Cảnh báo biến thể mới của virus mã hóa dữ liệu tống tiền WannaCry

Thứ năm - 15/06/2017 23:00 852 0

Với Virus mã hoá dữ liệu tống tiền trước đây khi người dùng mở file đính kèm mới bị kích hoạt thì giờ đây chỉ cần 1 máy bị nhiễm trong mạng nó sẽ tự quét và lây nhiễm. WannaCry sẽ quét toàn bộ các máy tính trong cùng mạng để tìm kiếm thiết bị chứa lỗ hổng EternalBlue của dịch vụ SMB (trên hệ điều hành Windows). Từ đó, mã độc có thể lây lan vào các máy có lỗ hổng mà không cần người dùng phải thao tác trực tiếp với file đính kèm hay link độc hại.

Hướng dẫn xử lý virus tống tiền từ Microsoft

1. Đối với các máy tính sử dụng Windows XP, sử dụng bản cập nhật mới nhất dành riêng cho sự vụ này tại:

https://www.microsoft.com/en-us/download/details.aspx?id=55245&WT.mc_id=rss_windows_allproducts hoặc tìm kiếm theo từ khóa bản cập nhật KB4012598 trên trang chủ của Microsoft.com

2. Người dùng cũng phải cẩn trọng khi nhận được email có đính kèm và các đường link lạ được gửi trong email, trên các mạng xã hội, chat… Thậm chí, cần thận trọng khi mở file đính kèm ngay cả khi nhận được từ địa chỉ quen thuộc, sử dụng các công cụ kiểm tra phần mềm độc hại trực tuyến hoặc có bản quyền trên máy tính với các file này trước khi mở ra.

Đặc biệt, người dùng không mở các đường dẫn có đuôi .hta hoặc đường dẫn có cấu trúc không rõ ràng, các đường dẫn rút gọn link; thực hiện các biện pháp lưu trữ dữ liệu quan trọng.

3. Đối với các quản trị viên hệ thống của tổ chức, doanh nghiệp cần kiểm tra ngay lập tức các máy chủ và tạm thời khóa (block) các dịch vụ đang sử dụng các cổng 445/137/138/139.

4. Tạo các bản snapshot đối với các máy chủ ảo hóa đề phòng việc bị tấn công; Có biện pháp cập nhật các máy trạm đang sử dụng hệ điều hành Windows. Các tổ chức cũng cần cập nhật cơ sở dữ liệu cho các máy chủ Antivirus Endpoint(Kas, Norton Server/Client...) đang sử dụng. Đối với hệ thống chưa sử dụng các công cụ này thì cần triển khai sử dụng các phần mềm Endpoint có bản quyền và cập nhật mới nhất ngay cho các máy trạm.

5. Tận dụng các giải pháp đảm bảo an toàn thông tin đang có sẵn trong tổ chức như Firewall, IDS/IPS, SIEM… để theo dõi, giám sát và bảo vệ hệ thống. Cập nhật các bản cập nhật từ các hãng bảo mật đối với các giải pháp đang có sẵn. Thực hiện ngăn chặn, theo dõi domains đang được mã độc WannaCry sử dụng để là xác định được các máy tính bị nhiễm trong mạng để có biện pháp xử lý kịp thời.

6. Bên cạnh đó, cần cân nhắc việc ngăn chặn (block) việc sử dung Tor trong mạng, lưu trữ dữ liệu quan trọng, cảnh người dùng và liên hệ ngay với các cơ quan chức năng cũng như các tổ chức, doanh nghiệp trong lĩnh vực an toàn thông tin để được hỗ trợ khi cần thiết./

TTCNTT