Mã độc WannaCry đang lây lan với tốc độ nhanh ở nhiều quốc gia trên thế giới. Mã độc này khai thác một số lỗ hổng trên hệ điều hành Windows để tấn công vào máy tính với mục tiêu mã hóa dữ liệu để đòi tiền chuộc.
Phần mềm mã độc “WanaCrypt0r 2.0” đã tấn công Cơ quan y tế quốc gia Anh NHS, một số công ty lớn nhất của Tây Ban Nha trong đó có hãng viễn thông Telefónica, cũng như rất nhiều máy tính ở Nga, Ukraine và Đài Loan, khiến các máy tính và dữ liệu bị khóa và đòi tiền chuộc.
Ransomware đã sử dụng một lỗ hổng lần đầu tiên được tiết lộ công khai là một phần trong tài liệu liên quan đến NSA để lây nhiễm các máy tính Windows và mã hóa nội dung, sau đó yêu cầu tiền chuộc mới cung cấp chìa khóa giải mã các tệp tin quan trọng. Vụ tấn công này đã lây nhiễm đến số lượng lớn máy tính trên toàn cầu, chưa đến 6 giờ sau khi nó được các chuyên gia bảo mật phát hiện ra, một phần vì khả năng lây nhiễm trong mạng lưới từ PC đến PC.
Mã độc WannaCry tìm ra lỗ hổng bảo mật và lây nhiễm chúng bên trong tổ chức chủ yếu khai thác vào lỗ hổng của giao thức SMB mà các tổ chức cá nhân chưa vá lỗ hổng kịp thời; tập trung vào Win2k8 R2 và Win XP là kiểu tấn công này khác với truyền thống là phải dùng sâu máy tính – chương trình tự nhân bản chính nó vào hệ thống máy tính và lừa người dùng click chuột và link độc hại. Mã độc đang lây nhiễm trong hãng viễn thông Telefónica ở Tây Ban Nha và hàng chục ngàn máy tính trên thế giới là phần mềm tương tự: một ransomware lần đầu tiên bị các chuyên gia bảo mật MalwareHunterTeam phát hiện.
Hiện, ransomware này đang được gọi là Wanna Decryptor 2.0, WCry 2, WannaCry 2 và Wanna Decryptor 2. WanaCrypt0r 2.0 đang đòi 300 USD tiền chuộc bằng bitcoin để mở khóa các nội dung trên máy tính. Những kẻ tạo ra mảnh ransomware này vẫn chưa được biết đến, nhưng WanaCrypt0r 2.0 là nỗ lực thứ hai của chúng để tống tiền. Một phiên bản trước đó, được đặt tên WeCry, đã được phát hiện hồi tháng 2 năm nay: nó đòi người dùng tiền chuộc 0.1 bitcoin (hiện tại có giá trị 177 USD) để mở các tập tin và chương trình.
Tối 13/5, Cục An toàn Thông tin đã đưa ra chỉ dẫn các tổ chức, cá nhân thực hiện những biện pháp xử lý khẩn cấp mã độc này. Cụ thể, các cá nhân cần thực hiện cập nhật ngay các phiên bản hệ điều hành Windows đang sử dụng. Bên cạnh đó, người dùng cần cập nhật các chương trình Antivius đang sử dụng. Trong trường hợp chưa sử dụng, cần phải cài đặt một phần mềm diệt virus có bản quyền.
Ngoài ra, người dùng cũng phải cẩn trọng khi nhận được email có đính kèm và các đường link lạ được gửi trong email, trên các mạng xã hội, chat… Thậm chí, cần thận trọng khi mở file đính kèm ngay cả khi nhận được từ địa chỉ quen thuộc, sử dụng các công cụ kiểm tra phần mềm độc hại trực tuyến hoặc có bản quyền trên máy tính với các file này trước khi mở ra. Đặc biệt, người dùng không mở các đường dẫn có đuôi .hta hoặc đường dẫn có cấu trúc không rõ ràng, các đường dẫn rút gọn link; thực hiện các biện pháp lưu trữ dữ liệu quan trọng.
Trong khi đó, đối với các quản trị viên hệ thống của tổ chức, doanh nghiệp cần kiểm tra ngay lập tức các máy chủ và tạm thời khóa (block) các dịch vụ đang sử dụng các cổng 445/137/138/139. Đồng thời, các tổ chức cần tiến hành các biện pháp cập nhật sớm, phù hợp theo từng đặc thù cho các máy chủ Windows. Tạo các bản snapshot đối với các máy chủ ảo hóa đề phòng việc bị tấn công; Có biện pháp cập nhật các máy trạm đang sử dụng hệ điều hành Windows. Các tổ chức cũng cần cập nhật cơ sở dữ liệu cho các máy chủ Antivirus Endpoint đang sử dụng. Đối với hệ thống chưa sử dụng các công cụ này thì cần triển khai sử dụng các phần mềm Endpoint có bản quyền và cập nhật mới nhất ngay cho các máy trạm.
Hơn nữa, cần tận dụng các giải pháp đảm bảo an toàn thông tin đang có sẵn trong tổ chức như Firewall, IDS/IPS, SIEM… để theo dõi, giám sát và bảo vệ hệ thống. Cập nhật các bản cập nhật từ các hãng bảo mật đối với các giải pháp đang có sẵn. Thực hiện ngăn chặn, theo dõi domains đang được mã độc WannaCry sử dụng để là xác định được các máy tính bị nhiễm trong mạng để có biện pháp xử lý kịp thời. Bên cạnh đó, cần cân nhắc việc ngăn chặn (block) việc sử dung Tor trong mạng, lưu trữ dữ liệu quan trọng, cảnh người dùng và liên hệ ngay với các cơ quan chức năng cũng như các tổ chức, doanh nghiệp trong lĩnh vực an toàn thông tin để được hỗ trợ khi cần thiết.
