Biện Pháp Phòng Chống Mã Độc Tống Tiền WanaCry

Thứ Hai, 15 tháng 5, 2017

Biện Pháp Phòng Chống Mã Độc Tống Tiền WanaCry

Mã Độc Tống Tiền WanaCry - Ransomware


Mã Độc WanaCry Là Gì?
WannaCry là loại mã độc khi thâm nhập vào thiết bị, máy tính của người dùng hoặc máy tính trong hệ thống doanh nghiệp sẽ tự động mã hoá hàng loạt các tập tin theo những định dạng mục tiêu như văn bản tài liệu, hình ảnh...
Nó mã hóa các tệp tin với đuôi định dạng như:

.123, .jpeg , .rb , .602 , .jpg , .rtf , .doc , .js , .sch , .3dm , .jsp , .sh , .3ds , .key , .sldm , .3g2 , .lay , .sldm , .3gp , .lay6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .max , .sql , .ARC , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .mid , .stc , .asm , .mkv , .std , .asp , .mml , .sti , .avi , .mov , .stw , .backup , .mp3 , .suo , .bak , .mp4 , .svg , .bat , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .msg , .sxd , .bz2 , .myd , .sxi , .c , .myi , .sxm , .cgm , .nef , .sxw , .class , .odb , .tar , .cmd , .odg , .tbk , .cpp , .odp , .tgz , .crt , .ods , .tif , .cs , .odt , .tiff , .csr , .onetoc2 , .txt , .csv , .ost , .uop , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der” , .ott , .vcd , .dif , .p12 , .vdi , .dip , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .dot , .php , .wav , .dotm , .pl , .wb2 , .dotx , .png , .wk1 , .dwg , .pot , .wks , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .pst , .xlw , .jar , .rar , .zip , .java , .raw
Người dùng cá nhân cũng như doanh nghiệp sẽ phải trả một khoản tiền không hề nhỏ nếu muốn lấy lại các dữ liệu đó.
Theo Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) cho thấy loại mã độc này rất nguy hiểm chúng có thể đánh cắp thông tin người dùng và mã hóa toàn bộ hệ thống để tống tiền, và có thể là hơn thế nữa!

Sự Lây Nhiễm Của Mã Độc Này
Ước tính vụ tấn công mạng diễn ra trên quy mô toàn cầu, ảnh hưởng tới khoảng 99 quốc gia, trong đó có Anh, Mỹ, Trung Quốc, Nga, Tây Ban Nha, Italy, Đài Loan (Trung Quốc), Việt Nam và nhiều quốc gia khác. Theo các chuyên gia của Intel, hiện lỗ hổng đã ghi nhận tại Hà Nội và Hồ Chí Minh, và có thể lan rộng trên toàn quốc.

Tính đến hết ngày 13/5, theo TheHackerNews, cuộc tấn công sử dụng mã độc tống tiền lớn nhất từ trước đến nay WannaCry đã lây nhiễm thành công hơn 200.000 máy tính sử dụng hệ điều hành Windows tại ít nhất 99 quốc gia. Chỉ ngay trong vài giờ đầu phát tán, số tiền nhóm tin tặc đứng đằng sau WannaCry thu được là khoảng 30.000 USD.

Không dừng lại, một phiên bản nâng cấp tinh vi hơn của của WannaCry WannaCry 2.0 vừa được nhóm tin tặc phát tán và đang tiếp tục lây nhiễm sang hàng trăm nghìn máy tính trên toàn cầu.



Về cách lây nhiễm, mã độc WannaCry tìm ra lỗ hổng bảo mật và lây nhiễm chúng bên trong tổ chức bằng cách khai thác lỗ hổng được công bố bởi công cụ NSA đã bị đánh cắp bởi nhóm hacker The Shadow Brokers. Mã độc tống tiền này chủ yếu khai thác vào lỗ hổng của giao thức SMB mà các tổ chức cá nhân chưa vá lỗ hổng kịp thời, tập trung vào Win2k8 R2 và Win XP.

Cách Thức Phòng Chống
  1. Thời xuyên cập nhật các bản Update của hệ điều hành Windows và tạm thời tắt SMB
  2. Các bạn không nên click tải cái tệp tin hoặc mở cái file giữ liệu hay đường link nào đó không rõ nguồn gốc(nên thận trọng)
  3. Cài Đặt phần miền Anti Virus,bạn có thể Download: https://ransomfree.cybereason.com/ 1 phần mền Anti Virus đến 99% các bạn tải về và cài đặt nhé
  4. Thời xuyên backup lại những giữ liệu quan trọng
  5. Tắt SMB, Block Các Cổng Port 445, 137, 138, 139
A.Kiểm tra port 445 Mở CMD quyền Admin và gõ
netstat -an | findstr 445
Nếu gõ không hiện ra cái gì thì là OK còn nếu có chữ LISTENNING thì phải block port ngay B. Tắt SMB Mở Start-> Windows PowerShell-> Phải chuột vào Windows Powershell chọn Run as administrator Copy từng dòng Paste vào. Nếu nó hiện lỗi gì thì bỏ qua sang dòng khác
Remove-WindowsFeature FS-SMB1Disable-WindowsOptionalFeature -Online -FeatureName smb1protocolsc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsisc.exe config mrxsmb10 start= disabledsc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi sc.exe config mrxsmb20 start= disabledSet-SmbServerConfiguration -EnableSMB2Protocol $falseSet-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force
B. Chặn port 445/137/138/139 trên Firewall Máy nào cài Antivirus mà có tường lửa riêng thì phải cấu hình trên tường lửa riêng của Anivirus Còn máy nào ko xài Antivirus hoặc Windows Defener thì làm như sau B1: Mở Start search cụm từ Firewall và chọn Windows Firewall with Advanced security B2: Inbound Rules-> New Rule-> Port B3: Chọn UDP-> Specific local ports nhập dòng này vào 445, 137, 138, 139 B4: Block the connection B5: Tick cả 3 cái B6: Đặt tên tùy ý-> finish B7: Kiểm tra lại xem bật firewall chưa, chưa thì bật lên C. Tắt Sever service B1: Run-> Services.msc B2: Tìm tới Services Server. Phải chuột chọn Stop B3: Click đúp vào nó. Startup type sửa thành Disabled. Apply->OK Sau khi làm xong tất cả RESTART LẠI MÁY. CẤM SHUTDOWN

Dưới đây là Video hướng dẫn Tắt SMB Bởi Kiet Nguyen Anh Production




Trích Dẫn Từ Nhiều Nguồn



Cùng tham gia bình luận bài viết này nhé!

Không có nhận xét nào:

Đăng nhận xét