Mã độc tống tiền WannaCry lây nhiễm như thế nào?

Chủ nhật - 21/05/2017 03:09
Chiều nay 16/5, Sở Thông tin và Truyền thông TP.HCM phối hợp cùng chi hội An toàn thông tin phía Nam tổ chức buổi tọa đàm triển khai các biện pháp phòng, chống cũng như khắc phục sự cố do mã độc tống tiền WannaCry gây ra.
Mã độc tống tiền WannaCry lây nhiễm như thế nào?
Theo đó, đại diện chi hội ATTT phía Nam - gọi là VNISA phía Nam - đã đề xuất một số biện pháp cơ bản để các doanh nghiệp, tổ chức và kể cả người dùng cá nhân có thể tự phòng vệ trước sự lây lan nhanh chóng của ransomware vốn được hacker phát triển từ một lỗ hổng bảo mật trên Windows, ví dụ như nâng cấp các bản vá lỗi, cách ly thiết bị và những lưu ý để tránh bị lây nhiễm WannaCry hay WannaCryt0r từ môi trường Internet.
Theo đại diện VNISA phía Nam, mã độc tống tiền Wannacry được ghi nhận vào ngày 12/5/2017, và phát tán dưới nhiều biến thể khác nhau. Ban đầu, ransomware này bùng phát ở Mỹ và châu Âu trước khi lây lan mạnh sang các quốc gia ở khu vực châu Á, đặc biệt là Trung Quốc.
Theo thống kê của Kaspersky, đến cuối ngày 14/5/2017, đã có hơn 200.000 máy tính ở 150 quốc gia bị thiệt hại bởi WannaCry, và cũng đã có khoảng 110 nạn nhân đã phải chi tiền để chuộc lại dữ liệu.
Trong thông tin chia sẻ với báo giới vào chiều nay 16/5, chi hội ATTT phía Nam cho biết thêm rằng, việc phát hiện cơ chế “Kill Switch” (ngưng hoạt động khi kết nối được đến một trong hai tên miền www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com và www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com) đã phần nào ngăn chặn được sự lây lan của WannaCry phiên bản đầu tiên. Tuy nhiên, các phiên bản mã độc sau đã không còn dùng cơ chế này và tiếp tục phát tán với tốc độ chóng mặt.
Theo phân tích của giới chuyên gia bảo mật trong và ngoài nước, điểm đặc biệt làm cho WannaCry cực kỳ nguy hiểm là mã độc đã khai thác lỗ hổng MS17-010 có trên tất cả phiên bản hệ điều hành Windows có sử dụng giao thức chia sẻ tập tin mang tên SMBv1 để tự lây nhiễm.
Lỗi bảo mật nghiêm trọng này chỉ mới được Microsoft phát hành các bản vá lỗi vào ngày 14/3/2017 và thực tế là có rất nhiều máy tính chưa kịp thực hiện việc cập nhật/nâng cấp.
Từ công cụ khai thác lỗi MS17-010 đầu tiên là Eternal Blue xuất hiện vào tháng 4/2017, đến nay đã có nhiều phiên bản mã khai thác được giới hacker tinh chỉnh và sử dụng. Các mã khai thác lỗi này còn được tích hợp trong các bộ công cụ kiểm thử như thông dụng như Metasploit hay Empire.
Với mỗi nạn nhân bị lây nhiễm, WannaCry sẽ khởi tạo một cặp khóa RSA-2048. Mỗi tập tin được mã hoá bằng khóa ngẫu nhiên AES-128. Khóa private của mỗi nạn nhân mã hóa bởi public key của hacker.
Sau đó, mã độc WannaCry sẽ tiến hành mã hóa và xóa bỏ tất cả các tập tin tạm, thực thi phần tống tiền với phần mềm Tor và Bitcoin Wallet để nhận tiền chuộc dữ liệu mà không bị truy vết.
Phương pháp lây nhiễm
Đầu tiên WannaCry được phát tán qua các E-mail có đính kèm các tập tin .rtf hoặc HTA, các file nén có mật khẩu, (theo hãng Positive Technology đã xuất hiện cách thức tích hợp mã độc lên các Website để tự động tải WannaCry khi máy truy cập bị lỗi). Sau khi kích hoạt thành công và xuất hiện trong mạng nội bộ, WannaCry sẽ tiến hành hai nhiệm vụ:
- Tiến hành dò quét lỗi MS17-010 của các máy lân cận và các máy ngoài Internet (có thể kết nối) để lây nhiễm. Lỗ hổng này cho phép thực thi mã từ xa thông qua dịch vụ chia sẻ tập tin SMBv1 trên hệ điều hành Windows.
- Tiến hành việc mã hóa dữ liệu và kích hoạt cơ chế đòi tiền chuộc.
Nguồn: PC World VN

Tổng số điểm của bài viết là: 0 trong 0 đánh giá

Click để đánh giá bài viết
THỐNG KẾ TRUY CẬP
  • Đang truy cập19
  • Hôm nay3,683
  • Tháng hiện tại70,044
  • Tổng lượt truy cập1,962,224
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây