Cẩn trọng với mã độc tống tiền WannaCry

Kaspersky Lab đã phân tích dữ liệu và xác nhận rằng các hệ thống bảo mật của chúng tôi đã phát hiện ít nhất 45.000 cuộc tấn công tại 74 quốc gia, phần lớn xảy ra tại Nga.

Mã độc tống tiền lây nhiễm vào máy tính của nạn nhân bằng cách khai thác lỗ hổng của Microsoft Windows được mô tả và vá lỗi tại Microsoft Security Bulletin MS17-010. Việc khai thác sử dụng “Eternal Blue” đã được công bố trong Shadowbrokers dump vào ngày 14 tháng 04 vừa qua.

Top 20 quốc gia bị ảnh hưởng nhiều nhất bao gồm: Nga Ukraine, Ấn Độ, Đài Loan, Tajkistan, Kazakhstan, Luxembour, Trung Quốc, Romania, Việt Nam v.v  Những ghi nhận này có thể bị hạn chế và có thể chưa thể hiện được bức tranh toàn cảnh, số lượng thực tế có thể cao hơn.

Các giải pháp bảo mật của Kaspersky Lab đã phát hiện được các mã độc tống tiền liên quan đến WannaCry, bảo vệ người dùng cá nhân và doanh nghiệp an toàn trước sự bùng phát nguy hiểm.

Các phần mở rộng mà mã độc nhắm tới để mã hóa gồm các nhóm định dạng sau:

  1. Các phần mở rộng tập tin văn phòng thông thường được sử dụng (.ppt, .doc, .docx, .xlsx, .sxi).
  2. Các định dạng văn phòng ít phổ biến và đặc thù của quốc gia (.sxw, .odt, .hwp).
  3. Lưu trữ, tập tin phương tiện (.zip, .rar, .tar, .bz2, .mp4, .mkv)
  4. Email và cơ sở dữ liệu email (.eml, .msg, .ost, .pst, .edb).
  5. Các tập tin cơ sở dữ liệu (.sql, .accdb, .mdb, .dbf, .odb, .myd).
  6. Mã nguồn và tập tin dự án của nhà phát triển (.php, .java, .cpp, .pas, .asm).
  7. Khóa và chứng chỉ mã hóa (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
  8. Các tác giả thiết kế đồ hoạ, tác giả và nhiếp ảnh gia (.vsd, .odg, .raw, .nf, .svg, .psd).
  9. Tập tin máy ảo (.vmx, .vmdk, .vdi).

Khuyến nghị phòng chống mã độc WannaCry:

- Đảm bảo rằng tất cả các máy tính đã được cài đặt phần mềm bảo mật và đã bật các thành phần chống phần mềm tống tiền.

- Cài đặt bản vá chính thức (MS17-010) từ Microsoft nhằm vá lỗ hổng SMB Server bị khai thác trong cuộc tấn công này.

- Đảm bảo rằng các sản phẩm của Kaspersky Lab đã bật thành phần System Watcher (trạng thái Enable)

- Thực hiện quét hệ thống (Critical Area Scan) có trong các giải pháp của Kaspersky Lab để phát hiện các lây nhiễm nhanh nhất (nếu không các lây nhiễm sẽ được phát hiện tự động nhưng sau 24 giờ)

- Nếu phát hiện có tấn công từ phần mềm độc hại như tên gọi MEM: Trojan.Win64.EquationDrug.gen thì cần reboot lại hệ thống.

- Một lần nữa, hãy chắc chắn bản vá MS17-010 được cài đặt.

- Tiến hành sao lưu dữ liệu thường xuyên vào các nơi lưu trữ không kết nối với Internet

Đọc thêm