Cơ chế làm việc của WannaCry khi xâm nhập vào máy tính?

Vào những năm 2017, virus WannaCry đã tấn công và sự xuất hiện của nó khiến cho cả thế giới phải đau đầu. Vào tháng 5/2017, cuộc tấn công do virus wannacry  xảy ra với quy mô lan rộng cực lớn và làm cho gần 220.000 máy tính bị lây nhiễm trên 150 quốc gia. Việt Nam cũng là một trong những quốc gia chịu nhiều ảnh hưởng bởi cuộc tấn công này.

Vậy Wannacry là gì? Cơ chế làm việc của WannaCry khi xâm nhập vào máy tính nạn nhân, Và cách phòng chống như thế nào? Chúng ta cùng tìm hiểu nó qua bài viết dưới đây nhé!

1.WannaCry và các tên gọi?

co-che-lam-viec-cua-wannacry-khi-xam-nhap-vao-may-tinh
WannaCry và các tên gọi? (Nguồn: Internet)

WannaCry là một biến thể của mã độc ransomware, mục tiêu chúng nhắm vào các máy tính chạy hệ điều hành Microsoft Windows bằng cách mã hóa dữ liệu và yêu cầu thanh toán tiền chuộc bằng tiền điện tử Bitcoin. WannaCry còn có các tên gọi khác như WannaCrypt,  Wanacrypt0r  2.0, WanaCrypt0r 2.0  và Wanna Decryptor.

>>Xem thêm: Ransomware WannaCry – “nỗi khiếp sợ” cho dữ liệu doanh nghiệp

Mã độc này khai thác lỗ hổng MS17-010 của giao thức SMB của Microsoft (Server Message Block). Thời điểm đó, Microsoft ngay sau đó đã có phản hồi cùng bản cập nhật hotfix. Tuy nhiên theo các chuyên gia điều này là quá muộn màng khi Wannacry đã xâm nhập vào hàng loạt máy tính. Đối với các máy tính đã bị nhiễm thì việc cập nhật lại hotfix không hề có tác dụng.  tuy nhiên theo các chuyên gia đánh giá động thái đó đã quá muộn màng vì WannaCry đã được lây nhiễm rất nhiều máy tính. Lúc đó cả thế giới chỉ đang trông chờ động thái tiếp theo của WannaCry     

2.Cơ chế làm việc của WannaCry khi lây nhiễm vào máy tính nạn nhân?

co-che-lam-viec-cua-wannacry-khi-xam-nhap-vao-may-tinh
Cơ chế làm việc của WannaCry khi xâm nhập vào máy tính (Nguồn: Internet)
  • Xâm nhập

WannaCry xâm nhập vào máy tính bằng việc tấn công lỗ hỏng MS17-010 của giao thức SMB của Microsoft. Hoặc do người dùng tải các tệp tin, phần mềm không rõ nguồn gốc từ các trang mạng hay email spam được gửi đến. 

  • Mã hóa 

Sau khi xâm nhập được vào máy tính, WannaCry sẽ di chuyển đi tìm các tập tin (thông thường sẽ là các tệp dạng văn bản) nằm trong các ổ cứng và thực hiện mã hóa chúng. 

  • Thông báo 

Trong quá trình mã hóa người dùng sẽ không hề nhận ra sự bất thường cho đến khi nhận được thông báo rằng các tập tin và máy tính đã bị mã hóa. Thông báo gửi đến với nội dung cụ thể về việc máy tính bị mã hóa, những việc cần làm để lấy lại được dữ liệu. 

  • Tống tiền 

Khi đã nắm giữ các dữ liệu của doanh nghiệp thì chúng sẽ gửi đến thông báo đòi tiền chuộc. Để khôi phục dữ liệu thì người dùng phải trả một khoản phí bằng tiền ảo như Bitcoin, Ethereum hoặc Monero,… nhưng phần lớn  là Bitcoin với trị giá là khoản 300 USD cho kẻ gây ra cuộc tấn công này. Không chỉ dừng lại ở đó, chỉ cần sau 3 ngày bạn không thanh toán, thì mức tiền chuộc lại tăng lên gấp đôi và dữ liệu của người dùng sẽ mất hoàn toàn sau 7 ngày. Màn hình máy tính của người dùng khi bị nhiễm virus wannacry sẽ hiển thị đầy đủ thông tin để thanh toán cùng với đó là thời gian đếm ngược cho đến lúc dữ liệu bị xóa hoàn toàn và được thể hiện qua 28 ngôn ngữ. 

co-che-lam-viec-cua-wannacry-khi-xam-nhap-vao-may-tinh
Thông báo được gửi đến với những đối tượng bị tấn công (Nguồn: Internet)

WannaCry có khả năng lây truyền nội bộ. Khi một máy tính của người dùng bị nhiễm Ransomware trong Network, nó sẽ tiếp tục lây lan sang các máy tính khác trong mạng nội bộ và sẽ tiếp tục lập lại quy trình mã hóa đánh cắp dữ liệu và tống tiền đòi tiền chuộc. 

>>Xem thêm: Phải làm gì khi nhiễm phần mềm độc hại Ransomware?

3. Đối tượng WannaCry tấn công?

3.1 Ai là nạn nhân của WannaCry?

WannaCry và các biến thể của nó khai thác một lỗ hổng trên hệ điều hành Windows do Cơ quan An ninh Quốc gia Mỹ (NSA) nắm giữ. Tội phạm mạng đã sử dụng chính những công cụ của NSA để lây lan Ransomware. Lỗ hổng nghiêm trọng này trên hệ điều hành Windows chỉ mới được phát hiện vào tháng 2/2017. Microsoft đã tung ra bản vá vào tháng 3 nhưng có rất nhiều máy tính trên thế giới không được nhận kịp thời bản cập nhật này đây chính là điều kiện thuận lợi cho WannaCry. 

Co che lam viec cua WannaCry khi xam nhap vao may tinh 4
Ai là nạn nhân của WannaCry? (Nguồn: Internet)

Trong đó, đáng kể là các nước đang phát triển sử dụng hệ điều hành, ứng dụng “lậu”. Các công ty, tổ chức hạn chế kết nối mạng ngoài cũng khó lòng cập nhật các bản vá kịp thời. Đây cũng là lý do các bệnh viện, tổ chức y tế tại Anh, công ty viễn thông Telefonica của Tây Ban Nha, dịch vụ chuyển phát nhanh FedEx của Mỹ cũng nằm trong danh sách nạn nhân ảnh hưởng nặng nề nhất. 

3.2 Tình trạng WannaCry và những hậu quả nghiêm trọng

Vụ tấn công mã độc WannaCry nổ ra vào ngày 12/05/2017 bắt đầu từ Anh, trong đó các máy tính của hệ thống các Cục Chăm sóc y tế Quốc gia (NHS) bị tê liệt. Sau đó, vi rút bắt đầu lan sang Trung Quốc, Đức, Ấn Độ, Nga, Mỹ, các nước Nam Mỹ,… và khắp thế giới.

Tính đến ngày 15/05/2017, Interpol ước tính đã có khoảng 220.000 máy tính ở 150 quốc gia bị nhiễm vi rút WannaCry, trong đó Nga là quốc gia bị tấn công nặng nhất, với hơn 1.000 máy tính bị tấn công. Tại Đức, virus WannaCry đã hiển thị trên màn hình của Trung tâm quản lý đường sắt một thông báo đòi tiền chuộc, đồng thời vô hiệu hóa quyền điều hành, gây ra những xáo trộn lớn về giờ giấc đi và đến của nhiều đoàn tàu cùng các máy bán vé tự động.

co-che-lam-viec-cua-wannacry-khi-xam-nhap-vao-may-tinh
Những con số biết nói về mức độ ảnh hưởng của WannaCry (Nguồn: Interent)

Tại Nga, tác hại của virus WannaCry được cho là cũng không kém phần tồi tệ, nhất là với mạng máy tính của Bộ Nội vụ và mạng điện thoại lớn thứ hai của nước Nga là Megafon. Ở Tây Ban Nha, virus WannaCry làm tê liệt mạng điện thoại Telefonica, công ty điện lực Iberdrola và nhà cung cấp gas Natural. Ngay cả công ty chuyển phát nhanh FedEx cũng xác nhận đã bị WannaCry tấn công.

Co che lam viec cua WannaCry khi xam nhap vao may tinh 7
Hàng loạt máy tính bị tấn công (Nguồn: Internet)

Interpol cảnh báo, tình hình có thể sẽ còn tồi tệ hơn sau kỳ nghỉ cuối tuần. Ảnh hưởng của vụ tấn công vi rút đã làm trì trệ, thậm chí tê liệt hoạt động của một số hệ thống cơ quan nhà nước, giới doanh nghiệp và máy tính cá nhân. Tính đến ngày 17-5, mặc dù chính phủ các nước khuyến cáo nạn nhân không nên trả tiền cho bọn tin tặc, nhưng đã có tổng cộng 238 nạn nhân chịu chi trả tổng số tiền 72.144 USD để được nhận mật mã mở khóa vi rút. Việt Nam lúc đó cũng bị ảnh hưởng khá nhiều, với hơn 1.900 máy tính nhiễm WannaCry và hơn 52% máy tính tồn tại lỗ hổng có thể bị tấn công bởi mã độc này.

4. Cách phòng tránh WannaCry bạn cần biết 

  • Bạn cần cập nhật ngay hệ điều hành Windows mà bạn đang sử dụng
  • Không mở, click vào các Email không rõ nguồn gốc (spam)
  • Thường xuyên kiểm tra, lưu trữ dữ liệu để tránh bị mã hóa toàn bộ dữ liệu
  • Cài đặt và liên tục cập nhật các phiên bản mới của các chương trình diệt chống Virus, nên sử dụng các phần mềm chống Virus có bản quyền
  • Kiểm tra cẩn thận với các tệp tin, phần mềm được cài đặt vào máy tính
  • Không truy cập các đường link, các website giả mạo, độc hại.
  • Tận dụng các giải pháp đảm bảo an toàn thông tin mạng trong các tổ chức, doanh nghiệp như là: Firewall, IDS/IPS, SIEM,…Thực hiện ngăn chặn, xác nhận được các máy tính bị nhiễm để có hành động biện pháp xử lí kịp thời.
  • Hoặc liên hệ với các cơ quan chức năng, các tổ chức chuyên trong lĩnh vực an toàn bảo mật thông tin mạng để hỗ trợ khi cần đến.

Bên cạnh đó doanh nghiệp nên chủ động có phần mềm chuyên dụng để phòng trừ nhưng rủi ro trên mà ở đây là WannaCry. iVIM là một trong những đơn vị cung cấp các giải pháp bảo vệ dữ liệu trước Ransomware. iVIM cung cấp các phần mềm chặn Ransomware hiệu quả như Trend Micro với đa dạng phiên bản phù hợp với nhiều mô hình, đặc điểm, nhu cầu của nhiều doanh nghiệp khác nhau.

Co che lam viec cua WannaCry khi xam nhap vao may tinh 6
iVIM cung cấp phần mềm chặn WannaCry Trendmicro (Nguồn: Internet)
  • Với các doanh nghiệp. Trend Micro Worry Free đã bảo vệ từ cả hệ thống mạng cho đến các Email được lưu trữ, Endpoint Security cũng được nâng cấp thêm khả năng giám sát và phát hiện để có thể chặn Ransomware WannaCry ngay từ ban đầu.
  • Đối với người dùng cá nhân, Trend Micro Internet Security cũng đã góp phần giúp họ yên tâm khi sử dụng Internet tại nhà bằng cách ngăn chặn các trang web, email và tệp độc hại liên quan đến mã độc này đã được trừ khử khi phát hiện ra.
  • Thậm chí, đối với người dùng phiên bản dùng thử cũng được Trend Micro chú trọng như có thêm công cụ Trend Micro Lock được thiết kế để xử lý và loại bỏ nếu mã độc khóa màn hình máy tính. Trend Micro Crypto-Ransomware cũng là công cụ để giải mã một số tập tin bị mã hóa hòng đòi tiền chuộc.

Rõ ràng WannaCry là nỗi sợ của rất nhiều doanh nghiệp, khi gây ra những tốn thất nghiêm trọng. Hy vọng qua bài viết Wannacry là gì? Cơ chế làm việc của WannaCry khi xâm nhập vào máy tính bạn đã có thêm những thông tin cần thiết và biết cách bảo vệ dữ liệu cho doanh nghiệp của mình. Đừng quên theo dõi những bài viết của chúng tôi để có thêm những thông tin mới nhất về các loại mã độc và cách phòng tránh.