-->

16/05/2017

Cách phòng chống mã độc tống tiền Wannacry trên Windows

     

Như các bạn đã biết thì mấy ngày gần đây mã độc tống tiền Wannacry đang lây lây lân với tốc độ chống mặt trên toàn cầu, trong đó có Việt Nam.


I. Tình hình

Giới thiệu về mã độc tống tiền Wannacry

NSA – Cơ quan an ninh nội địa Mỹ đã phát triển loại mã độc này để khai thác lỗ hổng bảo mật trên các hệ điều hành bao gồm cả Windows. Nhưng sau đó đã bị một nhóm các Hacker có tên The Shadow Brokers đánh cắp và phát tán trên mạng. Mã độc này đang đe dọa nghiêm trọng đến an ninh mạng toàn thế giới, hiện mã độc Wannacry đang lây lan trên 150 quốc gia với hơn 200.000 máy bị lây nhiễm. Tại Việt Nam cũng có rất nhiều trường hợp bị nhiễm loại mã độc tống tiền này, chủ yếu ở các cơ quan doanh nghiệp lớn - Đây cũng là đối tượng hacker muốn hướng tới.

Dấu hiệu khi bị nhiễm mã độc tống tiền Wannacry

Wannacry là một loại Ransomware – mã độc mã hóa file trên toàn bộ hệ thống máy tính và yêu cầu một khoản tiền chuộc nhất định để mở khóa. Khi máy tính bị nhiễm Wannacry thì người dùng sẽ nhận được bản thông báo xuất hiện liên tục trên màn hình máy tính rằng mọi tập tin đã bị mã hóa và yêu trả chi trả 300 USD cho hacker để khôi phục lại dữ liệu, thanh toán qua tiền ảo Bitcoin. Số tiền sẽ tăng theo thời gian nếu người dùng không chi trả khoản tiền trên, và thời gian sẽ đếm lùi trên màn hình.

Dịch vụ Y tế Quốc gia Anh (NHS) là một trong những nạn nhân nổi bật của cuộc tấn công này và Nga là quốc gia bị ảnh hưởng lớn nhất.
Còn ở Việt Nam thì nhiều người dùng thì đua nhau tải mã độc về máy tính để thử khả năng nhiễm độc của virus tống tiền với các trình chống virus. Đó là một hành động không thể chấp nhận được.

Xem trực tiếp tình hình tấn công mạng trên toàn cầu:


II. Cách phòng chống

Nếu máy bạn chứa nhiều dữ liệu quan trọng, và đặc biệt bạn đang làm việc tại các doanh nghiệp lớn hoặc bất cứ ai muốn bảo vệ máy tính mình một cách chắc hơn thì tham khảo các cách phòng chống đơn giản sau đây:

Bước 1: Cập nhật Windows:
  • Đối với các phiên bản cũ như Windows Server 2003 SP2 x64, Windows XP SP2, Windows XP SP3, Windows XP Embedded SP3, Windows 7, Windows 8
Các phiên bản này được Microsoft phát hành bản cập nhật đặc biệt để nhằm tránh nguy cơ lây nhiễm mã độc WannaCry.
Tải về các bản cập nhật tại đây: 

>  Microsoft® Update Catalog
  • Còn các phiên bản khác đã được cập nhật các bản vá bảo mật hàng tháng nên không cần tải về các bản cập nhật trên, tuy nhiên phải đảm bảo máy tính của bạn cập nhật Windows thường xuyên.
Bước 2: Cập nhật các chương trình Antivirus hiện có, sử dụng Firewall

Nếu bạn sử dụng các chương trình Antivirus thì nên cập nhật cơ sở dữ liệu ngày. Hiện nay các chương trình Antivirus đa số đều có thể ngăn chặn được mã độc tống tiền này. 
Riêng đối với Windows 10, bạn đang sử dụng trình virus mặc định Windows Defender thì nên kích hoạt nó (nếu tắt)

Bật Windows Firewall (nếu tắt) hoặc sử dụng Firewall riêng của trình Antivirus hiện có.

Bước 3: Bảo vệ mình trước những Email và Web độc hại

Bạn không nên nhấp vào những đường link lạ, không rõ nguồn gốc, việc check mail thì cũng như vậy, không nên tải về tệp đính kèm có đuôi .exe, .hta, những tệp mà bạn không biết rõ nó từ đâu, bạn nên loại bỏ những email ngay tức thì.

Đối với người dùng cá nhân như tôi thì bạn nên tham khảo 3 bước trên là đủ. Còn nếu bạn doanh nghiệp thì nên tham khảo thêm các cách bên dưới.

Các cách khác:

Bước 1: Chặn Port trên Windows

1. Dùng cmd (Run as Admin): Chạy lần lượt từng dòng lệnh sau hoặc copy hết đoạn mã sau vào:

netsh advfirewall firewall add rule name="Disable SMB" dir=in action=block protocol=TCP localport=139,445,137,138,3389
netsh advfirewall firewall add rule name="Disable SMB2" dir=in action=block protocol=UDP localport=445

Sau khi thực hiện chặn port, bạn có thể kiểm tra port 445 bằng cách chạy dòng lệnh sau bằng CMD (run as admin)

netstat -an | findstr 445

Bước 2: Shut down the server service

Vào cmd (Run as Admin) gõ dòng lệnh sau:

net stop server

Bước 3: Disable SMBv1, v2

Cách 1. Sử dụng Power Shell, vào run gõ lệnh powershell


Chạy lần lượt các lệnh phù hợp với hệ điều hành ở bên dưới

Máy tính cá nhân sử dụng Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, and Windows Server 2012

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Server sử dụng Windows 8 và Windows Server 201
  • Disable SMBv1
Set-SmbServerConfiguration -EnableSMB1Protocol $false
  • Disable SMBv2
Set-SmbServerConfiguration -EnableSMB2Protocol $false

Server sử dụng Windows 7, Windows Server 2008 R2, Windows Vista, and Windows Server 2008
  • Disable SMBv1
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
  • Disable SMBv2
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force

Windows 8.1, Windows 10, Windows 2012 R2, and Windows Server 2016
  • Windows Server: 
Remove-WindowsFeature FS-SMB1
  • Máy tính cá nhân: 
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Cách 2: Sử dụng giao diện đồ họa:

Windows 8.1, Windows 10:

Vào Control Panel chọn Programs and Features, tiếp tục chọn Turn Windows features on or off.



Đối với Windows Server:

Vào Server Manager



Bước 4: Sử dụng Scripts 

Phần mềm khẩn cấp này được phát triển bởi GDT - Cục phòng chống tội phạm mạng của Tây Ban Nha phát triển, có tác dụng bảo vệ máy ( cụ thể là cmd với registry ) không bị nhiễm mã độc.
Tải về: tại đây
  1. Chạy script_CCN_EN.bat (Run as admin)
  2. Chạy NoMoreCry.exe Tool (Run as admin)
Bước 5: Sử dụng Registry ngăn chặn tệp thực thi
  1. Copy đoạn sau vào file txt
  2. Lưu file dưới dạng *.reg
  3. Chạy file dưởi quyền Administrator trong Windows.
-----------------------------------------------------------------------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskdl.exe]
"Debugger"="taskkill /IM /F taskdl.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskse.exe]
"Debugger"="taskkill /IM /F taskse.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wannacry.exe]
"Debugger"="taskkill.exe /IM /F wannacry.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mssecsvc.exe]
"Debugger"="taskkill.exe /IM /F mssecsvc.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasksche.exe]
"Debugger"="taskkill.exe /IM /F tasksche.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskhsvc.exe]
"Debugger"="taskkill.exe /IM /F taskhsvc.exe"

Trên đây là cách phòng chống mã độc tống tiền Wannacryy khi máy tính chưa bi nhiễm mã độc, sẽ cập nhật thêm cách khắc phục, xử lí một phần khi bị nhiễm mã độc này.

III. Cách khắc phục: Updating....
Nguồn: Tổng hợp trên Internet

Nhận xét

MD-StoTop