Một vài ngày trước, phần mềm đòi tiền chuộc WannaCry đã bùng phát. Có vẻ nó như một đại dịch, đại dịch toàn cầu! Mình gọi là đại dịch quả không sai bởi sức lây lan khủng khiếp và tốc độ nhanh chóng mặt của nó. Tới thời điểm hiện tại có hơn 126.000 trường hợp bị tấn công chỉ trong một ngày, nhưng con số thật sự cao hơn nhiều.
Nội dung [ẩn]
Vì sao lại viết về WannaCry: “Bỗng dưng muốn khóc”?
Blog mình chủ yếu chỉ nói về thiết kế website và kiếm tiền online nhưng giờ lại nói về phần mềm độc hại. Nó cũng có lý do!
Hiện tại em “muốn khóc” này đang quá nóng trên thế giới. Em nó đòi tiền chuộc làm ảnh hưởng tới tất cả mọi người và không loại trừ các blogger hay webmaster đang trên hành trình kiếm tiền với blog/website của mình.
Một khi máy tính của bạn bị lây nhiễm thì mọi dữ liệu của bạn cũng đi tong, mặc dù có thể blog/website vẫn còn nhưng những cơ sở để làm nên chúng cũng cực kỳ quan trọng. Như mình có cả một hệ thống chạy offline để tạo ra các bài viết trên blog, dữ liệu offline của mình còn quan trọng còn hơn cả online.
Vậy chuyện gì đã xảy ra?
Một số tổ chức lớn báo cáo bị nhiễm cùng một lúc. Trong số đó có một số bệnh viện Anh phải đình chỉ hoạt động. Theo dữ liệu được tiết lộ bởi các bên thứ ba, WannaCry đã lây nhiễm hơn 100.000 máy tính. Số lượng lây nhiễm cực lớn là lý do vì sao nó đã thu hút rất nhiều sự chú ý.
Số vụ tấn công lớn nhất xảy ra ở Nga, nhưng Ukraine, Ấn Độ và Đài Loan cũng đã chịu nhiều thiệt hại từ WannaCry. Chỉ trong ngày đầu tiên của vụ tấn công, WannaCry đã được tìm thấy ở 74 quốc gia, trong đó có Việt Nam.
Phần mềm đòi tiền chuộc là gì?
Phần mềm đòi tiền chuộc (Ransomware) là một phần mềm tấn công mạng mà các hacker tạo ra để điều khiển một hệ thống máy tính và chặn tất cả các truy cập từ người dùng trừ khi họ trả tiền chuộc để được truy cập và sử dụng trở lại.
Những phần mềm này tiếp cận với người dùng bằng cách giả dạng một loại file bổ ích nào đó để người dùng cài đặt, sau đó tấn công máy tính của họ. Như câu chuyện về ngựa thành Troy có thể ban đã nghe qua.
Đại loại là nó như là một loại virus máy tính, mã hóa dữ liệu của bạn và kêu bạn bỏ tiền để cứu dữ liệu của mình không thì mất mãi mãi. Một đi không trở lại!
Tấn công đòi tiền chuộc là một loại tấn công mạng
Để tội phạm mạng có thể truy cập vào một hệ thống máy tính, họ cần cài đặt một phần mềm vào thiết bị của người sử dụng trong một mạng nào đó. Thông thường, chúng thường được cài vào máy khi nạn nhân click vào một đường link hoặc vô tình tải về mà không biết nó có chứa mã độc.
Một khi phần mềm tiếp cận máy tính của nạn nhân, hacker có thể chạy một cuộc tấn công nhằm khóa tất cả các file mà nó có thể tìm thấy trên mạng lưới của hệ thống đó. Đây là một chu trình diễn ra liên tục, từ file này tới file kia lần lượt bị mã hóa cho đến khi toàn bộ file trên máy hay hệ thống bị khóa truy cập hoàn toàn.
Những công ty lớn với hệ thống bảo mật mạnh thường có khả năng nhận dạng tình huống này khi nó xảy ra và có thể cô lập ngay những tài liệu bị nhiễm để hạn chế tối đa tác hại. Tuy nhiên, những công ty nhỏ hoặc người dùng cá nhân thì không được may mắn như vậy. Và có thể kết thúc bằng việc mất hết quyền truy cập vào dữ liệu của họ. Có thể nói đây là điểm kết thúc của những dữ liệu quý báu, chỉ có cách duy nhất là bạn phải đem tiền đi chuộc lại mà thôi!
Thông thường thì tội phạm mạng sẽ yêu cầu thanh toán để được mở khóa. Hình thức thanh toán là thông qua Bitcoin, một loại tiền online mà khi thanh toán bạn chẳng biết họ là ai. Vì thế nó cực kỳ an toàn cho hacker sử dụng. Đây cũng là điểm mạnh và cũng là điểm hạn chế của loại tiền tệ này.
WannaCry là gì?
WannaCry, còn được biết tới là Wanna Decryptor hoặc wcry, là một phần mềm đòi tiền chuộc hoạt động theo hai bước, bước thứ nhất là lan truyền và lây nhiễm, bước thứ hai là mã hóa dữ liệu của nạn nhân và chỉ để lại hướng dẫn cho nạn nhân cần biết phải làm gì tiếp theo, cùng với chương trình giải mã (decryptor).
Sau khi mã hóa, WannaCry sẽ thông báo với bạn là phải trả $300 trong vòng 3 vài ngày để giải mã. Sau thời gian 3 ngày thì số tiền chuộc sẽ tăng gấp đôi là $600. Nếu sau 7 ngày kể từ ngày bị dính kèo, bạn không nạp tiền thì dữ liệu sẽ ra đi mãi mãi. Như cái tên của nó, bỗng dưng bạn sẽ muốn khóc!
Ảnh chụp màn hình một máy tính dính WannaCry
WannaCry khác với phần lớn các phần mềm đòi tiền chuộc khác ở bước thứ nhất. Để lây nhiễm vào một máy tính thì một phần mềm đòi tiền chuộc thông thường phải làm người dùng nhầm lẫn, ví dụ bằng cách nhấp vào liên kết đáng ngờ, cho phép Word chạy macro độc hại hoặc tải xuống một tệp đính kèm đáng ngờ từ một thư điện tử. Với WannaCry, nó lây nhiễm mà người dùng không phải làm gì cả!
Sau khi bạn bị hacker tiêm phần mềm này vào máy thông qua lỗ hỏng bảo mật, nó lây lan qua các máy khác cùng mạng LAN (mạng nội bộ), gây lây nhiễm trên toàn hệ thống nếu các máy tính đó cũng bị lỗ hổng bảo mật chưa vá.
Cách WannaCry khai thác và lây nhiễm
Những người sáng tạo ra WannaCry đã tận dụng và khai thác lỗ hỏng bảo mật của Windows được gọi là EternalBlue, một lỗ hổng mà Microsoft vá trong bản cập nhật bảo mật MS17-010 , ngày 14 tháng 3 năm nay. Bằng cách sử dụng lỗ hổng này, kẻ gian có thể truy cập từ xa vào máy tính và cài đặt chương trình đòi tiền chuộc WannaCry.
Nếu bạn đã cài đặt bản cập nhật thì lỗ hổng này không còn tồn tại nữa và những nỗ lực để hack máy tính từ xa thông qua lỗ hổng sẽ không thành công. Tuy nhiên, các nhà nghiên cứu từ GReAT của Kaspersky Lab (Nhóm nghiên cứu và phân tích toàn cầu) nhấn mạnh rằng việc vá lỗ hổng này sẽ không ảnh hưởng lắm tới bộ mã hóa. Vì vậy, nếu bạn đã bị tiêm nhiễm nó bằng cách nào đó, thì miếng vá sẽ không có ý nghĩa gì cả. Miếng vá chỉ để phòng ngừa mà thôi.
Sau khi hack máy tính thành công, WannaCry cố gắng lây lan trên mạng cục bộ vào các máy tính khác, theo cách của một virus máy tính. Bộ mã hóa quét các máy tính khác cho cùng một lỗ hổng có thể khai thác với sự trợ giúp của EternalBlue, và khi WannaCry tìm thấy một máy tính dễ bị tổn thương, nó sẽ tấn công máy tính và mã hóa các tập tin trên đó.
Do đó, bằng cách lây nhiễm một máy tính, WannaCry có thể lây nhiễm sang toàn bộ mạng nội bộ và mã hóa tất cả các máy tính trên mạng đó. Đây là lý do tại sao các công ty lớn bị ảnh hưởng nhiều nhất từ cuộc tấn công WannaCry - càng có nhiều máy tính trên mạng thì thiệt hại càng lớn.
WannaCry hoạt động như thế nào?
Là một bộ mã hóa, WannaCry hoạt động giống như bất kỳ bộ mã hóa khác. Nó mã hóa các tập tin trên máy tính và yêu cầu đòi tiền chuộc để giải mã chúng. Gần giống với biến thể của trojan CryptXXX nổi tiếng.
WannaCry mã hóa các tệp tin thuộc nhiều loại khác nhau (danh sách đầy đủ ở đây) bao gồm các tài liệu văn phòng, hình ảnh, video, các file nén và các định dạng tệp khác có khả năng chứa dữ liệu quan trọng. Phần mở rộng của các tập tin mã hóa được đổi tên thành .WCRY, và các tập tin này trở nên mất tác dụng, không thể mở được và nếu mở ra (bằng chương trình đọc text) thì cũng chỉ là một mớ bòng bong. Tốt nhất bạn đừng copy hay động vào nó nếu không muốn máy mình làm nạn nhân tiếp theo!
Sau đó, Trojan sẽ thay đổi hình nền desktop thành một bức ảnh có chứa thông tin về sự lây nhiễm và hướng dẫn người dùng phải làm gì để khôi phục các tập tin. WannaCry để lại thông báo dưới dạng tệp văn bản hay file text có cùng nội dung trên các thư mục khác nhau để đảm bảo rằng người dùng nhận được thông báo.
Như thường lệ, nó đòi hỏi nạn nhân phải chuyển một số tiền nhất định bằng Bitcoins, vào ví của thủ phạm. Chúng cố gắng hăm dọa nạn nhân, tăng từ $300 lên $600 nếu người dùng không nạp tiền chuộc trong 3 ngày đầu tiên.
Nếu có bị dính, mình khuyên bạn không nên trả tiền chuộc. Có lẽ lý do thuyết phục nhất là không có gì bảo đảm rằng bọn tội phạm sẽ giải mã các tập tin của bạn sau khi nhận được tiền chuộc. Trên thực tế, các nhà nghiên cứu đã chỉ ra rằng nhiều hacker khác chỉ đơn giản là xóa dữ liệu người dùng.
Vì sao đăng ký một tên miền có thể ngăn chặn cuộc tấn công - nhưng tại sao nó vẫn chưa kết thúc?
Có một thông tin khá hot hôm nay, một người dùng dấu tên có nick trên mạng xã hội là Malwaretech đã ngăn chặn được sự lây nhiễm bằng cách đăng ký một tên miền dài và vô nghĩa.
Nó chỉ ra rằng một số phiên bản của WannaCry sử dụng tên miền tên miền đó như một chiếc cầu chì. Nếu chúng không nhận được một trả lời từ tên miền đó sau khi truy vấn (hay là dòng điện đi qua cầu chì), chúng sẽ cài đặt các bộ mã hóa và bắt đầu công việc bẩn thỉu của mình. Nếu có trả lời (có nghĩa là nếu tên miền đã được đăng ký, hay cháy cầu chì), thì phần mềm độc hại sẽ ngừng tất cả các hoạt động của nó.
Sau khi tìm thấy tham chiếu đến miền này trong mã nguồn của Trojan, nhà nghiên cứu này đã đăng ký tên miền, do đó tạm ngưng cuộc tấn công mạng của WannaCry. Trong thời gian còn lại của ngày, tên miền này đã được được truy vấn hàng chục ngàn lần, có nghĩa là hàng chục ngàn máy tính đã tránh được Trojan.
Có một lý thuyết cho rằng chức năng này được xây dựng trong WannaCry - giống như một bộ ngắt mạch - trong trường hợp có điều gì đó sai. Một lý thuyết khác, được chính nhà nghiên cứu chấp nhận, là nó làm giúp hacker thử nghiệm phần mềm. Các môi trường thử nghiệm được sử dụng trong nghiên cứu của hacker được thiết kế để bất kỳ tên miền nào trả về một phản ứng tích cực thì Trojan sẽ không làm gì trong môi trường thử nghiệm đó.
Ví dụ đơn giản để các bạn dễ hình dung như sau:
Tại nhà của hacker thì phiên bản của Trojan được lập trình để gửi truy vấn về Google.com, vì tên miền này đã được đăng ký nên Trojan sẽ không làm gì với hệ thống máy tính tại nhà của hacker cả. Còn một phiên bản chạy trên máy tính của nạn nhân trỏ về tên miền bất kỳ nào đó dài, vô nghĩa và chưa ai đăng ký, phần mềm sẽ kích hoạt và tấn công máy tính đó.
Thật đáng tiếc, đối với các phiên bản mới của Trojan, điều đơn giản bọn tội phạm phải làm là thay đổi tên miền được chỉ định là "trình ngắt mạch" và lây nhiễm sẽ tiếp tục. Do đó rất có thể dịch WannaCry sẽ tiếp tục.
Làm thế nào để chống lại WannaCry
Thật không may, hiện tại không có cách nào để giải mã các tệp đã được mã hóa bởi WannaCry. Bây giờ, phòng ngừa là hy vọng duy nhất.
Dưới đây là một số lời khuyên về cách ngăn ngừa lây nhiễm và giảm thiểu thiệt hại.
- Nếu bạn đã có cài phần mềm Kaspersky, mình khuyên bạn nên làm theo các bước sau: Cập nhật phần mềm lên bản mới nhất, chạy quét bằng tay cho các khu vực quan trọng và nếu phát hiện MEM: Trojan.Win64.EquationDrug.gen (nghĩa là phát hiện WannaCry), xóa ngay để không chó nó đẻ trứng và khởi động lại máy. Hãy luôn kiểm tra System Watcher, cần phải chiến đấu với bất kỳ biến thể mới nào của phần mềm độc hại có thể xuất hiện.
- Cài đặt bản cập nhật của Windows. Mình khuyên tất cả anh em dùng Windows cài đặt bản cập nhật bảo mật hệ thống MS17-010. Microsoft thậm chí đã phát hành nó cho các hệ thống không còn được chính thức hỗ trợ, chẳng hạn như Windows XP hoặc Windows 2003. Nghiêm túc, hãy cài đặt ngay bây giờ vì nó rất quan trọng!
- Tạo tập tin sao lưu thường xuyên và lưu trữ các bản sao trên các thiết bị lưu trữ không liên tục kết nối với máy tính. Nếu bạn có một bản sao lưu gần đây, sau đó mới bị dính em “muốn khóc” này thì không phải là một thảm hoạ. Bạn có thể dành vài giờ để cài đặt lại hệ điều hành và ứng dụng, sau đó khôi phục các tệp và tiếp tục kiếm tiền bình thường. Nếu bạn quá bận để xử lý sao lưu, hãy kiếm một phần mềm nào đó có thể tự động hóa quy trình này.
- Sử dụng một chương trình diệt virus đáng tin cậy như Kaspersky Internet Security, BitDefender, hoăc không có tiền mua thì có thể dùng ngay phần mềm miễn phí như AVG AntiVirus. Chúng có thể phát hiện WannaCry khi mới cập bến máy tính của bạn và cả trong quá trình cố gắng lây lan qua mạng. Phòng bệnh hơn chữa bệnh, mà bệnh này lại không thể chữa nên tốt nhất là cài ngay hôm nay.
Lời kết
Dù là WannaCry hay “WannaDie” đi chăng nữa thì vẫn có thể phòng tránh và tiếp tục hành trình kiếm tiền đầy gian nan phía trước. Bài viết mình đã phân tích một số điểm quan trọng để bạn nắm và tự biết phải làm sao để ngăn ngừa và khắc phục nó. Hy vọng ai ai cũng an toàn và WannaCry ngừng “đẻ trứng” để giảm thiểu thiệt hại cho cộng đồng IT nói chung và cộng đồng kiếm tiền online của chúng ta nói riêng.
Be safe!
Be safe!