Tất tần tật về WannaCry - Mã độc tống tiền đang làm mưa làm gió khắp 104 quốc gia

Phương Nguyễn 15/05/17 06:30

Trong những ngày cuối tuần vừa qua, các tin tức về một loại mã độc đang lây lan trên diện rộng khắp toàn cầu đã trở thành tiêu điểm của dư luận. Với tên gọi WannaCry (Muốn khóc) và đã bị vô hiệu hóa "tình cờ", các chuyên gia an ninh mạng vẫn đang đau đầu tìm cách ngăn chặn nó trở lại.

Ransomware là gì?

WannaCry (hay còn gọi là WanaCrypt0r) là một loại mã độc chuyên dùng để tống tiền (ransomware). Một khi lây nhiễm vào máy của nạn nhân (victim), mã độc sẽ mã hóa toàn bộ dữ liệu theo một thuật toán riêng không ai biết. Nạn nhân chỉ có một cách duy nhất để cứu vãn tình hình là... gửi tiền cho chủ nhân của những đoạn mã này để nhận được công cụ giải mã.

Mỗi loại ransomware sẽ có cách hoạt động khác nhau. Tuy nhiên, chúng thường khởi nguồn bằng việc nạn nhân vô tình hoặc cố ý tải về các file không rõ nguồn gốc (nhấn vào đường dẫn lạ trong email hay tin nhắn) hay truy cập các website có gắn sẵn mã độc.

Giao diện màu đỏ "ám ảnh" của WannaCry, trong đó hướng dẫn nạn nhân cách gửi tiền chuộc, và một đồng hồ đếm ngược tới thời điểm "file trong máy sẽ bị xóa vĩnh viễn"

Ngay sau đó, bên cạnh việc mã hóa dữ liệu trong máy, ransomware sẽ nhanh chóng lây lan ra các máy khác dùng chung mạng nội bộ hoặc Wi-Fi, dựa trên các lỗ hổng bảo mật chưa được vá lỗi.

Ngoài ra, chúng còn có thể chiếm quyền truy cập tài khoản mạng xã hội của nạn nhân hoặc các chương trình chat (Skype, Yahoo..) để liên tục gửi những đoạn nội dung "có vẻ như là chính chủ" tới bạn bè họ, dụ dỗ nhấn đường link lạ. Cứ như vậy, chúng lây lan theo cấp số nhân, rất khó kiểm soát.

Khi đã bị nhiễm, chúng sẽ yêu cầu nạn nhân gửi tiền vào một số tài khoản online (PayPal, BitCoin...) để nhận được công cụ giải mã. Giá cũng rất dao động, nhưng thường là từ vài trăm tới vài nghìn, thậm chí vài chục nghìn USD. Đối với các doanh nghiệp lớn, đây được xem như là "thảm họa".

WannaCry có gì đặc biệt so với các ransomware khác?

Theo nhiều nguồn tin, hacker được cho là đã khai thác lỗi bảo mật trên hệ điều hành Windows do Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) phát hiện hồi đầu năm nay. Thông tin chi tiết về lỗi và cách khai thác được một nhóm hacker có tên "Shadown Brokers" tung ra.

Tuy Microsoft đã phát hành bản vá mã số MS17-010 để bịt lỗ hổng này, nhưng vẫn còn rất nhiều thiết bị chạy Windows không được cập nhật, dẫn tới nguy cơ lây nhiễm vẫn còn rất cao.

Không như những ransomware khác chỉ tấn công nạn nhân nhỏ lẻ, WannaCry đã lan rộng tới hơn 104 quốc gia trên toàn cầu, và gây ra rất nhiều thiệt hại nặng nề.

Các địa điểm ghi nhận sự tấn công của WannaCry trên khắp thế giới.

Có thể kể đến:

- Hãng vận chuyển quốc tế FedEx xác nhận "Giống như những công ty khác, FedEx đang đối mặt với một số sự cố gây ảnh hưởng tới các hệ thống chạy Windows" khi nói về sự việc này.

- Ít nhất 45 bệnh viện và cơ sở y tế của Anh bị ảnh hưởng, gây cản trở hoạt động khám chữa bệnh. Rất nhiều bệnh nhân được di chuyển sang cơ sở khác, trang thiết bị không hoạt động được.

- Bộ Nội vụ Nga và một số ngân hàng Nga cũng lên tiếng xác nhận "đang gặp sự cố" với WannaCry và đang nỗ lực khắc phục.

Nhiều máy tính trong một trường đại học đang bị dính WannaCry.

- Hơn 45.000 tại hơn 100 quốc gia đã được ghi nhận. Trong đó, theo hãng bảo mật Kaspersky, Nga là nước chịu thiệt hại nặng nhất, sau đó đến Ukraine, Ấn Độ và Đài Loan.

- Việt Nam cũng đã ghi nhận những trường hợp đầu tiên dính phải WannaCry.

"Vô tình" bị chặn bởi một tên miền trị giá 11 USD

Một người dùng Twitter có tên MalwareTech hôm 13/05 cho biết, anh vô tình đã ngăn chặn được sự lây lan của mã độc nguy hiểm này, khi phát hiện một tên miền chưa đăng ký xuất hiện trong đoạn mã của WannaCry.

Theo tính chất công việc, anh đã đăng ký tên miền này chỉ với một đích duy nhất: Theo dõi hoạt động của WannaCry (vị trí địa lý, thời gian...).

Thế nhưng, có vẻ như kẻ tạo ra ransomware này đã đặt một công tắc an toàn (kill switch) trong trường hợp không thể kiểm soát sự hoành hành được nữa. Đó là, nếu tên miền nói trên có thể truy cập được, Wannacry sẽ tự ngừng hoạt động.

Và vô tình, vị chuyên trên này đã kích hoạt khóa an toàn đó, khiến WannyCry không thể lây lan được nữa, một thời gian sau anh mới nhận ra.

Thế nhưng, hậu quả để lại vẫn vô cùng to lớn. Rất nhiều dữ liệu đã bị mã hóa vĩnh viễn, và cũng chưa có bằng chứng cho thấy có ai đã được giải mã thành công khi chấp nhận trả tiền cho chúng hay không.

Đừng bất cẩn và đưa mình trở thành nạn nhân tiếp theo

Tuy WannaCry đã được ngăn chặn bằng một hành động hết sức tình cờ như đã nói ở trên, nhưng không có gì đảm bảo chúng sẽ không trở lại bằng những hình thức tinh vi và nguy hiểm hơn. Do đó, cần thiết nhất là chúng ta hãy tự bảo vệ mình.

- Nếu đang sử dụng Windows, bạn hãy cập nhật ngay bản vá MS17-010 mà Microsoft tung ra từ tháng 3. Nếu Windows Update không tự cập nhật, hãy tìm thông tin của bản vá tại đường link bên dưới:
https://support.microsoft.com/en-us/help/4013389/title

- Không nhấn vào bất kỳ đường link nào mà mình cảm thấy nghi ngờ về nguồn gốc. Hãy hỏi trực tiếp người gửi trước khi quyết định.

- Đối với những bạn thành thạo hơn và có kiến thức tin học, hãy tắt port 135, 445 trên máy. Ngoài ra, hãy vô hiệu hóa việc hỗ trợ SMBv1 trên máy.

Nhóm Hacker tống tiền Apple : "150.000 USD hoặc Apple sẽ mất hơn 600 triệu tài khoản iCloud"

Video đang được xem nhiều

tin cùng chuyên mục

Bình luận (0)

Bài viết chưa có bình luận nào.

  • Chia sẻ FB
  • Email
  • Góp ý & Báo lỗi
  • Bình luận 0
lên đầu trang