Forum

Home » Giải đáp về lập trình » xem chi tiết

1
Hình đại diện
sony

Mã độc WannaCry tấn công. Là cái gì đây nhỉ?

Đăng lúc: 08:10:42 16/05/2017
- Vài ngày gần đây trên khắp các báo đều đưa tin về mã độc WannCry tấn công khắp thế giới hầu như quốc gia nào cũng bị, đặc biệt các máy chủ và máy tính tại các tổ chức lớn đã bị nhiễm mã độc này gây ra nhiều thiệt hại không hề nhỏ. Vậy đây là gì? VTN sẽ cung cấp cho quý độc giả 1 số thông tin cơ bản về chúng để giúp độc giả có cái nhìn tổng quan và có ý thức hơn về tác hại của loại mã độc này.


Wannacrypt là một cái tên của một biến thể mã độc Ransomware

* Trước hết chúng ta hãy xem Ransomware là gì?
- Ransomware (hoặc gọi là Scareware ) là tên gọi chung của một loại phần mềm độc hại cực kỳ nguy hiểm, nó chặn đường truy cập vào máy tính hoặc dữ liệu và yêu cầu trả tiền chuộc mới giải phóng dữ liệu. Hay nói cách khác là nó ngăn chặn việc sử dung dữ liệu của nạn nhân bằng nhiều cách, cho đến khi nạn nhân trả tiền chuộc thi mới sử dụng được dữ liệu của mình.

*Ransomware hoạt động như thế nào?

- Khi một máy tính bị lây nhiễm, ransomware thường liên lạc với máy chủ trung tâm để có thông tin cần thiết kích hoạt, và sau đó nó bắt đầu mã hóa các tập tin trên máy tính bị nhiễm. Một khi tất cả các file được mã hóa, nó sẽ gửi một tin nhắn yêu cầu thanh toán để giải mã các tập tin - và đe dọa phá hủy dữ liệu nếu không được trả tiền, lời đe dọa thường đi kèm với một bộ đếm thời gian để tăng áp lực.

- Hầu hết các phần mềm Ransomware đều chiếm quyền và mã hóa toàn bộ thông tin của nạn nhân mà nó tìm được (thường gọi là Cryptolocker), còn một số loại Ransomware khác lại dùng TOR để giấu, ẩn đi các gói dữ liệu C&C trên máy tính (tên khác là CTB Locker).

- Ngoài ra khi đã xâm nhập và kích hoạt trong máy tính của người dùng, Ransomware sẽ đồng thời thực hiện các tác vụ như sau:

+ Khóa màn hình máy tính, hiển thị thông báo nếu trường hợp này xảy ra, người dùng sẽ không thể thực hiện được bất kỳ thao tác nào trên máy tính (ngoại trừ việc bật - tắt màn hình). Đồng thời trên màn hình đó cũng sẽ có hướng dẫn chi tiết và cụ thể việc chuyển khoản, tiền cho hacker để lấy lại thông tin cá nhân.

+ Mã hóa bất kỳ file tài liệu nào mà nó tìm được, tất nhiên là sẽ có mật khẩu bảo vệ nếu trường hợp thứ này xảy ra (thông thường là xấu hơn) vì Ransomware sẽ mã hóa toàn bộ các file văn bản (thường là file Office như *.doc, *.xls... file email và file *.pdf), những file này sẽ bị đổi đuôi thành những định dạng nhất định nào đó, có mật khẩu bảo vệ, bạn không thể thực hiện bất kỳ thao tác nào như copy, paste, đổi tên, đổi đuôi hoặc xóa.


*Ransomware lây nhiễm như thế nào?

- Hầu hết các ransomware đều được ẩn trong tài liệu Word, các tệp PDF và các tệp tin thông thường khác, chúng được gửi qua email hoặc thông qua nhiễm độc thứ cấp (máy nhiễm f1 trở lên) trên các máy tính đã bị ảnh hưởng, cung cấp cửa sau (backdoor) để tiếp tục tấn công.

*Một số biến thể Ransomwware

- Có một số biến thể của mã độc với tên như: Wannacrypt, CryptoWall, Cryptolocker hoặc Locky... Locky nó đều là mã độc đặc biệt nguy hiểm, theo Kaspersky, công ty giải pháp bảo mật.

*Ransomware - chúng từ đâu tới?
- Giống như các phần mềm độc hại khác, Ransomware có thể xâm nhập vào máy tính của người sử dụng khi:

+Tìm và dùng các phần mềm crack.
+Bấm vào quảng cáo.
+Truy cập web đen, đồi trụy.
+Truy cập vào website giả mạo.
+Tải và cài đặt phần mềm không rõ nguồn gốc.
+File đính kèm qua email spam.
...

----------------------
-Cùi không sợ lở
-Sở thích:
+ Ngắm hoa quỳnh nở
+ Mua sắm đồ sale off các kiểu
+ Ăn vặt
Hình đại diện
sony
Đăng lúc: 08:46:40 16/05/2017
*Chủ nhân của ransomware chúng là ai?

-Những kẻ tạo ra mã độc ransomware này vẫn chưa được biết đến, nhưng WanaCrypt0r 2.0 là nỗ lực thứ hai của chúng để tống tiền. Một phiên bản trước đó, được đặt tên WeCry, đã được phát hiện hồi tháng 2 năm nay: nó đòi người dùng tiền chuộc 0.1 bitcoin (hiện tại có giá trị 177 USD) để mở các tập tin và chương trình.

*Microsoft có hành động nào để bảo vệ người dùng

- Ngay trước khi Shadow Brokers công bố các tệp tin, Microsoft đã phát hành bản vá cho các phiên bản Windows bị ảnh hưởng, đảm bảo lỗ hổng không thể bị lợi dụng để lây lan phần mềm độc hại giữa các phiên bản đã cập nhật đầy đủ của hệ điều hành. Nhưng vì nhiều lý do, các tổ chức thường chậm cài đặt các bản cập nhật bảo mật trên quy mô rộng.

* Shadow Brokers là ai? Có phải chúng đứng sau vụ tấn công này?

- Shadow Brokers là tên nhóm tin tặc đã đánh cắp thông tin từ Cơ quan An Ninh Mỹ (NSA) mà theo chuyên gia an ninh mạng của Microsoft, 8 tháng trở lại đây, Shadow Brokers đã tiết lộ hàng gigabyte dữ liệu của NSA. Nhóm này đòi 10.000 Bitcoin, tương đương hơn 17 triệu USD, nếu không sẽ tiết lộ toàn bộ những công cụ này. Trong đó có cả công cụ tinh vi để đột nhập vào hệ thống giữa các ngân hàng lớn trên thế giới. Nếu tin tặc tận dụng các công cụ này phục vụ cho các mục đích xấu thì mối đe dọa sẽ vô cùng lớn.

- Có vẻ Shadow Brokers không trực tiếp tham gia cuộc tấn công, thay vào đó, một nhà phát triển cơ hội nào đó dường như đã phát hiện ra thông tin trong các tệp bị rò rỉ và cập nhật phần mềm của riêng họ. Bản thân Shadow Brokers là ai thì không ai thực sự biết, nhưng nhiều nghi vấn cho rằng đó là các thủ phạm người Nga

*Có nên trả tiền chuộc để giải mã dữ liệu?

- Đôi khi việc trả tiền chuộc sẽ được giải mã dữ liệu, nhưng đôi khi lại không. Đối với ransomware Cryptolocker một vài năm trước đây, một số người dùng báo cáo rằng họ thực sự đã lấy lại được dữ liệu sau khi trả tiền chuộc, thường khoảng 300 bảng Anh. Nhưng không có đảm bảo nào việc trả tiền sẽ giúp ích, bởi vì bọn tội phạm trực tuyến không phải là những người đáng tin cậy. Ngoài ra, còn có vấn đề đạo đức: trả tiền chuộc sẽ tiếp sức cho các tội ác xảy ra.

* Chúng ta nên làm gì?

-Một khi ransomware đã mã hóa các tập tin của bạn, bạn hầu như không thể làm gì. Nếu bạn có một bản sao lưu các tập tin, bạn sẽ có thể khôi phục lại chúng sau khi đã làm sạch máy tính, nhưng nếu không, các tập tin của bạn có thể sẽ "ra đi" mãi mãi.

- Tuy nhiên, một số ransomware kém cỏi lại bị các nhà nghiên cứu bảo mật tấn công lại, và cho phép việc khôi phục dữ liệu xảy ra. Nhưng những tình huống như thế khá hiếm, và không áp dụng trong vụ tấn công diện rộng như vụ tấn công WanaCrypt0r này.

* Vụ tấn công này sẽ kéo dài bao lâu?

- Ransomware thường có thời hạn sử dụng ngắn. Khi các nhà cung cấp phần mềm diệt vi rút ra các phiên bản cập nhật mới, họ có thể ngăn ngừa mọi mã độc lây lan và ngăn chặn nguồn gốc lây lan.

----------------------
-Cùi không sợ lở
-Sở thích:
+ Ngắm hoa quỳnh nở
+ Mua sắm đồ sale off các kiểu
+ Ăn vặt
Hình đại diện
sony
Đăng lúc: 09:07:08 16/05/2017
* Ransomware thuở khai sinh:
-Lần đầu tiên, Ransomware được phát hiện vào khoảng giữa năm 2005 - 2006 tại Nga. Những bản báo cáo đầu tiên của TrendMicro là vào năm 2006, với biến thể TROJ_CRYZIP.A - 1 dạng Trojan sau khi xâm nhập vào máy tính của người dùng, sẽ lập tức mã hóa, nén các file hệ thống bằng mật khẩu, đồng thời tạo ra các file *.txt với nội dung yêu cầu nạn nhân trả phí 300$ để lấy lại dữ liệu cá nhân. Dần dần phát triển theo thời gian, các Ransomware tấn công tiếp đến các file văn bản và hệ thống như *.DOC, *.XL, *.DLL, *.EXE... Và cho đến năm 2011, một dạng khác của Ransomware là SMS Ransomware đã được phát hiện. Cách thức của SMS Ransomware khác biệt hơn 1 chút, đó là người dùng phải gửi tin nhắn hoặc gọi điện thoại đến số điện thoại của hacker, cho đến khi thực hiện xong thủ tục chuyển tiền cho hacker. Biến thể lần này của Ransomware được phát hiện dưới tên gọi TROJ_RANSOM.QOWA - sẽ liên tục hiển thị thông báo giả mạo trên màn hình máy tính.

- Bên cạnh đó, còn 1 biến thể khác của Ransomware - nguy hiểm hơn nhiều với mục tiêu của hacker là tấn công vào Master Boot Record (MBR) của hệ điều hành. Và khi đã tấn công, hệ điều hành - Windows sẽ không thể khởi động được. Cụ thể hơn, các Malware này sẽ copy phần MBR nguyên gốc của hệ thống và ghi đè bằng MBR giả mạo. Khi hoàn tất, quá trình này sẽ tự khởi động lại máy tính, và trong lần tiếp theo, các thông báo của hacker (bằng tiếng Nga) sẽ hiển thị trên màn hình của các bạn.

- Ban đầu chúng hoạt động trong nước Nga, nhưng dựa vào sự phổ biến, số lượng nạn nhân, các mục tiêu... các loại Ransomware này dần dần lan rộng ra, trước tiên là khu vực Châu Âu. Đến đầu năm 2012, TrendMicro đã ghi nhận được rất nhiều vụ tấn công xảy ra khắp Châu Âu (thậm chí có cả ở Mỹ, Canada). Cũng khá giống với TROJ_RANSOM.BOV, 1 biến thể Ransomware khác đã từng lây lan rất mạnh ở 2 khu vực chính là Pháp và Nhật, cùng với cách thức hoạt động của Ransomware nguyên bản.

* Thời điểm của Reveton hoặc Police Ransomware:
- Sao lại có tên là Police Ransomware? Rất đơn giản, vì các loại Ransomware dạng này khi xâm nhập vào máy tính của nạn nhân, sẽ hiển thị thông báo như 1 đơn vị luật pháp thực thụ. Với nội dung đại loại như:

+"Xin chào, anh/chị đã bị bắt vì vi phạm điều luật số abc xyz, đồng thời vi phạm hiến pháp của USA... vì đã tham gia vào các hoạt động bất hợp pháp trực tuyến..." đi cùng với đó là hình ảnh, phù hiệu của luật pháp. Tất cả những Ransomware dạng này đều được gọi vắn tắt dưới cái tên - Reveton. Làm sao mà chúng - Hacker biết chính xác rằng nạn nhân - người dùng máy tính đang ở địa phương, thành phố... nào để đưa ra nội dung mang tính chất hù dọa cho họ? Đáp án ở đây là hacker dựa vào tính năng dò tìm vị trí địa lý theo cụm địa chỉ IP. Ví dụ, với các nạn nhân ở Mỹ thì chúng sẽ cho hiển thị thông báo đi kèm với hình ảnh của FBI, còn ở Pháp sẽ là cơ quan Gendarmerie Nationale. Thông báo giả mạo của Ransomware tại nước Pháp, với yêu cầu người dùng "nộp phạt" lệ phí là 100 Euro

* Các biến thể của Reventon sử dụng nhiều tài khoản, cách thức thanh toán khác nhau để nhận tiền của nạn nhân, thông thường là các hệ thống như UKash, PaySafeCard, hoặc MoneyPak. Hacker dùng những hình thức thanh toán này là vì hệ thống này thường làm mờ (không để hiển thị) tên người nhận tiền, do vậy chúng sẽ yên tâm khi thực hiện giao dịch qua UKash, PaySafeCard, và MoneyPak. Đến năm 2012, Reventon đã phát triển thêm hình thức, thủ đoạn mới. Đó là chúng dùng các đoạn ghi âm - Recording (bằng giọng của người địa phương) để truyền tải thông tin đến nạn nhân thay vì cách thức thông báo cũ.

* Thời đại của CryptoLocker:
- Vào cuối năm 2013, TrendMicro đã nhận được những bản báo cáo đầu tiên về 1 thể loại Ransomware hoàn toàn mới. Các biến thể này bên cạnh việc mã hóa toàn bộ dữ liệu của nạn nhân, đồng thời khóa toàn bộ hệ thống máy tính của họ. Dựa vào hành động của Ransomware mà chúng đã có tên là CryptoLocker - đặc trưng cho việc nếu Malware có bị xóa đi thì người dùng vẫn phải thực hiện hoàn chỉnh quá trình chuyển tiền, nếu không thì toàn bộ dữ liệu của họ sẽ bị mất.

+ Bên cạnh đó, thông báo "trắng trợn" của hacker chỉ ra rằng dữ liệu của người dùng đã bị mã hóa bằng RSA-2048 nhưng báo cáo của TrendMicro đã chỉ ra rằng thuật toán mã hóa của CryptoLocker lại là AES + RSA,

----------------------

-Sở thích:
+ Ngắm hoa quỳnh nở
+ Mua sắm đồ sale off các kiểu
+ Ăn vặt
Hình đại diện
sony
Đăng lúc: 09:09:07 16/05/2017
Để bạn đọc tiện tải về và cập nhật thủ công, VTN sẽ liệt kê danh sách chi tiết các bản vá dành cho các hệ điều hành Windows Server 2003, Windows XP và Windows 8 của Microsoft để chống mã độc WannaCry. Mời bạn đọc tải về và cập nhật ngay nhé:

- Windows Server 2003 SP2 x64
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe


- Windows Server 2003 SP2 x86
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-enu_f617caf6e7ee6f43abe4b386cb1d26b3318693cf.exe


- Windows XP SP2 x64
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe


- Windows XP SP3 x86
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe

- Windows XP Embedded SP3 x86
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-embedded-custom-enu_8f2c266f83a7e1b100ddb9acd4a6a3ab5ecd4059.exe

- Windows 8 x86
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu

- Windows 8 x64
https://www.microsoft.com/en-us/download/details.aspx?id=55249


- Các phiên bản Windows 8.1 cũng dùng chung bản cập nhật với Windows 8.
- Windows 10 đã được cập nhật sẵn, bạn không cần phải tải về cập nhật thủ công nữa.

- Windows 7 đã được vá sẵn từ hồi tháng 3/2017, cần kiểm tra và đảm bảo rằng đã cập nhật 3 bản vá có số hiệu sau: KB4014504, KB4019264 và KB4014511. Nếu chưa có sẵn, bạn cần tải về bản cập nhật tháng 3 cho Windows 7 của Microsoft
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
Hoặc tải riêng bản vá bảo mật mang số hiệu KB4012212 cho
Windows 7 x64
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

Windows 7 x86
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

----------------------

-Sở thích:
+ Ngắm hoa quỳnh nở
+ Mua sắm đồ sale off các kiểu
+ Ăn vặt
427: truy cập - Anynomus: online trang này.
1






VTNSolution ™ là một hệ thống mở, thành viên tự chịu trách nhiệm về nội dung đăng tải do mình đưa lên. Các phần mềm, logo, hình ảnh, thương hiệu... có bản quyền thuộc về chủ nhân sở hữu. Truy cập, sử dụng website này bạn phải chấp nhận Quy định của Diễn đàn
Powered by: VTNSOLUTION Copyright © 2007 - 2020
Thiết kế bởi Cty Giải pháp công nghệ VTN.
Website đang hoạt động thử nghiệm. Chờ giấy phép MXH/TTDT của Bộ TT&TT.
Lên đầu trang
Xuống cuối trang