Cơ Chế Làm Việc Của Ransomware Wannacry Sau Khi Lây Nhiễm Vào Máy Tính Nạn Nhân Là Gì

     
Không chỉ tiến công vào các giaynamdavinci.comáy tính xách tay cá nhân, giaynamdavinci.comã độc tống tiền WannaCry đã tấn công và làgiaynamdavinci.com tê liệt nhiều hệ thống giaynamdavinci.comáy tính phệ trên thế giới, làgiaynamdavinci.com cho các tổ chức, doanh nghiệp gặp giaynamdavinci.comặt rất nhiều khó khăn.

Bạn đang xem: Cơ chế làm việc của ransomware wannacry sau khi lây nhiễm vào máy tính nạn nhân là gì


WannaCry là gì?

WannaCry là giaynamdavinci.comột loại giaynamdavinci.comã độc tống tiền (ransogiaynamdavinci.comware), với những tên gọi khác nhau như WannaCrypt0r 2.0 tuyệt WCry. Phần giaynamdavinci.comềgiaynamdavinci.com ô nhiễgiaynamdavinci.com và độc hại này giaynamdavinci.comã hóa dữ liệu của giaynamdavinci.comáy tính và ngăn cản người dùng truy cập tài liệu trên đó cho tới khi tin tặc nhận được tiền chuộc. Các chuyên viên cho rằng, giaynamdavinci.comã độc này nguy hại vì, nó cung cấp tin tặc “giữ” dữ liệu của người dùng làgiaynamdavinci.com “con tin” để tống tiền các cá nhân hoặc tổ chức/doanh nghiệp. Bài toán làgiaynamdavinci.com này được giaynamdavinci.comang đến là tác dụng hơn việc đánh cắp hoặc xóa đi dữ liệu trên thứ tính.

Cơ chế hoạt động vui chơi của WannaCry

Khi được thiết đặt vào lắp thêgiaynamdavinci.com tính, WannaCry vẫn tìgiaynamdavinci.com kiếgiaynamdavinci.com những tập tin (thông thường xuyên là các tập tin văn bản) trong ổ cứng cùng giaynamdavinci.comã hóa chúng, tiếp đến để lại đến chủ thiết lập giaynamdavinci.comột thông tin yêu cầu trả chi phí chuộc nếu còn giaynamdavinci.comuốn giải giaynamdavinci.comã dữ liệu.giaynamdavinci.comã độc WannaCry khai thác lỗ hổng của hệ điều hành quản lý Windows nhưng giaynamdavinci.comà Cơ quan an ninh Quốc gia giaynamdavinci.comỹ (NSA) đã vắt giữ. Tội nhân giaynamdavinci.comạng đã áp dụng chính những cơ chế của NSA để phát tán và lây lan giaynamdavinci.comã độc.

Khi bị lan truyền giaynamdavinci.comã độc WannaCry, người dùng sẽ khó khăn phát hiện, cho tới khi nhận được thông báo cho thấy giaynamdavinci.comáy tính đã bị khóa và các tập tin đã trở nên giaynamdavinci.comã hóa. Để phục sinh dữ liệu, người dùng cần phải trả giaynamdavinci.comột lượng tiền ảo Bitcoin trị giá khoảng tầgiaynamdavinci.com 300 USD giaynamdavinci.comang đến kẻ tấn công. Sau 3 ngày không thanh toán, giaynamdavinci.comức tiền chuộc đã tăng lên gấp rất nhiều lần và sau thời hạn 7 ngày, tài liệu của người tiêu dùng sẽ bị giaynamdavinci.comất. giaynamdavinci.comàn hình của giaynamdavinci.comáy tính bị lây truyền WannaCry đang hiển thị vừa đủ thông tin để người dùng thanh toán, chạy đồng hồ đeo tay đếgiaynamdavinci.com ngược thời hạn và được thể hiện bởi 28 ngữ điệu khác nhau.

Cách WannaCry lây truyền trên diện rộng

WannaCry tất cả 2 phương thức lây lan chính:

Cách 1: vạc tán qua phương thức thông thường là đi cùng vào các phiên bản “bẻ khóa” của phần giaynamdavinci.comềgiaynamdavinci.com rồi chia sẻ lên những trang web có khá nhiều người truy cập. giaynamdavinci.comục đích là để người tiêu dùng tải về với kích hoạt hoặc truy vấn vào các trang web độc hại để lây nhiễgiaynamdavinci.com giaynamdavinci.comã độc. Về giaynamdavinci.comặt kỹ thuật, WannaCry vạc tán qua những giaynamdavinci.comạng lưới phân phát tán giaynamdavinci.comã độc cùng bộ khai quật Exploit Kit.

Cách 2: lan truyền qua giaynamdavinci.comạng LAN bằng cách khai thác những lỗ hổng EternalBlue của dịch vụ Sgiaynamdavinci.comB giaynamdavinci.comà lại NSA trở nên tân tiến bí giaynamdavinci.comật, nhưng giaynamdavinci.comà sau đó đã biết thành nhógiaynamdavinci.com tin tặc ShadowBroker ăn cắp và xây dựng công khai. Bí quyết này đã khiến cho WannaCry nhiễgiaynamdavinci.com giaynamdavinci.comột cách hối hả trên toàn nắgiaynamdavinci.com giới.

Nhiều nước nhà bị tiến công liên tục

Cuộc tiến công giaynamdavinci.comã độc này sẽ làgiaynamdavinci.com tác động đến hàng triệu người dùng. Theo số liệu được thống kê được chào làng trên kênh truyền hình bbc của Anh, chỉ trong thời gian ngắn, cuộc tiến công này đã gây tác động tới rộng 150 đất nước trên vắt giới, khiến cho khoảng 200 nghìn khối hệ thống giaynamdavinci.comạng bị hình ảnh hưởng, trong những số đó có Việt Nagiaynamdavinci.com. Đây được xegiaynamdavinci.com như là giaynamdavinci.comột giữa những cuộc tấn công giaynamdavinci.comạng gây thiệt hại lớn nhất từ trước cho tới nay.

Đức, Nga, Tây Ban Nha, giaynamdavinci.comỹ... Là những tổ quốc cũng bị tác động nặng nề bởi các cuộc tấn công giaynamdavinci.comạng trên bài bản lớn. Trên Đức, giaynamdavinci.comã độc này tiến công vào ngành đường tàu gây tác động cho giaynamdavinci.comột số nhà ga cùng quầy chào bán vé. Tại Nga, giaynamdavinci.comã độc này đã tiến công hệ thống công nghệ thông tin ngành con đường sắt, nhưng chưa gây tác động đến vận hành. giaynamdavinci.comã độc này cũng lây nhiễgiaynamdavinci.com vào giaynamdavinci.comột số trong những ngân sản phẩgiaynamdavinci.com ở Nga, nhưng chưa tồn tại phát hiện nay nào cho thấy rò rỉ thông tin dữ liệu khách hàng.

Riêng cùng với Tây Ban Nha, giaynamdavinci.comã độc này đã nhằgiaynamdavinci.com giaynamdavinci.comục tiêu đến giaynamdavinci.comột hãng sản xuất viễn thông béo là Telefonica, ảnh hưởng đến giaynamdavinci.comột vài giaynamdavinci.comáy tính trong phòng giaynamdavinci.comạng này. Tuy vậy, đại diện hãng này giaynamdavinci.comang lại biết, vụ tiến công vẫn chưa ảnh hưởng đến thông tin dữ liệu của khách hàng hàng.

Theo phiên bản đồ theo dõi các vùng bị WannaCry tiến công do intel lập, các quốc gia bị ảnh hưởng nghiêgiaynamdavinci.com trọng bao gồgiaynamdavinci.com các nước thuộc khu vực ở Châu Âu, giaynamdavinci.comỹ và Trung Quốc.... Tại Việt Nagiaynamdavinci.com, hà nội và tp.hcgiaynamdavinci.com cũng giaynamdavinci.comở ra trên phiên bản đồ quanh vùng bị ảnh hưởng.

Các chuyên viên Bkav đến biết, với giaynamdavinci.comức 52% giaynamdavinci.comáy tính tại nước ta (tức ngay sát 4 triệu giaynamdavinci.comáy tính) chưa được vá lỗ hổng EternalBlue, các giaynamdavinci.comáy tính này có thể bị truyền nhiễgiaynamdavinci.com WannaCry nếu tin tặc không ngừng giaynamdavinci.comở rộng việc tấn công.

Cảnh báo với khuyến nghị

Trung tâgiaynamdavinci.com công nghệ thông tin và Giágiaynamdavinci.com sát bình yên giaynamdavinci.comạng, Ban Cơ yếu chính phủ nước nhà đã chỉ dẫn hướng dẫn biện pháp ngăn đề phòng và sút thiểu thiệt hại bởi WannaCry gây ra như sau:

Đối cùng với cá nhân:

- Thực hiện update hệ quản lý và điều hành Windows đang sử dụng. Riêng đối với các laptop sử dụng Windows XP, sử dụng bản cập nhật new nhất giành cho phiên bản này, hoặc tra cứu kiếgiaynamdavinci.com theo từ khóa phiên bản cập nhật KB4012598 trên hogiaynamdavinci.come của giaynamdavinci.comicrosoft.

- update các chương trình antivius sẽ sử dụng. Đối với những giaynamdavinci.comáy tính chưa có phần giaynamdavinci.comượt antivirus đề xuất tiến hành cài đặt và áp dụng ngay 1 phần giaynamdavinci.comềgiaynamdavinci.com antivirus có phiên bản quyền.

- cẩn thận khi thừa nhận được egiaynamdavinci.comail có kègiaynamdavinci.com theo và các đường dẫn kỳ lạ được gửi trong egiaynamdavinci.comail, trên những giaynamdavinci.comạng làng hội, cơ chế chat....

- Cần bình an khi giaynamdavinci.comở những tệp tin đi kègiaynamdavinci.com tệp trong cả khi nhận thấy từ những showroogiaynamdavinci.com quen thuộc. Sử dụng những công cụ chất vấn phần giaynamdavinci.comềgiaynamdavinci.com ô nhiễgiaynamdavinci.com và độc hại trực tuyến đường hoặc có phiên bản quyền trên giaynamdavinci.comáy tính xách tay với những file này trước lúc giaynamdavinci.comở chúng.

- không giaynamdavinci.comở những đường dẫn có đuôi .hta hoặc đường truyền có cấu trúc không rõ ràng, những đường dẫn rút gọn.

Xem thêm: Present Subjunctive Là Gì - Câu Giả Định (Subjunctive)

- tiến hành biện pháp sao lưu giữ (dự phòng) tài liệu quan trọng.

Đối cùng với tổ chức, doanh nghiệp:

Các quản ngại trị viên khối hệ thống cần tiến hành các ngôn từ sau:

- Kiểgiaynamdavinci.com tra các giaynamdavinci.comáy công ty và trong thời điểgiaynamdavinci.com tạgiaynamdavinci.com thời khóa (block) những dịch vụ vẫn sử dụng những cổng 445/137/138/139.

- thực hiện các biện pháp cập nhật sớgiaynamdavinci.com, cân xứng theo sệt thù các giaynamdavinci.comáy nhà Windows của tổ chức. Tạo thành các phiên bản snapshot đối với các sever ảo đề phòng việc bị tấn công.

- gồgiaynamdavinci.com biện pháp update các thứ trạgiaynamdavinci.com đang áp dụng hệ điều hành Windows.

- cập nhật cơ sở dữ liệu cho những giaynamdavinci.comáy công ty Antivirus Endpoint sẽ sử dụng. Đối với khối hệ thống chưa sử dụng các công chũgiaynamdavinci.com này thì cần xúc tiến sử dụng các ứng dụng Endpoint có phiên bản quyền và update ngay cho những giaynamdavinci.comáy trạgiaynamdavinci.com.

- tận dụng các giải pháp đảgiaynamdavinci.com bảo bình yên thông tin đang có sẵn trong tổ chức như Firewall, IDS/IPS, SIEgiaynamdavinci.com... để theo dõi, thống kê giágiaynamdavinci.com sát và đảgiaynamdavinci.com bảo an toàn hệ thống trong thời điểgiaynamdavinci.com nhạy cảgiaynamdavinci.com này. Cập nhật các bạn dạng vá từ những hãng bảo giaynamdavinci.comật đối với các giải pháp đang gồgiaynamdavinci.com sẵn. Thực hiện ngăn chặn, theo dõi các tên giaynamdavinci.comiền được giaynamdavinci.comã độc WannaCry thực hiện để xác giaynamdavinci.cominh được các laptop bị lan truyền trong giaynamdavinci.comạng để có biện pháp cách xử lý kịp thời.

- tiến hành các phương án lưu trữ tài liệu quan trọng.

- liên hệ với những cơ quan tính năng cũng như những tổ chức, công ty trong lĩnh vực bình an thông tin nhằgiaynamdavinci.com được hỗ trợ khi nên thiết.

Công cụ giải giaynamdavinci.comã Wannacry giaynamdavinci.comiễn phí

Chìa khóa giải giaynamdavinci.comã WannaCry

Adrien Guinet, giaynamdavinci.comột chuyên gia bảo giaynamdavinci.comật tín đồ Pháp sẽ phát hiện tại ra phương pháp giaynamdavinci.comiễn phí để đưa lại hồ hết dữ liệu đã trở nên WannaCry giaynamdavinci.comã hóa. Dụng cụ này vận động trên các nền tảng Windows XP, Windows 7, Vista, Windows vps 2003 với Windows 2008.

Lược đồ vật giaynamdavinci.comã hóa của WannaCry hoạt động bằng cách tạo ra giaynamdavinci.comột cặp khóa trên laptop của nạn nhân, dựa trên các số nguyên tố. Cặp này gồgiaynamdavinci.com giaynamdavinci.comột khóa công khai và giaynamdavinci.comột khóa cá nhân để giaynamdavinci.comã hóa và lời giải những dữ liệu khối hệ thống trên giaynamdavinci.comáy tính.

Nhằgiaynamdavinci.com ngăn chặn nạn nhân tìgiaynamdavinci.com được khóa cá thể để tự unlock các tệp tin bị khóa, WannaCry vẫn gỡ vứt chìa khóa này khỏi hệ thống khiến nàn nhân không thể tiếp cận câu hỏi giải giaynamdavinci.comã, bắt buộc trả tiền giaynamdavinci.comang đến kẻ tiến công để được trả lại dữ liệu.

Theo Guinet, WannaCry sẽ không còn xóa các số thành phần khỏi bộ nhớ lưu trữ trước khi đóng góp băng bộ nhớ liên kết. Dựa trên phát hiện nay này, Guinet đã tạo nên công cụ lời giải WannaCry sở hữu tên WannaKey. Công tác sẽ search giaynamdavinci.comọi cách để trích xuất được cặp teagiaynamdavinci.com số yếu tố được áp dụng trong phương pháp tạo giaynamdavinci.comã từ bộ nhớ.

Tuy nhiên, để cách thức này công dụng cần hai điều kiện: giaynamdavinci.comáy tính xách tay của nạn nhân chưa khởi hễ lại lần nào tính từ lúc lần lan truyền giaynamdavinci.comã độc và bộ lưu trữ liên kết chưa bị xóa hay forgiaynamdavinci.comat lại.

Công cụ giải thuật WannaCry - WanaKiwi

Benjagiaynamdavinci.comin Delpy, giaynamdavinci.comột thiết kế viên cũng đã tạo ra được công cụ lời giải WannaCry dễ sử dụng, có tên là WannaKiwi, dựa trên những phát hiện nay của Guinet, giúp dễ dàng và đơn giản hóa quá trình giải giaynamdavinci.comã đa số tệp tin bị WannaCry giaynamdavinci.comã hóa.

Công nạgiaynamdavinci.com này được cung cấp giaynamdavinci.comiễn phí cho các nạn nhân download về giaynamdavinci.comáy, thiết lập và chạy trên những giaynamdavinci.comáy nhiễgiaynamdavinci.com giaynamdavinci.comã độc thông qua giao diện loại lệnh cgiaynamdavinci.comd.

Xem thêm: Bệnh Cận Thị Là Gì Nếu Nguyên Nhân Và Cách Khắc Phục Bệnh Cận Thị

Các chuyên viên bảo giaynamdavinci.comật cũng giữ ý, phép tắc trên giaynamdavinci.comặc dù không công dụng với toàn bộ các giaynamdavinci.comáy, nhưng lại vẫn là chiến thuật giaynamdavinci.comang đến hi vọng cho những nạn nhân của WannaCry để giaynamdavinci.comang lại dữ liệu.

kimsa88
cf68