WannaCry – Cơn lốc mã độc nguy hiểm mã hóa dữ liệu tống tiền người dùng

Nỗi kinh hoàng đáng sợ cho người người dùng máy tính bởi một loại Ransomeware được biết đến với cái tên “WannaCry” đang càn quét tại 150 quốc gia với hơn 200.000 máy bị lây nhiễm và được dự báo sẽ tiếp tục lan rộng gây ra mối đe dọa khôn lường cho nhiều hệ thống máy tính khi được bật. Và câu hỏi đặt ra ngay bây giờ là chúng ta phải làm gì để có thể ngăn chặn và phòng tránh virus tấn công máy tính khi sử dụng?

WannaCry - một mã độc cực nguy hiểm khi nó không chỉ có khả năng lây lan nhanh, mà còn có thể mã hóa dữ liệu trên máy tính nạn nhân và buộc người dùng phải trả 300 USD bằng đồng Bitcoin để mở khóa lấy lại dữ liệu, số tiền phải trả sẽ tăng theo giờ. Đáng sợ hơn là các mã độc này sẽ xóa sạch toàn bộ các dữ liệu đã bị mã hóa nếu người dùng không chịu trả tiền và khả năng giải mã phục hồi lại dữ liệu là điều không thể. Nhiều cơ quan, tổ chức của các quốc gia trên thế giới đã bị nhiễm loại virus này, đặc biệt là các bệnh viện tại nước Anh đã bị loại mã độc tấn công và mã hóa toàn bộ các hồ sơ bệnh án của người bệnh, điều này làm đe dọa đến tính mạng của rất nhiều bệnh nhân.

WannaCry tưởng chừng đã được chặn đứng bởi một blogger 22 tuổi người Anh được biết đến với tài khoản Twitter @malwaretechblog khi tìm ra và mua tên miền chưa được đăng ký mà loại mã độc dùng để điều khiển và phát tán qua những máy tính có kết nối đến địa chỉ này, sau đó chuyển hướng những kết nối này sang một máy chủ an toàn. Nhưng chủng virus phiên bản 2.0 đã xuất hiện đe dọa nghiêm trọng tới an ninh mạng toàn thế giới. Theo giám đốc cơ quan Cảnh sát châu Âu ông Robert Wainwright cho biết đã có tới 200.000 nạn nhân trong vụ tấn công thuộc khoảng 150 quốc gia. Con số này sẽ tăng lên trong tuần này.

Trong lúc thế giới đang vật lộn với việc chống lại sự lây lan như vũ bão của WannaCry cũng như tìm cách khắc phục hậu quả nặng nề của nó khi lây nhiễm vào trong hệ thống, một câu hỏi mà có lẽ ai cũng đang đặt ra: Cách thức tấn công của mã độc tống tiền WannaCry ra sao?

Các hãng bảo mật này đã bắt đầu theo dõi và phân tích các hành vi của malware độc hại này trên từ ngày 12 tháng 5, họ nhận ra cách thức tấn công của WannaCry là sử dụng Công cụ tấn công mạng EternalBlue được phát hành bởi nhóm hacker Shadow vào ngày 14 tháng 4 năm 2017. EternalBlue khai thác lỗ hổng MS17-01, giao thức SMB (Server Message Block) của Microsoft để thực thi mã độc và tiến hành cài đặt WannaCry vào hệ thống để mã hóa toàn bộ tập tin người dùng. Sau khi xâm nhập vào các máy tính, mã độc tống tiền mã hóa ổ đĩa cứng của máy tính, sau đó cố gắng khai thác lỗ hổng SMB để lây lan sang các máy tính ngẫu nhiên trên Internet, và các máy tính trên cùng mạng LAN. Do được mã hóa theo thuật toán RSA 2048-bit rất phức tạp, tính đến thời điểm hiện tại, gần như không có một cách nào để giải mã các file đã bị WannaCry mã hóa.

Dù phần nào đã chặn được sự lây lan của WannaCry, nhưng các máy tính đã bị nhiễm loại ransomware đã quá muộn để có thế cứu lấy những phần dữ liệu trong máy. Vì vậy biện pháp tốt nhất hiện nay là phòng tránh bằng cách sử dung các hệ điều hành windown bản quyền để thường xuyên được cập nhật các bản vá lỗi bảo mật từ microsoft, cài đặt các phần mềm diệt virus có phí để sử dụng những công cụ phát hiện ngăn chặn các mã độc thực thi, những link liên kết không được an toàn có chứa các mã độc khi bạn truy cập vào môi trường internet đầy những mối nguy hiểm mà không được báo trước với dữ liêu của bạn.