Theo chuyên gia bảo mật Nguyễn Hồng Phúc, người dùng có một số cách để phòng ngừa WannaCry trước những dữ liệu quý giá.

Zing.vn trích dẫn quan điểm của chuyên gia bảo mật Nguyễn Hồng Phúc, hiện sinh sống và làm việc tại TP.HCM. Bài viết dưới đây được đăng trên trang cá nhân của chuyên gia này. Zing.vn biên tập nội dung. 

“Tổng hợp về WannaCry cho người không biết gì” 

WannaCry là virus (gọi vậy cho dễ hiểu và thân quen) mà khi nhiễm sẽ mã hóa toàn bộ các file dữ liệu trên máy và tống tiền nên nó được gọi là Ransomware (mã độc tống tiền). Tên khoa học của nó là WannaCrypt (chỉ dân bảo mật dùng tên này cho dễ gọi. WannaCry là tên tác giả malware đặt trong code). Tác giả rất biết chơi chữ, dính virus này là chỉ muốn khóc.

Cách lây lan:

1. Tác giả virus này vẫn đang phát tán nó qua phương thức thông thường là nhúng vô các bản crack, các trang web có nhiều người truy cập (trang phim cấp ba, chia sẻ phầm mềm lậu…). Khi nạn nhân lỡ tay tải về hoặc truy cập các trang linh tinh thì dính. Về kỹ thuật thì nó vẫn đang phát tán malware qua các mạng lưới phát tán malware và các exploitkit.

2. WannaCry lây lan mạnh vì nó không chỉ phát tán theo cách truyền thống như trên mà nó còn lây lan qua mạng LAN do tận dụng các công cụ khai thác lỗi SMB mà NSA (Cơ quan An ninh Quốc gia Hoa Kỳ) phát triển bí mật, nhưng xui bị nhóm ShadowBroker đánh cắp và tung ra public từ cả tháng trước.

Lúc Shadow Broker tung ra các công cụ này thì các chuyên gia bảo mật đã kháo nhau là thế nào cũng sẽ có cảnh khai thác hàng loạt như con Wanna Cry đang làm.

Nói dễ hiểu, nếu một máy trong mạng LAN bị nhiễm WannaCry thì toàn bộ các máy trong mạng LAN cũng có thể “ăn hành” nếu như không được vá lỗi trước đó. Ví dụ: Cô bé đồng nghiệp xinh xách laptop Windows ra quán cà phê ngồi và tải gì đó để dính WannaCry, xong mang máy về công ty kêu IT sửa, IT lỡ dại cắm máy vô mạng mở lên. Bùm, cả công ty bị lây nhiễm. 

Vì cách lây lan như trên mà việc thực hiện các bước an toàn như tắt SMBv1 và cập nhật cho Windows bản vá lỗi mới nhất KHÔNG HOÀN TOÀN AN TOÀN. Nó chỉ ngăn việc con virus này nhảy từ máy khác cùng mạng LAN qua máy bạn. Không ngăn việc bạn xui xẻo tải trúng nó từ Internet.

Virus này chỉ lây lan trên Windows và mạng máy tính Windows, hiện không có phiên bản biến thể nào hoạt động trên Mac và Linux.

Cách phòng chống:

1. Cập nhật bản vá lỗi mới nhất cho Windows. Nếu những ai tắt Windows Update, họ đang tự ngủ trên bãi mìn không biết khi nào nổ. 

2. Disable (tắt) tính năng SMB bằng cách vô “Start”, tìm “Windows Features”, xong bỏ dấu check chỗ SM.

3. Cập nhật các phần mềm Antivirus. Hiện Windows Defender, McAfee, Symantec, ESET, Bitdefender… và các phần mềm nổi tiếng đều đã update WannaCry. Sau khi cập nhật thì nhớ bật tính năng bảo vệ Realtime Protection (hoặc tên giống vậy) để ngăn máy tính bị nhiễm.

4. Backup (sao lưu) dữ liệu quan trọng là cách tốt nhất để chống ransomware. Hãy nhớ backup thường xuyên. Nếu là người dùng cá nhân thì mua ổ cứng di động, copy dữ liệu quan trọng ra rồi cất đi. Không cắm ổ cứng này thường xuyên vô máy, lúc cần mới dùng để backup hoặc lấy dữ liệu ra.

5. Nên dùng các dịch vụ Cloud Drive như Google Drive, OneDrive, DropBox để thường xuyên sync (đồng bộ) dữ liệu lên Mây (Cloud). Giá của các dịch vụ này rẻ, Google Drive miễn phí 15 GB và bán 100 GB có 45.000 đồng/tháng, hoặc 250.000 đồng/tháng cho 1.000 GB (1 TB). Hoặc người dùng cũng có thể mua gói Google Enterprise giá có 15 USD/tháng không hạn chế dung lượng lưu trữ.

Tại sao nên dùng dịch vụ Cloud Drive? 

Nếu lỡ dính ransomware vào máy, nó vẫn mã hóa file trên máy và các dịch vụ lưu trữ đám mây vẫn đồng bộ (sync) bản dữ liệu bị mã hóa lên máy chủ. Nhưng các dịch vụ này có hỗ trợ tính năng File Versions. Tức là 1 file bạn backup trên Cloud thì sẽ được lưu 30 bản khác nhau của 30 ngày gần nhất. Tức là bạn có thể tải về bất kỳ phiên bản cũ nào của cái file đã bị ransomware nó “ăn”. Lúc đó dữ liệu được phục hồi nguyên trạng. 

Cách xử lý khi bị nhiễm Ransomware WannaCry

1. Ngắt ngay lập tức các máy tính bị nhiễm khỏi mạng LAN, tránh để nó lây lan qua các máy khác.

2. Trả tiền cho tác giả của WannaCry để nhận mã giải cứu hay không là quyết định của bạn. Hiện chưa có báo cáo nào về việc chúng có đưa mã giải mã cho nạn nhân sau khi nhận tiền hay không. Hiện chỉ mới 160 giao dịch trị giá khoảng 300.000 USD được gửi tới địa chỉ BitCoin mà tác giả cung cấp. Tại Việt Nam, giá “cứu” mỗi máy là 2 BitCoin đổi ra là 80 triệu đồng, không hề rẻ. 

3. Hiện có thông tin bên trong WannaCry tồn tại lỗi trong cách thức nó mã hóa dữ liệu, nên các chuyên gia bảo mật đang thử tìm cách khai thác và viết công cụ giải mã. Nếu dữ liệu quá quan trọng thì bạn có thể cất ổ cứng bị nhiễm WannaCry đi chờ công cụ này. WannaCry quá ảnh hướng nên giới chuyên gia sẽ để tâm và công sức làm phần mềm giải mã.

4. Nếu bạn không có gì để mất thì hãy format toàn bộ ổ cứng và cài lại Windows. Nên nhớ là chỉ FORTMAT TOÀN BỘ Ổ CỨNG thì mới sạch máy, chứ chỉ format ổ C rồi cài lại thì không giải quyết được vấn đề. 

Làm sao để bảo vệ máy tính khỏi bị ransomware tấn công?

Cho đến thời điểm này, việc giải mã tập tin đã bị nhiễm là rất khó. Tuy vậy, một công ty an ninh mạng nổi tiếng tên là Symantec đang tìm phương án giải mã dễ dàng hơn. Nếu không muốn bạn hoặc tổ chức của bạn trở thành nạn nhân của vụ tấn công WannaCry thì hãy làm theo các bước sau.

  • Luôn luôn cập nhật các phần mềm tường lửa và chống virus để bảo vệ máy tính.
  • Hệ điều hành nên được cập nhật thường xuyên, trong đó sẽ bao gồm các bản vá mới và tránh việc bị hacker khai thác các lỗ hổng.
  • Email là một trong những cách phổ biến để WannaCry và các ransomware tương tự xâm nhập máy tính. Vì thế đừng click hoặc mở các file tài liệu lạ.
  • Sao lưu tất cả dữ liệu quan trọng. Việc này sẽ giúp kẻ tấn công không có gì để “tóm” được bạn. Ngoài ra, bạn nên sao lưu trên máy chủ, các thiết bị lưu trữ ngoài hoặc các hình thức khác không dùng tới Internet.

Để loại bỏ WannaCry, bạn sẽ cần sử dụng chế độ Safe Mode. Dưới đây là hướng dẫn bật chế độ Safe Mode trên máy tính. Cũng lưu ý là thông tin dưới đây có được dựa trên tìm kiếm và không đảm bảo chắc chắn máy tính của bạn có thể loại bỏ WannaCry. Để làm theo hướng dẫn dưới đây, bạn sẽ cần đọc bài viết này trên thiết bị khác vì trong quá trình thao tác, bạn sẽ phải tắt trình duyệt.

Cách bật chế độ Safe Mode

  • Trên Windows XP và Windows 7: Chọn F8 trước khi Windows khởi động. Trên Boot Menu, chọn Safe Mode with Networking và nhấp Enter.
  • Trên Windows 8 và 8.1: Vào Start Menu > Control Panel > Administrative Tools > System Configuration. Sau đó tìm và chọn Safe Boot và chọn Networking > Restart. Máy tính của bạn sẽ mở sang chế độ Safe Mode.
  • Trên Windows 10: Vào Start Menu > Settings > Update and Security > Recovery. Sau đó, bên dưới Advanced Startup, hãy click vào Restart Now và để máy khởi động lại. Khi máy cho phép lựa chọn Choose Option Screen, hãy click Troubleshoot > Advanced Options > StartupSettings > Enable Safe Mode with Networking Option và nhấp Enter.

Chú ý: Trên một số máy tính, Boot Key lại không phải là F8, khi đó bạn sẽ cần xem lại hướng dẫn của nhà sản xuất để tìm ra phím này.

Làm thế nào để loại bỏ WannaCry?

Hãy đọc các bước cẩn thận và đảm bảo bạn biết rõ mình đang làm gì trước khi thao tác.

Loại bỏ các quá trình bị nhiễm

Giờ bạn cần tìm các quá trình (process) đang chạy trên máy có liên quan tới WannaCry. Nhấn tổ hợp phím Ctrl + Shift + Esc để mở hộp thoại Task Manager. Sau đó hãy nhìn kĩ trên thẻ Processes để tìm các entry lạ.

Thông thường các quá trình nhiễm độc sẽ rất ngốn tài nguyên máy tính, như CPU hay RAM. Nếu thấy entry bất thường, hãy click chuột phải, và chọn Open the File > Delete Everything. Hãy đảm bảo chỉ làm vậy khi bạn chắc chắn quy trình có liên quan tới WannaCry.

Các chương trình khởi động

Giờ hãy mở Startup Programs bằng cách gõ System Configuration vào ô tìm kiếm của Windows. Sau đó chọn kết quả đầu tiên và bạn sẽ thấy danh sách các chương trình.

Nếu dùng Windows 10, bạn có thể thấy Startup Programs ngay trong Task Manager. Trên tất cả các phiên bản Windows, nếu thấy chương trình nào có tên nhà phát triển lạ hoặc nghi ngờ, hãy bỏ chọn và click OK.

Registry

Mở hộp thoại Run của Windows hoặc nhấn tổ hợp phím Windows + R. Sau đó gõ regedit và nhấn Enter.

Khi thấy Registry Editor, nhấn Ctrl + F và gõ tên Ransom.CryptXXX hoặc WannaCry. Hãy xóa tất cả những gì có liên quan tới tên này và chọn Find Next để tìm các kết quả tiếp theo.

Các tập tin dính virus

Cuối cùng, đừng quên xóa tất cả các tập tin có khả năng nhiễm virus. Trên Start Menu, lần lượt gõ từng lựa chọn sau: %AppData%, %LocalAppData%, %ProgramData%, %WinDir%, %Temp%. Mỗi lần tìm kiếm bằng một trong những cái tên trên, một thư mục sẽ hiện ra, hãy chọn lọc theo thời gian và xóa những thư mục, tập tin gần đây nhất. Ngoài ra, bạn có thể vào thư mục Temp để xóa mọi thứ trong đó.

Dù không đảm bảo 100% nhưng những hướng dẫn trên đây có thể hữu ích để giúp bạn loại bỏ WannaCry  khỏi máy tính của mình. 

nguồn tổng hợp