WannaCry là loại mã độc tống tiền khiến dữ liệu trên máy bị mã hóa đồng thời ngăn cản người dùng truy cập dữ liệu đó đến khi tin tặc nhận được tiền chuộc. Khi này, các cá nhân, doanh nghiệp và tổ chức chỉ có hai lựa chọn: hoặc đưa tiền cho các tin tặc đó hoặc bị mất toàn bộ dữ liệu. Để tìm hiểu chi tiết hơn về cơ chế làm việc của Ransomware WannaCry sau khi lây nhiễm vào máy tính nạn nhân là gì mời bạn theo dõi bài viết dưới đây.
Khái niệm WannaCry là gì?
WannaCry là một loại mã độc tống tiền (ransomware) nguy hiểm. Phần mềm này sẽ mã hóa dữ liệu của máy tính, ngăn cản người dùng truy cập vào dữ liệu đó đến khi tin tặc nhận được tiền chuộc. Khi này các tin tặc sẽ sử dụng dữ liệu để tống tiền các cá nhân doanh nghiệp hoặc tổ chức. Điều này được cho rằng hiệu quả hơn so với việc đánh cắp hoặc xóa đi dữ liệu trên máy tính.
Cơ chế làm việc của Ransomware WannaCry sau khi lây nhiễm vào máy tính nạn nhân là gì?
Sau khi xâm nhập vào máy tính nạn nhân, WannaCry sẽ tìm kiếm các tập tin văn bản tại các ổ cứng tiến hành mã hóa chúng. Tiếp đó, chúng sẽ để lại cho chủ nhân của chiếc máy tính đó thông báo yêu cầu trả tiền chuộc nếu muốn dữ liệu được khôi phục lại như trước.
Mã độc tống tiền WannaCry sẽ sử dụng lỗ hổng và các công cụ của NSA để xâm nhập, phát tán và lây lan mã độc. Máy tính bị nhiễm mã độc WannaCry sẽ rất khó phát hiện nếu không nhận được thông báo từ phía các tin tặc. Sau 3 ngày từ khi phát đi thông báo nếu chủ nhân máy tính không giao tiền chuộc thì mức tiền in chuộc sẽ tăng lên gấp đôi. Và sau 7 ngày dữ liệu của người dùng sẽ bị xóa. Màn hình của máy tính bị nhiễm WannaCry sẽ hiển thị đầy đủ thông tin để người dùng thanh toán cùng đồng hồ chạy đếm ngược thời gian. Ngôn ngữ tại đây sẽ hiển thị với 28 thứ tiếng khác nhau.
2 cách thức lây lan chính của WannaCry gồm có: phát tán qua các bản bẻ khóa của phần mềm và lây lan qua mạng LAN bằng việc khai thác các lỗ hổng của EternalBlue. Với cách thứ hai WannaCry sẽ lây lan trên toàn thế giới.
Làm cách nào để ngăn ngừa và giảm thiểu thiệt hại do WannaCry gây ra?
Mã độc tống tiền AB rất nguy hiểm, được đánh giá là gây thiệt hại nhiều hơn cho các cá nhân, doanh nghiệp và tổ chức. Vậy, làm thế nào để ngăn ngừa và giảm thiểu thiệt hại do loại mã độc này gây ra?
Những lưu ý đối với cá nhân sử dụng máy tính
- Thường xuyên cập nhật hệ điều hành Windows mới nhất để tăng cường khả năng bảo mật một cách tốt nhất.
- Thường xuyên cập nhật các chương trình Antivirus đang sử dụng. Tiến hành cài đặt và sử dụng phần mềm antivirus có bản quyền.
- Thận trọng khi mở các email có đính kèm các đường dẫn lạ, đặc biệt là các email được gửi qua Gmail, công cụ chat và các mạng xã hội.
- Sử dụng các công cụ kiểm tra phần mềm độc hại trực tuyến hoặc có bản quyền trước khi mở các tập tin đính kèm.
- Không mở các tập tin file đính kèm có cấu trúc không rõ ràng hoặc các đường dẫn rút gọn. Không mở các tập tin có đuôi .hta.
Những lưu ý đối với tổ chức cá nhân khi sử dụng máy tính
- Thường xuyên kiểm tra các máy chủ và tạm thời khóa các dịch vụ đang sử dụng tại cổng 445, cổng 137 hoặc cổng 138/ 139.
- Thực hiện biện pháp cập nhật sớm và phù hợp các máy chủ Windows của tổ chức.
- Tạo các bản snapshot đối với các máy chủ ảo.
- Thường xuyên cập nhật các máy trạm đang sử dụng hệ điều hành Windows.
- Triển khai sử dụng các phần mềm Antivirus Endpoint có bản quyền. Cập nhật cơ sở dữ liệu cho các máy chủ và máy trạm đang sử dụng.
- Tiến hành lưu trữ dữ liệu quan trọng.
- Tận dụng các giải pháp đảm bảo an toàn thông tin mà tổ chức, doanh nghiệp mình đang có.
- Cập nhật các bản vá từ các hãng bảo mật đối với các giải pháp đang có sẵn.
- Ngăn chặn và theo dõi các tên miền mà mã độc WannaCry đang sử dụng.
- Liên hệ với các cơ quan chức năng, các doanh nghiệp và tổ chức làm việc trong lĩnh vực an toàn thông tin để có được hỗ trợ khi cần thiết.
Các công cụ vụ giúp giải mã mã độc WannaCry miễn phí
Ngăn chặn sự xâm nhập của mã độc WannaCry cũng như giải mã các dữ liệu đã bị WannaCry mã hóa là một việc làm vô cùng cần thiết để bảo vệ dữ liệu một cách an toàn. Hiện nay có 2 công cụ giúp giải mã WannaCry miễn phí gồm có WannaKey và WannaKiwi.
Trong đó, WannaKey sẽ tìm cách để trích xuất các cặp nhóm số nguyên tố được sử dụng trong công thức tạo mã từ bộ nhớ. Sở dĩ như vậy vì người sáng lập ra WannaKey phát hiện ra rằng WannaCry sẽ không tiến hành xóa các số nguyên tố khỏi bộ nhớ khi mã hóa dữ liệu. Từ việc trích xuất các số nguyên tố đó, WannaKey sẽ tiến hành giải mã những dữ liệu đã mã hóa, khôi phục chúng lại như ban đầu.
Tuy nhiên, WannaKey chỉ hiệu quả với máy tính chưa khởi động lại lần nào khi bị nhiễm mã độc và bộ nhớ liên kết chưa bị xóa hay format lại.
Trong khi đó WannaKiwi lại đơn giản hơn trong việc giải mã những tệp tin đã bị WannaCry mã hóa. Công cụ này cũng được cung cấp miễn phí cho những máy tính bị nhiễm mã độc tống tiền WannaCry này thông qua giao diện các dòng lệnh cmd. Tuy nhiên, WannaKiwi không cho hiệu quả với tất cả các máy hiện nay.
Trên đây là câu trả lời cho câu hỏi “Cơ chế làm việc của Ransomware WannaCry sau khi lây nhiễm vào máy tính nạn nhân là gì?” cùng những phương pháp giúp ngăn ngừa sự xâm nhập của WannaCry cũng như cách hạn chế tác động tiêu cực của loại phần mềm mã độc này. Hy vọng qua bài viết này, bạn sẽ có thêm kiến thức để sử dụng máy tính và mạng tốt hơn, tránh sự xâm nhập của các loại virus, phần mềm mã độc gây hại cho dữ liệu của thiết bị đó.