Ngày 13/6/2017, Kaspersky Lab đã tổ chức hội thảo Kaspersky Ransomware workshop 2017 giúp doanh nghiệp và người dùng cái nhìn mới nhất và cách phòng chống mã độc.
Stefanus Natahusada, Chuyên gia Kaspersky Lab Singapore đã có những chia sẻ với doanh nghiệp về nguồn gốc cũng như cơ chế hoạt động của mã độc WannaCry, qua đó thấy được các nguy cơ mà mã độc tống tiền có thể tiếp cận dữ liệu của các doanh nghiệp hiện nay.
Theo báo cáo của Kaspersky thì có tới 74 nước bị ảnh hưởng bởi mã độc WannaCry trong đó có Việt Nam. Trong đợt tấn công vừa qua máy tính Windows 7 có tỷ lệ nhiễm WannaCry cao nhất, chiếm tới 97%. Mã độc tống tiền lây nhiễm vào máy tính của nạn nhân bằng cách khai thác lỗ hổng của Microsoft Windows được mô tả và vá lỗi tại Microsoft Security Bulletin MS17-010.
WannaCry khai thác sử dụng “Eternal Blue” đã được công bố bởi nhóm hacker Shadow Brokers hồi tháng 4/2017, việc mã độc bùng phát theo cấp số nhân này diễn ra nhanh chóng bởi rất nhiều doanh nghiệp tổ chức còn chưa kịp cập nhật bản vá của Microsoft.
Cũng tại buổi hội thảo, Kaspersky đưa ra các khuyến cáo cũng như hướng dẫn cách thức ngăn ngừa, phòng chống các loại mã độc tinh vi. Trong đó các chuyên gia cũng chia cơ chế “kill switch” nhằm kích hoạt chế độ dừng tấn công, góp phần quan trọng ngăn chặn mã độc lây nhiễm tràn lan qua mạng.
Đầu tháng 5/2017 vừa qua, một đợt tấn công bắt dữ liệu rộng rãi nhằm vào nhiều tổ chức trên thế giới đã xảy ra. Sự bùng phát của mã độc tống tiền WannaCry (WannaCryptor) có thể gọi là một cuộc tấn công mạng đòi tiền chuộc với quy mô lớn nhất lịch sử, nhằm vào hơn 100 quốc gia trên toàn thế giới trong đó có cả Việt Nam.
Khuyến nghị phòng chống mã độc WannaCry:
• Đảm bảo rằng tất cả các máy tính đã được cài đặt phần mềm bảo mật và đã bật các thành phần chống phần mềm tống tiền.
• Cài đặt bản vá chính thức (MS17-010) từ Microsoft nhằm vá lỗ hổng SMB Server bị khai thác trong cuộc tấn công này.
• Đảm bảo rằng các sản phẩm của Kaspersky Lab đã bật thành phần System Watcher (trạng thái Enable)
• Thực hiện quét hệ thống (Critical Area Scan) có trong các giải pháp của Kaspersky Lab để phát hiện các lây nhiễm nhanh nhất (nếu không các lây nhiễm sẽ được phát hiện tự động nhưng sau 24 giờ)
• Nếu phát hiện có tấn công từ phần mềm độc hại như tên gọi MEM: Trojan.Win64.EquationDrug.gen thì cần reboot lại hệ thống.
• Một lần nữa, hãy chắc chắn bản vá MS17-010 được cài đặt.
• Tiến hành sao lưu dữ liệu thường xuyên vào các nơi lưu trữ không kết nối với Internet
