin rò rỉ mà Shadow
Brokers sắp tới tuyên bố sẽ bao gồm:
- Lỗ hổng khai thác cho các
trình duyệt web, bộ định tuyến và điện thoại thông minh.
- Lỗ hổng khai thác các hệ điều hành, bao gồm Windows 10.
- Dữ liệu bị tổn hại từ ngân hàng và nhà cung cấp Swift.
-Thông tin mạng bị đánh cắp bị từ các chương trình tên lửa hạt nhân của Nga,
Trung Quốc, Iran và Bắc Triều Tiên.
Cập nhập 16/05/2017:
1. Đã có khoảng 596 mẫu
wannacry khác nhau được phát hiện. Danh sách chi tiết tại:
https://plus.google.com/+avtestorg/posts/X8WgnmxTY4h
2. Không những Kaspersky Lab, Intezer, Symantec, Comae
Technologies mà Google cũng tìm thấy mối liên hệ giữa Wannacry với
các nhóm Lazarus (DarkSeoul), Joanap, Brambul của Triều Tiên. Tuy nhiên
đây chưa phải là kết luận cuối cùng. Nguồn: https://goo.gl/Lh5oZC
Cập nhập 15/05/2017:
1. Đã có khoảng 452 mẫu
wannacry khác nhau được phát hiện.
2. Biến thể mới của
WannaCry với tên gọi WannaCrypt 4.0: Như Wanna
Crypt v2.5, WannaCrypt 4.0 đang trong giai đoạn phát triển, điều khác biệt vị của
mẫu này là ngôn ngữ mặc định cho màn hình khóa là tiếng Thái Lan trong khi
WannaCry phiên gốc không hỗ trợ tiếng Thái Lan. Có thể nhà phát triển của
WannaCrypt 4.0 này là từ Thái Lan.
Tỷ lệ phát hiện WannaCrypt 4.0 trên VirusTotal: https://goo.gl/CxF75v
3. Biến thể mới của
WannaCry với tên gọi Wanna Crypt v2.5
Tỷ lệ phát hiện Wanna
Crypt v2.5 trên VirusTotal: https://goo.gl/3zG4pI
Cập nhập 14/05/2017:
1. Đã có khoảng 147 mẫu
wannacry khác nhau được phát hiện.
2. Biến thể mới của WannaCry với tên gọi DarkoderCrypt0r,
Tên file mã hoá có phần mở rộng là .DARKCRY
Tỷ lệ phát hiện
DarkoderCrypt0 trên VirusTotal: https://goo.gl/f8HkGe
Bản tin 13/05/2017:
Ngày hôm nay, một chiến dịch
ransomware khổng lồ đã tấn công vào các hệ thống máy tính của hàng trăm
công ty tư nhân và các tổ chức công cộng trên toàn cầu - Hàng chục ngàn
máy tính trên toàn thế giới đang rơi vào tình trạng tê liệt sau khi bị một phần
mềm mã độc kiểu ransomworm tấn công. Ransomware đã được xác định là một biến
thể của ransomware được gọi là WannaCry (còn được gọi là 'Wana
Decrypt0r,' 'WannaCryptor' hoặc 'WCRY').
Phương thức tấn công, cơ chế hoạt
động:
Mã độc này tấn công giao
thức chia sẻ file Server Message Block (SMB) phiên bản 1 của Microsoft, giao thức
này có trên những phiên bản cũ của Windows như: XP và Server
2008 R2. Mã độc WannaCry đã được kẻ tấn công khai thác từ một
công cụ có tên mã là ETERNALBLUE của NSA. Công cụ được phát triển dựa trên việc
NSA khai thác lỗ hổng bảo mật của Windows trong giao thức mạng thường dùng để
chia sẻ tệp tin và in ấn. Bằng việc sử dụng các kỹ thuật DOUBLEPULSAR
có chức năng như một backdoor xâm nhập vào bên trong hệ thống và cho phép
kẻ tấn công chèn các file DDL bất kỳ vào máy tính của nạn
nhân. Trong khi hãng Microsoft đã phát hành bản vá cho bộ khai thác
ETERNALBLUE và các lỗ hổng khác của SMB v1, thì tin tặc đã phát hiện ra và tiến
hành lây nhiễm mã độc này trên hàng ngàn hệ thống chưa được cập nhật bản vá và
mở giao thức chia sẻ tệp tin trên Internet. Người dùng sẽ không nhận ra
cho tới khi nó tự gửi thông báo tới người dùng, cho biết máy tính họ đã bị nhiễm
phần mềm tống tiền này, cho biết mọi tệp tin của họ đã bị mã hóa. Khi đã bị nhiễm
WannaCry, nạn nhân được yêu cầu phải trả 300 đô la để loại bỏ và mở
khoá máy tính cá nhân. Nếu không, các máy tính cá nhân của họ không sử
dụng được, và các tập tin của họ vẫn bị khóa.
* Theo các chuyên
gia bảo mật: Nguyên nhân bắt nguồn từ Cơ quan An ninh Nội địa Mỹ
(NSA). Cụ thể giữa năm 2016, hệ thống máy chủ của NSA bị đột nhập bởi nhóm
hacker Shadow Brokers, nhóm này đã đánh cắp thành công hàng trăm
công cụ hack của cơ quan này, trong đó có EternalBlue - một công cụ cho
phép khai thác lỗ hổng trong hệ thống Microsoft được nghiên cứ và phát triển
bởi NSA. Shadow Brokers đã công bố những hình ảnh về EternalBlue
( Công cụ này dựa trên những lỗ hổng chưa được vá của giao thức Server
Message Block (SMB), có khả năng vượt qua tường lửa, vượt ảo hoá hoặc các
chương trình phân tich malware, xoá bỏ các mục trong event log thường được dùng
để kiểm tra các vụ xâm nhập máy tính hoặc mạng, nó cũng có thể tấn
công email client trên Windows ( được gọi là WorldTouch), chiếm quyền quản
trị máy tính, thu nhận mật khẩu máy tính chạy Windows của nạn nhân và gửi tất cả
thông tin về máy chủ được yêu cầu). Sau đó nhóm Shadow
Brokers yêu cầu đòi tiền chuộc từ NSA, với số tiền lên tới 10.000 bitcoin
(khoảng 8,2 triệu USD năm 2016). Nhưng sau khi công bố các hình ảnh trên, nhóm
tuyên bố dừng hoạt động mà không rõ nguyên nhân. Sang đầu 2017, một số
thông tin cho thấy EternalBlue được rao bán đấu giá trên web đen (cụ
thể là Rampage). Trong khi đang thực hiện phiên bán đấu giá
thì tháng 03/2017, chuyên gia bảo mật người Pháp tên Kafeine
và Jakub Kroustek- chuyên gia bảo mật của Avast, đã phát hiện
ra Wana Decrypt0r Ransomware đã được phát tán và cảnh báo đến Microsoft
để tiến hành nâng cấp các bản vá lỗi MS17-010. Đến ngày 14/04/2017, Shadow Brokers bất ngờ
chính thức tiết lộ toàn bộ thông tin về lỗ hổng bảo mật của Windows
trên GitHub (dịch vụ cung cấp kho lưu trữ mã nguồn dựa trên nền
web dành cho các dự án phát triển phần mềm) và đến 13/05/2017 thì WannaCry
ransomware (được cho là khai thác một phần bộ mã EternalBlue) chính thức tấn
công vào các hệ thống máy tính trên toàn cầu.
CÁC GIẢI PHÁP CẦN THỰC HIỆN
NGAY:
1. Luôn luôn sao lưu dự phòng
các dữ liệu, thường xuyên kiểm tra để đảm bảo nội dung sao lưu là an
toàn và có thể hồi phục. Cách này sẽ giúp bạn không bị rơi vào tình huống
làm "con tin" khi lây nhiễm ransomware, vì đã có giải pháp phục
hồi lại dữ liệu. Đây là giải pháp tốt nhất.
2. Cập nhật ngay các phiên bản hệ
điều hành windows đang sử dụng. Riêng những máy sử dụng Windows đã ngưng hỗ
trợ hoặc cập nhập bằng phương pháp thủ công , có thể cập nhập bản vá lỗi KB4012598 tại
link sau: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
3. Cập nhập ngay phần mềm
diệt virus đang sử dụng hoặc cài đặt ngay phần mềm diệt virus uy
tín. Không bấm vào đường link lạ hoặc các email lạ.
4. Luôn mở tường lửa và khóa cổng
mạng 137-138-139-445-3389, đóng giao thức SMB1. (SMB2
và SMB3 không bị ảnh hưởng: khuyến cáo không nên tắt các giao thức này)
*** LƯU Ý: WannaCry tấn
công thông qua mạng và ảnh hưởng luôn cả đường mạng nội bộ, một máy
bị nhiễm thì nó sẽ tự động truyền tải ngay mã độc lên đường mạng
của máy đó và lan truyền sang các máy khác sử dụng chung trong mạng.
Cách đóng SMB1: Có 3
cách
I/Dành cho Windows XP và Server
2008 R2:
1. Mở Control Panel
2. Chọn "Programs and
Features" và click chọn "Turn Windows Features on and off" (góc
trái bên trên cửa sổ chương trình)
3. Tìm và bỏ chọn SMB 1.0/CIFS File Sharing Support
4. Click OK , đóng Control
Panel và khởi động lại máy để hoàn tất .
II/Cách kiểm tra và tắt SMB1
bằng Powershell:
1. Mở Powershell bằng cách nhấn
Windows key + R rồi nhập powershell.exe
2. Điền vào đoạn code sau:
Get-SmbServerConfiguration | Select EnableSMB1Protocol,
EnableSMB2Protocol
3. Xem kết quả trả về, nếu là False thì
máy bạn đã tắt SMB1, nếu hiện True thì điền vào code
sau:
Set-ItemProperty -Path
“HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters” SMB1 -Type DWORD
-Value 0 –Force
4. Khởi động lại máy để hoàn tất.
III/Cách tắt SMB1 bằng Registry:
1. Mở Run ,
gõ regedit.exe
2. Đến khoá: SYSTEMCurrentControlSetServicesLanmanServerParameters
Tại HKEY_Local_Machine tạo
mới DWORD key là SMB1 có giá trị value
= 0
3. Tại HKEY_Local_Machine tìm
SYSTEMCurrentControlSetServicesLanmanWorkstation
và kiểm tra DependOnService và
set Bowser”,”MRxSmb20″,”NSI
4. Tại HKEY_Local_Machine tìm
đến SystemCurrentControlSetservicesmrxsmb1 và cài đặt giá trị Start
= 4
5. Khởi động lại máy để hoàn tất.
Xem thêm: Hướng dẫn đóng/mở các
giao thức SMB của Windows tại https://support.microsoft.com/vi-vn/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
Phân tích toàn diện WannaCry: https://goo.gl/SpPIzh
Tỷ lệ phát hiện WannaCry Ransomware trên
VirusTotal: https://goo.gl/LBclSW