Tư vấn - Kỹ thuật

VIRUS WANNA CRY

16/05/2017

Wanna Cry (viết tắt WCry) là loại mã độc ransomware, tức là nó sẻ thâm nhập vào thiết bị, máy tính của người dùng hoặc máy tính trong hệ thống doanh nghiệp tự động mã hoá hàng loạt các tập tin theo những định dạng mục tiêu như văn bản tài liệu, hình ảnh… Người dùng cá nhân cũng như doanh nghiệp sẽ phải trả một khoản tiền không hề nhỏ (tại thời điểm bùng nổ tháng 5/2017 là 300$) thông qua Bitcoin nếu muốn lấy lại các dữ liệu đó.

Sau 3 ngày mà chưa làm, mức tiền chuộc sẽ tăng lên gấp đôi và hết thời hạn 7 ngày nhưng chưa thanh toán thì dữ liệu của người dùng sẽ bị mất. Mã độc ghi đầy đủ thông tin thanh toán, đếm lùi thời gian và được thể hiện bằng nhiều ngôn ngữ.

Cách thức hoạt động của ransomware Wanna Cry (Wanna Cry) và các biến thể của mã độc tống tiền này hết sức đơn giản. Nó khai thác một lỗ hổng trên hệ điều hành Windows được nắm giữ bởi Cơ quan An ninh Quốc gia Mỹ (NSA) và sử dụng chính những công cụ của NSA để lây lan mã độc Wanna Cry.

Người dùng sẽ không biết ransomware Wanna Cry là gì hoặc máy tính của mình bị nhiễm virus Wanna Cry 2.0 khi nào cho đến khi nó tự gửi một thông báo cho biết thiết bị đã bị khóa và mọi tập tin đều bị mã hóa. Để lấy lại quyền truy cập và khôi phục dữ liệu, người dùng buộc phải trả cho hacker ít nhất 300 USD (khoảng 6,6 triệu đồng) thông qua tiền ảo Bitcoin.

Chi tiết các bước hoạt động

Theo trang EndGame, WCry đi theo cùng con đường tấn công mà chúng ta vẫn thường thấy ở ransomware. Mô tả cơ bản thì thế này: WCry sẽ kiểm tra một “dấu mốc” (beacon), nếu dấu mốc này có trả về một phản hồi thì ransomware sẽ không chạy. Đây là cách để hacker kiểm soát được con ransomware của mình. Nếu beacon không có phản hồi gì cả thì ransomware bắt đầu công việc: nó khai thác lỗ hổng TERNALBLUE/MS17-010 và lây lan sang các máy tính khác. WCry sau đó mã hóa các file trong hệ thống và cảnh báo cho người dùng rằng họ đã “dính đòn”.

  • Bước 1: chạy file Exe, tức là người dùng “lỡ” bấm nhầm vào file thực thi để chạy ransomware lên. Để lừa người dùng chạy file này không khó, dụ họ mở một email nào đó hay chạy file tải về từ Torrent với những cái tên hấp dẫn là xong. Biến thể 2.0 của WCry còn có thể tự thực thi khi bạn truy cập vào một trang web đã bị chèn mã độc nữa kìa.
  • Bước 2: kiểm tra beacon. Ransomware sẽ gọi một link như sau: hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. Nếu link này có trả về phản hồi, tức là hacker đã kiểm soát tên miền này và muốn ransomware dừng lại, thì file exe sẽ không chạy tiếp. Còn nếu không nhận được phản hồi, ransomware tiếp tục việc tấn công. Anh em có thể thấy hacker chọn một tên miền rất vớ vẩn và không có ý nghĩa để không ai chú ý tới cả.

Liên quan đến tên miền này, có một nhà nghiên cứu trẻ tuổi sau khi xem xét mã nguồn của WCry đã phát hiện ra cơ chế beacon nói trên. Anh ta mua tên miền đó với mục tiêu nghiên cứu xem có bao nhiêu người đã bị dính, nhưng không nhờ đây lại là “kill switch” để tạm ngưng malware trong một thời gian. Sau đó anh này có cẩn thận cảnh báo rằng các biến thể mới sẽ xuất hiện bỏ qua bước kill switch này, và thực tế đã có những con ransomware như vậy ra đời sau vụ WCry.

  • Ở bước thứ 3, WCry sẽ tận dụng cơ chế SMB. SMB là một giao thức truyền tải file của Windows và nó mặc định được bật trên cả Windows lẫn Windows Server nên cả máy PC hay server đều có thể bị dính. Malware dùng cơ chế này để lây lan sang các máy tính khác trong cùng mạng. Với người dùng cá nhân có thể vụ này không làm lây lan nhiều. nhưng với các hệ thống IT doanh nghiệp vốn thường kết nối các máy với nhau thì ảnh hưởng là rất kinh khủng. Anh em nào chưa tắt SMB thì hãy tắt đi nhé.

Lỗ hổng bảo mật SMB này còn được biết tên gọi khác là EternalBlue, nó là một phần trong số các tool hacking của cơ qua an ninh Mỹ NSA đã bị lộ ra ngoài vào khoảng tháng trước bởi một nhóm hacker tự gọi mình là “The Shadow Brokers”.

Ở những bước kế tiếp, ransomware chuẩn bị một loạt thứ cho việc vận hành của mình, bao gồm tạo ra một dịch vụ chạy nền, chuẩn bị file Tor và file ví Bitcoin nhằm phục vụ cho việc giao dịch của nạn nhân với hacker. Nó cũng chuẩn bị một file key mã hóa dạng public key. Key này sẽ khớp với private key mà chỉ có hacker đang nắm giữ, cũng là chìa khóa để giải mã các file bị mã hóa.

Chuẩn bị đâu đó xong xuôi thì nó bắt đầu chạy tiến trình mã hóa hầu hết các file trong hệ thống, chủ yếu là file cá nhân và những file quan trọng với các phần mềm. Ransomware cũng như virus, nó cũng tự cho phép mình chạy lên cùng với Windows và tạo ra các bản backup để lỡ có bị xóa thì vẫn còn anh em song sinh sống dậy.

Hacker cũng không quên tắt các process về cơ sở dữ liệu, cụ thể là SQL Server và MySQL, để những website, phần mềm nào đang kết nối với server sẽ không thể hoạt động được. Cái này chủ yếu ảnh hưởng tới doanh nghiệp nhiều hơn chứ còn máy tính cá nhân thì thường chẳng ai dùng làm database server cả. Bằng cách này hacker có thể gây tác động nhiều hơn tới doanh nghiệp và buộc họ trả tiền sớm hơn với mong muốn các app và hệ thống của mình có thể tiếp tục vận hành.

Ai đứng sau WannaCry?

Symantec và Kaspersky nói rằng họ đang tìm kiếm các đầu mối để xem ai là tác giả của đợt bùng phát kinh khủng này, và họ tìm được một số dấu vết có thể ám chỉ công ty Lazarus có liên quan đến Triều Tiên đứng sau vụ việc. Nhưng để đưa ra kết luận cụ thể thì vẫn còn quá sớm bởi vì nhiều nhóm hacker khác rải rác trên thế giới cũng có khả năng thực hiện vụ tấn công. Đôi khi đây là sự kết hợp của không chỉ 1 mà là nhiều nhóm tin tặc cùng lúc nên họ mới có thể phát động một đợt lây lan với quy mô cực kì rộng như vậy.

Vẫn là một câu hỏi rất lớn về chủ nhân của WannaCry… ​

Ảnh hưởng của ransomware ra sao?

Theo Europol, đây là vụ tấn công với quy mô lớn chưa từng có. Ransomware đã tấn công vào nhiều bệnh viện thuộc hệ thống chăm sức sức khỏe ở Anh và Scotland (NHS), có tới 70.000 thiết bị từ máy tính, máy quét MRI, tủ chứa máy dự trữ và các công cụ đã bị lây nhiễm. Các báo cáo cho rằng trên toàn cầu có hơn 250.000 máy tính nói chung bị nhiễm mã độc. Ngày 12/5, nhiều dịch vụ của NHS đã phải tắt đi các thiết bị không quan trọng.

Nhiều công ty ở Châu Âu và Mỹ cũng bị ảnh hưởng, trong đó có nhiều cái tên lớn như FedEx, Deutsche Bahn, LATAM Airlines. Nhà máy sản xuất của Nissan tại Anh đã phải dừng sản xuất sau khi WannaCry lây vào một số hệ thống của công ty. Renault cũng phải đưa ra động thái tương tự. Có khoảng 99 quốc gia bị đánh và vẫn còn đang tiếp tục lây lan nhanh. Tình hình có thể đã tệ hơn nếu kill switch trong WannaCry đời đầu không bị vô tình phát hiện. Tại Việt Nam, một số công ty và máy tính cá nhân cũng đã bị WannaCry lây nhiễm vào.​
WannaCry đòi 300$ để 1 máy tính được giải mã, tức là các doanh nghiệp sẽ bị thiệt hại khoản tiền này trong trường hợp họ đồng ý chi tiền. Với một doanh nghiệp có khoảng 100 máy tính là đã thấy con số thiệt hại khổng lồ. Ngay cả khi doanh nghiệp không chấp nhận trả tiền thì họ cũng phải dừng sản xuất và mất dữ liệu, những thứ có thể khiến họ thiệt hại hàng triệu USD. Ước tính đến lúc này WannCry đã gây thiệt hại khoảng 200-300 triệu USD rồi và vẫn còn gia tăng từng ngày.

WannaCry 2.0

Ở trên là WannaCry phiên bản đầu tiên, và rất nhanh sau khi nó bị ngăn chặn bằng cơ chế kill switch, các nhà phát triển của nó đã tạo ra phiên bản thứ 2. Con WCry 2.0 này đã đổi tên miền kill switch hoặc thậm chí không còn kill switch nữa, hay ít nhất là các nhà nghiên cứu bảo mật chưa phát hiện ra, nên về lý thuyết là chưa có cách ngăn chặn sự bùng phát kinh khủng của nó. Nhiều khả năng ngay cả hacker sinh ra nó cũng không thể nào chặn đứng sự lây lan của con malware này, nâng sự nguy hiểm của vụ tấn công lên rất nhiều lần. Giống như T-Virus trong phim Resident Evil vậy.

Đợt tấn công thứ hai này còn dữ dội hơn khi đã xuất hiện các công cụ cho phép tùy biến ransomware theo ý thích của hacker mà không tốn nhiều thời gian. Công cụ này tuy không chỉnh sửa cách tấn công của WCry nhưng nó góp phần giúp gia tăng số lượng WCry bị tung ra, và tất nhiên là cũng gây ảnh hưởng nhiều hơn đến người dùng cá nhân và các doanh nghiệp. Ai mà biết được trong nay mai sẽ có thêm công cụ giúp tùy biến cách lây nhiễm và mã hóa của WCry thì sao? Khi đó việc tiêu diệt con ransomware này sẽ cực kì khó khăn.

Cái nguy hiểm nhất ở đây không nằm ở vấn đề kĩ thuật, mà ở con người. Các hacker khác khi thấy hacker tạo ra WCry đã thành công thì họ cũng bắt chước làm theo. Có thể vì mục đích khẳng định danh tiếng, có thể là để thu tiền về xài, nhưng dù gì đi nữa thì số lượng hacker bắt chước làm theo mới đáng lo ngại vì họ đã biết được cách để ăn tiền và họ sẽ đưa cuộc chiến lên một tầm cao mới. Sẽ rất khó để dự đoán những cách tấn công mới của các biến thể WCry 2.0. Chúng ta hoàn toàn bị động trong khâu này và chỉ tới khi ransomware đã bị phát tán thì chúng ta mới có thể nghiên cứu cách tấn công của nó.

Các biến thể của WannaCry

Các biến thể này là ăn theo sự nóng bỏng của WCry, có thể vì nhiều mục đích khác nhau… Dự kiến sẽ còn nhiều biến thể hơn nữa, và nguy hiểm hơn nữa, và chúng ta vẫn ở trong thế bị động.

Làm sao để phòng ngừa?

Anh em nào lỡ dính thì chịu khó chờ hoặc khôi phục lại bản backup gần nhất chứ hiện tại chưa có thuốc trị WannaCry. Còn anh em nào chưa mắc thì hãy làm những bước sau:

  1. Cập nhật hệ điều hành lên bản mới nhất, chạy đầy đủ tất cả bản vá Windows Update. Nếu đang dùng macOS cũng nên cẩn trọng, rất cẩn trọng
  2. Tắt giao thức SMBv1
  3. Anh em làm server cũng nhớ tắt SMBv1, set rule chặn port 455, 3389, 1389 trong firwall
  4. Không click váo các link lạ, các email lạ, link web khiêu dâm và các nội dung tương tự trừ khi anh em biết rõ ai là người gửi cho mình và họ đang gửi cái gì.

Nguồn http://vlo.vn/w/wanna-cry/