Mã độc WannaCry là gì?

15 tháng 5, 2017
Mã độc WannaCry ban đầu chỉ hoạt động khi người dùng click vào một đường link giả mạo hay một tập tin giả, tuy nhiên biến thể WanaCrypt0r hiện tại đã lợi dụng các lỗ hổng Windows để lây lan rộng rãi....

Bạn có an toàn không?

Một vài ngày trước sự khởi đầu của Trojan mã hóa WannaCry bùng phát. Có vẻ như đại dịch - một đại dịch toàn cầu. Chúng tôi tính hơn 45.000 trường hợp bị tấn công chỉ trong một ngày, nhưng con số thật sự cao hơn nhiều.

Chuyện gì đã xảy ra?

Một số tổ chức lớn báo cáo nhiễm mã độc cùng một lúc. Trong số đó có một số bệnh viện Anh phải đình chỉ hoạt động. Theo dữ liệu được tiết lộ bởi các bên thứ ba, WannaCry đã lây nhiễm hơn 100.000 máy tính. Số lượng các nhiễm mã độc là rất lớn vì nó đã thu hút rất nhiều sự chú ý.

Số vụ tấn công lớn nhất xảy ra ở Nga, nhưng Ukraine, Ấn Độ và Đài Loan cũng đã chịu nhiều thiệt hại từ WannaCry. Chỉ trong ngày đầu tiên của cuộc tấn công, chúng tôi tìm thấy WannaCry ở 74 quốc gia.

WannaCry là gì?

Nói chung, WannaCry có hai phần. Thứ nhất, đó là một khai thác có mục đích là nhiễm độc và tuyên truyền. Phần thứ hai là một bộ mã hóa được tải xuống máy tính sau khi nó bị nhiễm.

Phần đầu tiên là sự khác biệt chính giữa WannaCry và phần lớn các bộ mã hóa. Để lây nhiễm vào một máy tính có bộ mã hóa thông thường, người dùng phải nhầm lẫn, ví dụ bằng cách nhấp vào liên kết đáng ngờ, cho phép Word chạy macro độc hại hoặc tải xuống một tệp đính kèm đáng ngờ từ một thư điện tử. Một hệ thống có thể bị nhiễm WannaCry mà không có người dùng làm bất cứ điều gì.

WannaCry: Khai thác và tuyên truyền

Những người sáng tạo ra WannaCry đã tận dụng lợi thế khai thác của Windows được gọi là EternalBlue, dựa vào một lỗ hổng mà Microsoft vá trong bản cập nhật bảo mật MS17-010 , ngày 14 tháng 3 năm nay. Bằng cách sử dụng khai thác, những kẻ gian ác có thể truy cập từ xa vào máy tính và cài đặt bộ mã hóa.

Nếu bạn đã cài đặt bản cập nhật, thì lỗ hổng này không còn tồn tại nữa và những nỗ lực để hack máy tính từ xa thông qua lỗ hổng sẽ không thành công. Tuy nhiên, các nhà nghiên cứu từ GReAT của Kaspersky Lab (Nhóm nghiên cứu và phân tích toàn cầu) muốn nhấn mạnh rằng việc vá lỗ hổng này sẽ không làm cản trở toàn bộ mã hoá. Vì vậy, nếu bạn khởi động nó bằng cách nào đó (xem ở trên về một sai lầm ), sau đó bản vá đó sẽ làm bạn không tốt.

Sau khi hack máy tính thành công, WannaCry cố gắng lây lan trên mạng cục bộ vào các máy tính khác, theo cách của một con sâu máy tính. Bộ mã hóa quét các máy tính khác cho cùng một lỗ hổng có thể khai thác với sự trợ giúp của EternalBlue, và khi WannaCry tìm thấy một máy tính dễ bị tổn thương, nó sẽ tấn công máy tính và mã hóa các tập tin trên đó.

Do đó, bằng cách lây nhiễm một máy tính, WannaCry có thể lây nhiễm sang toàn bộ mạng cục bộ và mã hóa tất cả các máy tính trên mạng. Đó là lý do tại sao các công ty lớn bị ảnh hưởng nhiều nhất từ ​​cuộc tấn công WannaCry - càng có nhiều máy tính trên mạng thì thiệt hại càng lớn.

WannaCry: Encryptor

Là một bộ mã hóa, WannaCry (đôi khi được gọi là WCrypt hoặc, không có lý do phân biệt, WannaCry Decryptor ) hoạt động giống như bất kỳ bộ mã hóa khác; Nó mã hóa các tập tin trên máy tính và yêu cầu đòi tiền chuộc để giải mã chúng. Nó gần giống nhất với biến thể của trojan CryptXXX nổi tiếng .

WannaCry mã hóa các tệp tin thuộc nhiều loại khác nhau (danh sách đầy đủ ở đây ) bao gồm các tài liệu văn phòng, hình ảnh, video, lưu trữ và các định dạng tệp khác có tiềm năng chứa dữ liệu người dùng quan trọng. Các phần mở rộng của các tập tin mã hóa được đổi tên thành .WCRY, và các tập tin trở nên hoàn toàn không thể tiếp cận.

Sau đó, Trojan sẽ thay đổi hình nền desktop thành một bức ảnh có chứa thông tin về nhiễm trùng và các hành động mà người dùng phải làm để khôi phục các tập tin. WannaCry truyền thông báo dưới dạng tệp văn bản có cùng thông tin giữa các thư mục trên máy tính để đảm bảo rằng người dùng nhận được thông báo.

Như thường lệ, hành động đòi hỏi phải chuyển một số tiền nhất định, trong bitcoins, vào ví của thủ phạm. Sau đó, họ nói, họ sẽ giải mã tất cả các tập tin. Ban đầu, tội phạm mạng yêu cầu 300 đô la nhưng sau đó nâng cược lên 600 đô la.

Trong trường hợp này, những kẻ gian ác cũng cố gắng hăm dọa nạn nhân bằng cách nói rằng số tiền chuộc sẽ tăng lên trong ba ngày - và hơn nữa, sau bảy ngày các tập tin sẽ không thể giải mã được. 
Như mọi khi, chúng tôi không khuyên bạn nên trả tiền chuộc. Có lẽ lý do thuyết phục nhất không đưa ra là không có gì bảo đảm rằng bọn tội phạm sẽ giải mã các tập tin của bạn sau khi nhận được tiền chuộc. Trên thực tế, các nhà nghiên cứu đã chỉ ra rằng các nhà sản xuất xảo thuật khác chỉ đơn giản là xóa dữ liệu người dùng .

Làm thế nào một đăng ký tên miền bị đình chỉ nhiễm trùng - nhưng tại sao có lẽ nó vẫn chưa kết thúc

Thật thú vị, một nhà nghiên cứu đi theo tên Malwaretech đã quản lý để tạm ngừng nhiễm trùng bằng cách đăng ký tên miền với một tên dài và vô nghĩa.

Nó bật ra rằng một số phiên bản của WannaCry địa chỉ đó rất tên miền, và nếu họ không nhận được một trả lời tích cực, sau đó họ sẽ cài đặt các bộ mã hóa và bắt đầu công việc bẩn thỉu của họ. Nếu có trả lời (nghĩa là nếu miền đã được đăng ký), thì phần mềm độc hại sẽ ngừng tất cả các hoạt động của nó.

Sau khi tìm thấy tham chiếu đến miền này trong mã của Trojan, nhà nghiên cứu đã đăng ký tên miền, do đó tạm ngưng cuộc tấn công. Trong thời gian còn lại của ngày, miền đã được giải quyết hàng chục ngàn lần, có nghĩa là hàng chục ngàn máy tính đã được tha.

Có một lý thuyết cho rằng chức năng này được xây dựng trong WannaCry - giống như một bộ ngắt mạch - trong trường hợp có điều gì đó đã sai. Một lý thuyết khác, được chính nhà nghiên cứu chấp nhận, là nó làm phức tạp hơn việc phân tích hành vi của phần mềm độc hại. Các môi trường thử nghiệm được sử dụng trong nghiên cứu thường được thiết kế để bất kỳ miền nào trả về một phản ứng tích cực; Trong những trường hợp như vậy, Trojan sẽ không làm gì trong môi trường thử nghiệm.

Thật đáng tiếc, đối với các phiên bản mới của Trojan, tất cả bọn tội phạm phải làm là thay đổi tên miền được chỉ định là "trình ngắt mạch" và nhiễm trùng sẽ tiếp tục. Do đó rất có thể dịch WannaCry sẽ tiếp tục.

Làm thế nào để chống lại WannaCry

Thật không may, hiện tại không có cách nào để giải mã các tệp đã được mã hóa bởi WannaCry (tuy nhiên, các nhà nghiên cứu của chúng tôi đang sử dụng). Bây giờ, phòng ngừa là hy vọng duy nhất.

Dưới đây là một số lời khuyên về cách ngăn ngừa nhiễm trùng và giảm thiểu thiệt hại.

  • Nếu bạn đã có một giải pháp bảo mật Kaspersky Lab được cài đặt trên hệ thống, chúng tôi khuyên bạn nên làm theo các bước sau: Chạy quét bằng tay cho các khu vực quan trọng và nếu giải pháp phát hiện MEM: Trojan.Win64.EquationDrug.gen (nghĩa là các giải pháp chống virus của chúng tôi Phát hiện WannaCry), loại bỏ nó và khởi động lại hệ thống của bạn.
  • Nếu bạn là một người dùng bảo mật Kaspersky, hãy giữ System Watcher . Cần phải chiến đấu với bất kỳ biến thể mới nào của phần mềm độc hại có thể xuất hiện.
  • Cài đặt phần mềm cập nhật. Trường hợp này tuyệt vọng kêu gọi tất cả người dùng Windows cài đặt  bản cập nhật bảo mật hệ thống MS17-010 . Microsoft thậm chí đã phát hành nó cho các hệ thống không còn được chính thức hỗ trợ , chẳng hạn như Windows XP hoặc Windows 2003. Nghiêm túc, hãy cài đặt ngay bây giờ; nó rất quan trọng.
  • Tạo tập tin sao lưu thường xuyên và lưu trữ các bản sao trên các thiết bị lưu trữ không liên tục kết nối với máy tính. Nếu bạn có một bản sao lưu gần đây, sau đó một nhiễm mã hóa không phải là một thảm hoạ; Bạn có thể dành vài giờ để cài đặt lại hệ điều hành và ứng dụng, sau đó khôi phục các tệp và tiếp tục. Nếu bạn quá bận để xử lý sao lưu, hãy tận dụng tính năng sao lưu được tích hợp vào Kaspersky Total Security , có thể tự động hóa quy trình.
  • Sử dụng một chương trình diệt virus đáng tin cậy. Kaspersky Internet Security có thể phát hiện WannaCry cả trong nước và trong quá trình cố gắng lây lan nó qua mạng. Hơn thế nữa, System Watcher, một mô đun tích hợp, có thể lùi lại bất kỳ thay đổi nào không mong muốn, có nghĩa là nó sẽ ngăn chặn mã hóa tập tin ngay cả đối với các phiên bản phần mềm độc hại chưa có trong cơ sở dữ liệu chống virus.

https://blog.kaspersky.com


Chia sẻ