Làm thế nào để bảo vệ máy tính của bạn khỏi Virus Ransomware WannaCry

Bởi

18/05/2017

346

Làm thế nào để bảo vệ máy tính của bạn khỏi Virus Ransomware WannaCry
Cách đây vài ngày, khách hàng của chúng tôi đã phản ánh về cuộc tấn công lớn của virus ransomware trên toàn thế giới.Trong cuộc tấn công này, files sẽ bị mã hóa với phần mở rộng của dự liệu có dạng “.wcry” được thêm vào tên của file.
Qua phân tích của chúng tôi về cuộc tấn công, virus ransomware này có tên là “WannaCry”, nó được bắt đầu thông qua việc thực hiện điều khiển mã từ xa SMBv2 trong Microsoft Windows, Lỗi khai thác này (có tên mã là “EternalBlue”) đã công bố trên mạng Internet qua một nhóm công khai dữ liệu NSA có tên là Shadow Brokers vào 14 tháng 4 năm 2017.

Chính vì vậy, chúng tôi khuyến cáo các bạn nên để ý những ghi chú sau:
-Hãy cẩn thận khi nhấp vào các liên kết có hại trong email của bạn
-Hãy thận trọng khi truy cập các trang web không an toàn hoặc không đáng tin cậy
-Đừng bao giờ nhấp chuột vào một liên kết mà bạn cho là thiếu sự tin cậy trên một trang web hoặc truy cập từ facebook hay các ứng dụng nhắn tin khác như Watsab và các ứng dụng khác
-Nếu bạn nhận được một tin nhắn từ bạn của bạn cùng với một liên kết, trước khi mở liên kết bạn hãy hỏi họ để xác nhận lại.
-Sao lưu thường xuyên và định kỳ dữ liệu: Thời gian thực, trực tuyến và ngoại tuyến
-Nhận thức được các tin nhắn e-mail gian lận sử dụng các tên tương tự phổ biến như PayePal thay vì PayPal hoặc sử dụng tên dịch phổ biến mà không có dấu phẩy hoặc ký tự quá dài
-Sử dụng phần mềm diệt virus và cập nhật liên tục.
-Sử dụng Windows Update để cập nhật thu hẹp khoảng cách.
-Đóng cổng 139, 445, 3389
-Tắt dịch vụ SMB
-Cập nhật tất cả hệ thống của bạn lên phiên bản mới nhất
-Chặn địa chỉ IP của C&C Ransomware Server trên IDS-IPS-Firewall…
-Cập nhật hoặc sao lưu dữ liệu của bạn vào dịch vụ lưu trữ trực tuyến: Dropbox, Owncloud, Google Driver …
WannaCry-WannaDecrypt0r-Vũ khí công nghệ cao của NSA và sự hỗ trợ từ Ransomware Worm
-Tên virus: WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY
-Đối tượng: đối với các phiên bản trước window 10 đều dễ bị tấn công bởi loại virus này
-Tiền chuộc: khoảng từ 300$-600$.Có mã ‘rm’ có tác dụng xóa các files chứa trong virus này.Dường như để khởi động lại khi virus tấn công
– Cơ chế: virus này chạy qua mỗi phiên trên một hệ thống để chạy ransomware như người dùng. Nó cũng xây dựng một DOUBLEPULSAR backdoor. Nó làm hỏng kích thước gói tin để khôi phục một cách khó khăn hơn (nguồn: malwarebytes)
-Nếu trang web www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com xuất hiện thì virus sẽ xuất hiện thay vì lây nhiễm vào máy chủ lưu trữ. (Nguồn: malwarebytes). Miền này đã được sinkholed, ngăn chặn sự lây lan của nó.

– Bản tin an ninh và cập nhật (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx)
-Bản vá đầu tiên năm 2017(https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/)
-Nguồn tự hủy của virus (https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/)

Sự lây nhiễm :

NHS (uk) turning away patients, unable to perform x-rays. (list of affected hospitals)
Telefonica (spain) (https://twitter.com/SkyNews/status/863044193727389696)
power firm Iberdrola and Gas Natural (spain)
FedEx (us) (https://twitter.com/jeancreed1/status/863089728253505539)
University of Waterloo (us)
Russia interior ministry & Megafon (russia)
VTB (russian bank) https://twitter.com/vassgatov/status/863175506790952962
Russian Railroads (RZD) https://twitter.com/vassgatov/status/863175723846176768
Portugal Telecom
Сбера bank (russia)
Shaheen Airlines (india, claimed on twitter)
Train station in frankfurt (germany)
Neustadt station (germany)
the entire network of German Rail seems to be affected (@farbenstau)
in China secondary schools and universities had been affected (source)
A Library in Oman (@99arwan1)
China Yanshui County Public Security Bureau (https://twitter.com/95cnsec/status/863292545278685184)
Renault (France) (http://www.lepoint.fr/societe/renault-touche-par-la-vague-de-cyberattaques-internationales-13-05-2017-2127044_23.php) (http://www.lefigaro.fr/flash-eco/2017/05/13/97002-20170513FILWWW00031-renault-touche-par-la-vague-de-cyberattaques-internationales.php)
Schools/Education (France) https://twitter.com/Damien_Bancal/status/863305670568837120

University of Milano-Bicocca (italy)
Mẫu phần mềm độc hại

hxxps://www.hybrid-analysis.com/sample/ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa?environmentId=100
hxxps://transfer.sh/PnDIl/CYBERed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.EXE
hxxps://transfer.sh/ZhnxR/CYBER1be0b96d502c268cb40da97a16952d89674a9329cb60bac81a96e01cf7356830.EXE (main dll)

Binary blob in PE crypted with pass ‘WNcry@2ol7’, credits to ens!
Tweets thông tin

Sample released by ens: https://twitter.com/the_ens/status/863055007842750465
Onion C&Cs extracted: https://twitter.com/the_ens/status/863069021398339584
EternalBlue confirmed: https://twitter.com/kafeine/status/863049739583016960
Shell commands: https://twitter.com/laurilove/status/863065599919915010
Maps/stats: https://twitter.com/laurilove/status/863066699888824322
Core DLL: https://twitter.com/laurilove/status/863072240123949059
Hybrid-analysis: https://twitter.com/PayloadSecurity/status/863024514933956608
Impact assessment: https://twitter.com/CTIN_Global/status/863095852113571840
Uses DoublePulsar: https://twitter.com/laurilove/status/863107992425779202
Your machine is attacking others: https://twitter.com/hackerfantastic/status/863105127196106757
Tor hidden service C&C: https://twitter.com/hackerfantastic/status/863105031167504385
FedEx infected via Telefonica? https://twitter.com/jeancreed1/status/863089728253505539
HOW TO AVOID INFECTION: https://twitter.com/hackerfantastic/status/863070063536091137
More of this to come: https://twitter.com/hackerfantastic/status/863069142273929217
C&C hosts: https://twitter.com/hackerfantastic/status/863115568181850113
Crypted files will be deleted after countdown: https://twitter.com/laurilove/status/863116900829724672
Claim of attrib [take with salt]: https://twitter.com/0xSpamTech/status/863058605473509378
Track the bitcoins: https://twitter.com/bl4sty/status/863143484919828481
keys in pem format: https://twitter.com/e55db081d05f58a/status/863109716456747008

Chi tiết mã hóa

encrypted via AES-128-CBC (custom implementation in the binary)
AES key generated with a CSPRNG, CryptGenRandom
AES key is encrypted by RSA-2048 (windows RSA implementation)
https://haxx.in/key1.bin (the ransomware pubkey, used to encrypt the aes keys)
https://haxx.in/key2.bin (the dll decryption privkey) the CryptImportKey() rsa key blob dumped from the DLL by blasty.

Địa chỉ tiền chuộc Bitcoin

3 địa chỉ mã hoá cứng vào phần mềm độc hại.

Trung tâm C&C

gx7ekbenv2riucmf.onion
57g7spgrzlojinas.onion
xxlvbrloxvriy2c5.onion
76jdd2ir2embyv47.onion

Languages
Tất cả các thông tin về tiền chuộc ngôn ngữ có sẵn ở đây: https://transfer.sh/y6qco/WANNACRYDECRYPTOR-Ransomware-Messages-all-langs.zip

m_bulgarian, m_chinese (simplified), m_chinese (traditional), m_croatian, m_czech, m_danish, m_dutch, m_english, m_filipino, m_finnish, m_french, m_german, m_greek, m_indonesian, m_italian, m_japanese, m_korean, m_latvian, m_norwegian, m_polish, m_portuguese, m_romanian, m_russian, m_slovak, m_spanish, m_swedish, m_turkish, m_vietnamese

Kiểu file

Các loại tệp tin mà nó tìm kiếm để mã hóa là:
doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

Một số chuỗi quan trọng khác
BAYEGANSRV\administrator Smile465666SA wanna18@hotmail.com

credit: nulldot https://pastebin.com/0LrH05y2

Định dạng tệp được mã hóa

&lt;64-bit SIGNATURE&gt;        - WANACRY!
- 256 for 2048-bit keys, cannot exceed 4096-bits
           - 256 bytes if keys are 2048-bits
&lt;32-bit value&gt;            - unknown
&lt;64 bit file size&gt;        - return by GetFileSizeEx
          - with custom AES-128 in CBC mode

Tín dụng để đảo ngược thông tin định dạng tập tin này: cyg_x11

Lỗ hổng công khai
Lỗ hổng cụ thể được khai thác là ETERNALBLUE.

Được kết hợp với các công cụ khai thác lỗi SMB mà NSA (Cơ quan an ninh quốc gia Hoa Kỳ) phát triển bí mật nhưng bị nhóm ShadowBroker đánh cắp và công khai lên mạng. Microsoft đã vá lỗ hổng này vào ngày 14 tháng 3 năm 2017. Họ không có lỗi “0 Day” nào kể từ thời điểm phát hành.

Làm thế nào để bảo vệ máy tính của bạn khỏi Virus Ransomware WannaCry

BÌNH LUẬN Hủy trả lời

BÀI VIẾT PHỔ BIẾN

Cách tắt vĩnh viễn Windows Defender trên Windows 10

Hướng dẫn cài đặt và sử dụng VPN Client to Site...

Phân biệt mầu sắc ổ cứng Western Digital

MỤC XEM NHIỀU

BÀI VIẾT LIÊN QUANXEM THÊM

Cách truy cập Gmail trên Desktop của bạn

Cách tắt tính năng liên kết điện thoại đến máy tính trên Windows 10

Windows 10 19H1 có gì mới