Hiện tại sự kiện con sâu máy tính Wannacry đã làm dậy sóng cộng đồng mạng và những nơi sử dụng máy vi tính Windows. Rất nhiều bài báo phân tích kỹ thuật sâu xa về Wannacry, cách phòng chống, bảo vệ. Các bạn nên tìm đọc để biết được và phòng tránh
Mục tiêu của bài này là hướng dẫn cách thức xử lý khi máy bị nhiễm wannacry thì bạn phải làm sao, làm sao để tránh lây nhiễm cho những máy khác trong mạng LAN, lây nhiễm cho những máy khác trong gia đình, người thân, cơ quan, đồng nghiệp. Bởi vì con Wannacry này khả năng tự lây lan rất nhanh, không cần bạn phải kích hoạt gì cả.
Cơ chế lây lan của wannacry
Wannacry khai thác lỗ hổng 0-day của dịch vụ chia sẻ file SMB trên Windows. Dịch vụ SMB là một dịch vụ đã có từ rất lâu được tích hợp trên Windows giúp 2 máy trong cùng 1 mạng có thể "share folders" và có thể ánh xạ thành 1 ổ đĩa mạng. Không may là dịch vụ này bị lỗi, và kẻ tấn công phát hiện được cách khai thác để có thể thông qua mạng, cài mã độc vào và tự kích hoạt, nhân bản. Chính vì điều này, con Wannacry đã có cơ hội lây lan rất nhanh và tấn công nhiều máy. Cho nên nếu chặn/tắt/disable dịch vụ Chia sẻ file, SMB của Windows thì khả năng "lây lan" sẽ thấp hơn.
Làm gì khi bị nhiễm wannacry: cách ly!
Với cơ chế lây lan tự động như vậy, nên nếu 1 máy bị nhiễm Wannacry nằm chung trong mạng Lan, nó sẽ dò quét các máy xung quanh để tìm nạn nhân kế tiếp. Do đó, nếu bạn bị dính wannacry thì việc cần làm đầu tiên là cách ly máy tính ra khỏi mạng tránh lây nhiễm cho người khác. Nếu đang dùng Wifi thì hãy tắt card mạng wifi của bạn, nếu đang nối mạng có dây thì rút cáp, tắt switches nếu cần thiết. Không mang máy ra dùng wifi công cộng, vì nó có thể lây lan nhanh hơn cho cộng đồng. Bảo vệ người khác cũng chính là bảo vệ mình!
Bước tiếp theo là đem máy cho người có kiến thức chuyên môn sâu hỗ trợ. Format lại ổ đĩa và cài mới lại máy tính. Sau đó restore lại các dữ liệu mà bạn đã backup từ trước. Tuyệt đối không cố gắng restore dữ liệu khi máy vẫn còn wannacry trong đó. Vì xác suất rất cao là nó sẽ mã hóa cái đĩa backup của bạn khi cắm vào.
Khi cài lại máy cần cài lại trong môi trường "sạch" đã được kiểm soát, vì lúc mới cài, máy bạn vẫn còn lỗ hổng như trước khi bị nhiễm. Phải cài các bạn vá sau khi cài xong hệ điều hành, cài antivirus, xong xuôi rồi mới cài các phần mềm khác. Đảm bảo máy tính đã được patch xong rồi mới cho đi ra sử dụng các mạng wifi công cộng.
Hãy WannaSmile thay vì WannaCry
Cả thế giới đang chung tay phòng chống đại dịch Wannacry, có thể có những phiên bản tiếp theo khó trị hơn, nguy hiểm hơn. Nhưng khi biết cơ chế, cách lây nhiễm, cách bảo vệ mình và người khác thì chúng ta sẽ yên tâm hơn khi sử dụng máy vi tính, sử dụng mạng.
Trong thế giới bất ổn và đầy rủi ro thế này, hãy luôn mỉm cười với nghịch cảnh để đối mặt và vượt qua. Con sâu Wannacry muốn chúng ta khóc, nhưng chúng ta vẫn mỉm cười thì tinh thần đó về cơ bản là chúng ta đã chiến thắng rồi.
Chúc các bạn an toàn trên không gian mạng và luôn giữ được tinh thần lạc quan.
Mục tiêu của bài này là hướng dẫn cách thức xử lý khi máy bị nhiễm wannacry thì bạn phải làm sao, làm sao để tránh lây nhiễm cho những máy khác trong mạng LAN, lây nhiễm cho những máy khác trong gia đình, người thân, cơ quan, đồng nghiệp. Bởi vì con Wannacry này khả năng tự lây lan rất nhanh, không cần bạn phải kích hoạt gì cả.
Cơ chế lây lan của wannacry
Wannacry khai thác lỗ hổng 0-day của dịch vụ chia sẻ file SMB trên Windows. Dịch vụ SMB là một dịch vụ đã có từ rất lâu được tích hợp trên Windows giúp 2 máy trong cùng 1 mạng có thể "share folders" và có thể ánh xạ thành 1 ổ đĩa mạng. Không may là dịch vụ này bị lỗi, và kẻ tấn công phát hiện được cách khai thác để có thể thông qua mạng, cài mã độc vào và tự kích hoạt, nhân bản. Chính vì điều này, con Wannacry đã có cơ hội lây lan rất nhanh và tấn công nhiều máy. Cho nên nếu chặn/tắt/disable dịch vụ Chia sẻ file, SMB của Windows thì khả năng "lây lan" sẽ thấp hơn.
Làm gì khi bị nhiễm wannacry: cách ly!
Với cơ chế lây lan tự động như vậy, nên nếu 1 máy bị nhiễm Wannacry nằm chung trong mạng Lan, nó sẽ dò quét các máy xung quanh để tìm nạn nhân kế tiếp. Do đó, nếu bạn bị dính wannacry thì việc cần làm đầu tiên là cách ly máy tính ra khỏi mạng tránh lây nhiễm cho người khác. Nếu đang dùng Wifi thì hãy tắt card mạng wifi của bạn, nếu đang nối mạng có dây thì rút cáp, tắt switches nếu cần thiết. Không mang máy ra dùng wifi công cộng, vì nó có thể lây lan nhanh hơn cho cộng đồng. Bảo vệ người khác cũng chính là bảo vệ mình!
Đoạn video demo cho thấy tốc độ lây lan rất nhanh trong mạng LAN của Wannacry Ransomeware
Bước tiếp theo là đem máy cho người có kiến thức chuyên môn sâu hỗ trợ. Format lại ổ đĩa và cài mới lại máy tính. Sau đó restore lại các dữ liệu mà bạn đã backup từ trước. Tuyệt đối không cố gắng restore dữ liệu khi máy vẫn còn wannacry trong đó. Vì xác suất rất cao là nó sẽ mã hóa cái đĩa backup của bạn khi cắm vào.
Khi cài lại máy cần cài lại trong môi trường "sạch" đã được kiểm soát, vì lúc mới cài, máy bạn vẫn còn lỗ hổng như trước khi bị nhiễm. Phải cài các bạn vá sau khi cài xong hệ điều hành, cài antivirus, xong xuôi rồi mới cài các phần mềm khác. Đảm bảo máy tính đã được patch xong rồi mới cho đi ra sử dụng các mạng wifi công cộng.
Hãy WannaSmile thay vì WannaCry
Cả thế giới đang chung tay phòng chống đại dịch Wannacry, có thể có những phiên bản tiếp theo khó trị hơn, nguy hiểm hơn. Nhưng khi biết cơ chế, cách lây nhiễm, cách bảo vệ mình và người khác thì chúng ta sẽ yên tâm hơn khi sử dụng máy vi tính, sử dụng mạng.
Trong thế giới bất ổn và đầy rủi ro thế này, hãy luôn mỉm cười với nghịch cảnh để đối mặt và vượt qua. Con sâu Wannacry muốn chúng ta khóc, nhưng chúng ta vẫn mỉm cười thì tinh thần đó về cơ bản là chúng ta đã chiến thắng rồi.
Chúc các bạn an toàn trên không gian mạng và luôn giữ được tinh thần lạc quan.
Nhận xét
Đăng nhận xét