Hướng dẫn cách phòng tránh Ransomware WannaCry với lỗi SMB windows chi tiết nhất

Điểm qua tin tức nóng hổi về virus WannaCry

Một nhóm Hacker tên là Shadow Broker đã hack vào hệ thống của NSA và kéo ra một mớ dữ liệu của một tổ chức do NSA quản lý gọi là Equation Group. Trong mớ dữ liệu này có chứa rất nhiều các exploit 0-days được NSA sử dụng để tấn công, do thám và đánh cắp dữ liệu của rất nhiều người dùng, tổ chức, chính phủ ở khắp nơi trên thế giới để phục vụ cho hoạt động tình báo.

ransomware-wannacry
ransomware wannacry

Trong đó có một 0-days đặc biệt nguy hiểm mới được public đợt tháng 4 vừa rồi nhắm vào tất cả các phiên bản từ XP đến Windows 10. Lỗi này nhắm tới dịch vụ SMB (file sharing) của Windows cho phép attacker thực hiện remote execution, nói một cách nôm na, attacker có thể điều khiển máy tính từ xa, chẳng hạn như gọi lên một cmd với quyền SYSTEM, và thao tác ở đó mà người dùng không hề hay biết.

WannaCry tận dụng exploit này,khi nó lây nhiễm vào được một máy, nó sẽ thực hiện scan các máy khác trong cùng LAN, và thực hiện exploit. Một khi exploit được rối,nó đã có quyền kiểm soát và thao tác trên máy mới, nó sẽ tự động copy bản thân nó sang máy mới kiểm soát được và chạy -> tiếp tục thực hiện đến với tất cả các máy còn lại.

Điểm nguy hiểm nhất dẫn đến việc có thể bị tấn công từ ngoài LAN chính là việc các máy không bật Firewall, chặn port 445 của smb hoặc disable File sharing service. Attacker có thể tạo một hệ thống tự động scan theo dải ip public để tìm các máy mở port 445 để thực hiện exploit.

wannacry-ransomware-decrypt-unlock-files-696x363
wannacry ransomware-decrypt unlock files

 

Hoặc attacker có thể dùng email phising đánh lừa người dùng bấm vào link, hoặc mở file đính kèm chứa một dropper, dropper này download code exploit về và chạy để tạo ra một backdoor, từ đó attacker ung dung tiến vào, hoặc đơn giản hơn nó download luôn WannaCry về và chạy.

Điểm khác biệt khiến WannaCry nguy hiểm chính là việc nó dùng exploit để mở rộng phạm vi lây nhiễm, Và cũng cần nhấn mạnh là exploit này có thể tạo ra một backdoor với quyền SYSTEM ( tương đương với root trong Linux) nên nó có toàn quyền đối với hệ thống, từ việc disable AV, disable Firewall, sửa hoặc xoá file hệ thống, vô hiệu hoá hoàn toàn các cơ chế bảo vệ.

Chỉ cần một node bị nhiễm là tất cả các máy trong cùng mạng nếu chưa được update sẽ dính theo. Lại càng nguy hiểm hơn ở VN khí người dùng xài Win lậu, không update, disable Firewall, và các bản win cũ như XP (MS đã ngừng support cho XP, tuy nhiên lần này vẫn phải tung một bản vá để sửa lỗi này cho XP)

Hướng dẫn cách phòng tránh virus Wannacry

Lưu ý:

Không tải, không mở bất kỳ tập tin nào không rõ nguồn gốc, đặc biệt là các file: exe, pdf

Cách 1: Update Windows

Điều quan trọng nhất là bạn phải Update Windows để cập nhật bản vá mới nhất của Microsoft. Hãy làm ngay lập tức, đừng chần chờ gì nửa.

Cách 2: Sử dụng công cụ RansomFree

Vừa mới đây hãng Cybereason vừa phát hành công cụ RansomeFree giúp bạn phát hiện và tiêu diệt ngay WannaCry khi vừa xuất hiện trên máy tính bạn.

Nếu lỡ máy tính bạn có đang dính Ransomware WannaCry, thì  RansomeFree cũng sẽ giúp bạn hạn chế bị lây lan qua các tập tin khác, tránh bị mã hóa toàn bộ dữ liệu

Xin lưu ý: tùy thuộc vào vị trí, một số tệp tin vẫn có thể bịmã hóa bởi ransomware WannaCry. Tuy nhiên, như được trình bày trong đoạn video này, phần lớn các tệp tin được bảo vệ, và ransomware không còn phát tán nữa.

Hoặc cài đặt và cập nhật các phần mềm AntiVirus mới nhất như: Kaspersky, Avast, Avira…

Cách 3: Chặn Port 

Dùng Firewall có sẵn trên Windows, hoặc Firewall của các chương trình antivirus chặn các port sau:

  • TCP ports 137, 139, and 445
  • UDP ports 137 and 138

Dùng lệnh PowerShell

Vào Run: gõ lệnh Powershell rồi dán đoạn lệnh dưới đây

Dùng trên giao diện

Cách dùng Firewall trên Windows:

Vào Control Panel –> Firewall

fw - Hướng dẫn cách phòng tránh Ransomware WannaCry chi tiết nhấtChọn Advanced setting

fw2 - Hướng dẫn cách phòng tránh Ransomware WannaCry chi tiết nhất

Thực hiện lần lượt cho cả 2

Inbound Rules và Outbound Rules

Nhấn phải chuột vào Inbound Rules, chọn New Rule…

fw3 - Hướng dẫn cách phòng tránh Ransomware WannaCry chi tiết nhất

Check vào Ô Port rồi nhấn Next

fw4 - Hướng dẫn cách phòng tránh Ransomware WannaCry chi tiết nhất

Tiếp tục chọn vào TCP, trong phần Specific local ports: 137,139,445

fw5 - Hướng dẫn cách phòng tránh Ransomware WannaCry chi tiết nhất

Chọn Block Connection

fw6 1 - Hướng dẫn cách phòng tránh Ransomware WannaCry chi tiết nhất

Tiếp tục cứ nhấn Next,

fw7 - Hướng dẫn cách phòng tránh Ransomware WannaCry chi tiết nhấtTới ô Name đặt gì cũng được.

fw8 - Hướng dẫn cách phòng tránh Ransomware WannaCry chi tiết nhất

Rồi tương tự thực hiện lại Bước 1, block port UDP137,138

Sau đó đến Outbound Rules, thực hiện như Inboud Rules

Cách 4: Tắt chế độ SMB

Bạn cần khởi động Power Shell lên, vào run gõ lệnh PowerShell

pw - Hướng dẫn cách phòng tránh Ransomware WannaCry chi tiết nhất

Máy tính cá nhân sử dụng Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, and Windows Server 2012

Copy lệnh dưới đây vào PowerShell

Chỗ nào lỗi thì cứ bỏ qua, copy xong thì nhấn Enter nha

Server sử dụng Windows 8 và Windows Server 2012

Copy lệnh dưới đây vào PowerShell

  • Disable SMBv1
  • Disable SMBv2

 

Server sử dụng Windows 7, Windows Server 2008 R2, Windows Vista, and Windows Server 2008

Copy lệnh dưới đây vào PowerShell

  • Disable SMBv1
  • Disable SMBv2

Bạn cần phải khởi động lại máy tính để hoàn tất nhé

Remove SMB v1 in Windows 8.1, Windows 10, Windows 2012 R2, and Windows Server 2016 bằng giao diện

Windows Server: Vào Server Manager

4014204 en 1 - Hướng dẫn cách phòng tránh Ransomware WannaCry chi tiết nhất

 

Windows Server: Sử dụng PowerShell

4014205 en 1 - Hướng dẫn cách phòng tránh Ransomware WannaCry chi tiết nhất

Máy tính cá nhân: Vào Control Panel chọn Add or Remove Programs

4014206 en 1 - Hướng dẫn cách phòng tránh Ransomware WannaCry chi tiết nhất

Máy tính cá nhân:

Dùng PowerShell

4014207 en 1 - Hướng dẫn cách phòng tránh Ransomware WannaCry chi tiết nhất

Nếu lỡ bị nhiễm Ransomware WannaCry rồi thì sao?

– Ngắt ngay đường mạng wifi internet và LAN nội bộ để không lây nhiễm các máy khác trong mạng.

– Cài đặt ngay RansomFree (ở Cách 2) để tránh bị lây nhiễm.

Kết Luận:

  • Wannacry là một virus có tốc độ lây lan chóng mặt
  • Wannacry rất nguy hiểm đối với những máy có chứa dữ liệu quan trọng có thể gây tổn thất nặng nề vì vậy bạn không nên chủ quan

Cuối cùng chúc các bạn vui vẻ và đừng quên ghé thăm góc nhìn kiến thức thường xuyên nhé.

Hướng dẫn cách phòng tránh Ransomware WannaCry với lỗi SMB windows chi tiết nhất
5 (100%) 3 votes

53 BÌNH LUẬN

  1. hello there and thank you for your info – I’ve definitely picked up something new from
    right here. I did however expertise a few technical points using
    this web site, since I experienced to reload the
    website many times previous to I could get it to load properly.
    I had been wondering if your web host is OK? Not that I’m
    complaining, but sluggish loading instances times will sometimes affect your placement in google and could damage your high
    quality score if ads and marketing with Adwords. Well I’m
    adding this RSS to my email and could look out for a
    lot more of your respective exciting content. Make sure you update this again soon.

  2. Woah! I’m really loving the template/theme of this website.

    It’s simple, yet effective. A lot of times it’s hard
    to get that “perfect balance” between usability and visual appearance.
    I must say you’ve done a superb job with this. Also, the blog loads super quick for me on Safari.
    Exceptional Blog!

  3. I really love your site.. Great colors & theme.
    Did you build this amazing site yourself? Please reply back as I’m
    wanting to create my very own blog and would like to know where you
    got this from or what the theme is called. Cheers!

  4. Write more, thats all I have to say. Literally, it seems as
    though you relied on the video to make your point.
    You definitely know what youre talking about, why throw
    away your intelligence on just posting videos to your blog when you could be giving us something
    enlightening to read?

  5. I was wondering if you ever thought of changing the page layout of
    your site? Its very well written; I love what youve got to say.
    But maybe you could a little more in the way of content so people could connect with it better.
    Youve got an awful lot of text for only having 1 or
    2 pictures. Maybe you could space it out better?

  6. Attractive section of content. I just stumbled upon your blog and
    in accession capital to assert that I get in fact enjoyed account your blog posts.
    Anyway I’ll be subscribing to your augment and even I achievement you
    access consistently fast.

  7. Thank you for every other informative website. The place else could I get that type of info written in such a perfect
    way? I have a undertaking that I am simply now running on,
    and I have been at the look out for such info.

  8. Today, I went to the beachfront with my kids. I found
    a sea shell and gave it to my 4 year old daughter and said “You can hear the ocean if you put this to your ear.”
    She put the shell to her ear and screamed. There
    was a hermit crab inside and it pinched her ear.

    She never wants to go back! LoL I know this is completely off topic
    but I had to tell someone!

  9. This is very interesting, You are a very skilled blogger.
    I’ve joined your rss feed and look forward to seeking more of your fantastic post.
    Also, I’ve shared your site in my social networks!

BÌNH LUẬN

Please enter your comment!
Please enter your name here