Làm thế nào để bảo vệ máy tính của bạn khỏi Virus Ransomware WannaCry

346

Làm thế nào để bảo vệ máy tính của bạn khỏi Virus Ransomware WannaCry
Cách đây vài ngày, khách hàng của chúng tôi đã phản ánh về cuộc tấn công lớn của virus ransomware trên toàn thế giới.Trong cuộc tấn công này, files sẽ bị mã hóa với phần mở rộng của dự liệu có dạng “.wcry” được thêm vào tên của file.
Qua phân tích của chúng tôi về cuộc tấn công, virus ransomware này có tên là “WannaCry”, nó được bắt đầu thông qua việc thực hiện điều khiển mã từ xa SMBv2 trong Microsoft Windows, Lỗi khai thác này (có tên mã là “EternalBlue”) đã công bố trên mạng Internet qua một nhóm công khai dữ liệu NSA có tên là Shadow Brokers vào 14 tháng 4 năm 2017.

Chính vì vậy, chúng tôi khuyến cáo các bạn nên để ý những ghi chú sau:
-Hãy cẩn thận khi nhấp vào các liên kết có hại trong email của bạn
-Hãy thận trọng khi truy cập các trang web không an toàn hoặc không đáng tin cậy
-Đừng bao giờ nhấp chuột vào một liên kết mà bạn cho là thiếu sự tin cậy trên một trang web hoặc truy cập từ facebook hay các ứng dụng nhắn tin khác như Watsab và các ứng dụng khác
-Nếu bạn nhận được một tin nhắn từ bạn của bạn cùng với một liên kết, trước khi mở liên kết bạn hãy hỏi họ để xác nhận lại.
-Sao lưu thường xuyên và định kỳ dữ liệu: Thời gian thực, trực tuyến và ngoại tuyến
-Nhận thức được các tin nhắn e-mail gian lận sử dụng các tên tương tự phổ biến như PayePal thay vì PayPal hoặc sử dụng tên dịch phổ biến mà không có dấu phẩy hoặc ký tự quá dài
-Sử dụng phần mềm diệt virus và cập nhật liên tục.
-Sử dụng Windows Update để cập nhật  thu hẹp khoảng cách.
-Đóng cổng 139, 445, 3389
-Tắt dịch vụ SMB

-Cập nhật tất cả hệ thống của bạn lên phiên bản mới nhất
-Chặn địa chỉ IP của C&C Ransomware Server trên IDS-IPS-Firewall…
-Cập nhật hoặc sao lưu dữ liệu của bạn vào dịch vụ lưu trữ trực tuyến: Dropbox, Owncloud, Google Driver …
WannaCry-WannaDecrypt0r-Vũ khí công nghệ cao của NSA và sự hỗ trợ từ Ransomware Worm
-Tên virus: WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY
-Đối tượng: đối với các phiên bản trước window 10 đều dễ bị tấn công bởi loại virus này
-Tiền chuộc: khoảng từ 300$-600$.Có mã ‘rm’ có tác dụng xóa các files chứa trong virus này.Dường như để khởi động lại khi virus tấn công
– Cơ chế: virus này chạy qua mỗi phiên trên một hệ thống để chạy ransomware như người dùng. Nó cũng xây dựng một DOUBLEPULSAR backdoor. Nó làm hỏng kích thước gói tin để khôi phục một cách khó khăn hơn (nguồn: malwarebytes)
-Nếu trang web www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com xuất hiện thì virus sẽ xuất hiện thay vì lây nhiễm vào máy chủ lưu trữ. (Nguồn: malwarebytes). Miền này đã được sinkholed, ngăn chặn sự lây lan của nó.

– Bản tin an ninh và cập nhật (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx)
-Bản vá đầu tiên năm 2017(https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/)
-Nguồn tự hủy của virus (https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/)

Sự lây nhiễm :

University of Milano-Bicocca (italy)
Mẫu phần mềm độc hại

Binary blob in PE crypted with pass ‘WNcry@2ol7’, credits to ens!
Tweets thông tin

Chi tiết mã hóa

  • encrypted via AES-128-CBC (custom implementation in the binary)
  • AES key generated with a CSPRNG, CryptGenRandom
  • AES key is encrypted by RSA-2048 (windows RSA implementation)
  • https://haxx.in/key1.bin (the ransomware pubkey, used to encrypt the aes keys)
  • https://haxx.in/key2.bin (the dll decryption privkey) the CryptImportKey() rsa key blob dumped from the DLL by blasty.

Địa chỉ tiền chuộc Bitcoin

3 địa chỉ mã hoá cứng vào phần mềm độc hại.

Trung tâm C&C

  • gx7ekbenv2riucmf.onion
  • 57g7spgrzlojinas.onion
  • xxlvbrloxvriy2c5.onion
  • 76jdd2ir2embyv47.onion

Languages
Tất cả các thông tin về tiền chuộc ngôn ngữ có sẵn ở đây: https://transfer.sh/y6qco/WANNACRYDECRYPTOR-Ransomware-Messages-all-langs.zip

m_bulgarian, m_chinese (simplified), m_chinese (traditional), m_croatian, m_czech, m_danish, m_dutch, m_english, m_filipino, m_finnish, m_french, m_german, m_greek, m_indonesian, m_italian, m_japanese, m_korean, m_latvian, m_norwegian, m_polish, m_portuguese, m_romanian, m_russian, m_slovak, m_spanish, m_swedish, m_turkish, m_vietnamese

Kiểu file

Các loại tệp tin mà nó tìm kiếm để mã hóa là:
doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

Một số chuỗi quan trọng khác
BAYEGANSRV\administrator Smile465666SA wanna18@hotmail.com

credit: nulldot https://pastebin.com/0LrH05y2

Định dạng tệp được mã hóa

<64-bit SIGNATURE>        - WANACRY!
- 256 for 2048-bit keys, cannot exceed 4096-bits
           - 256 bytes if keys are 2048-bits
<32-bit value>            - unknown
<64 bit file size>        - return by GetFileSizeEx
          - with custom AES-128 in CBC mode

Tín dụng để đảo ngược thông tin định dạng tập tin này: cyg_x11

Lỗ hổng công khai
Lỗ hổng cụ thể được khai thác là ETERNALBLUE.

Được kết hợp với các công cụ khai thác lỗi SMB mà NSA (Cơ quan an ninh quốc gia Hoa Kỳ) phát triển bí mật nhưng bị nhóm ShadowBroker đánh cắp và công khai lên mạng. Microsoft đã vá lỗ hổng này vào ngày 14 tháng 3 năm 2017. Họ không có lỗi “0 Day” nào kể từ thời điểm phát hành.