Virus Wanna Cry là gì ? Cách diệt Virus này thế nào ?

Virus Wanna Cry một loại Virus mới hiện đang đe dọa đến an ninh mạng trên toàn thế giới, với một cách xâm nhập qua lỗ hỏng giao thức SMB trên hệ điều hành Windows nó đang làm khốn khổ hàng trăm nghìn máy tính trên toàn thế giới trong đó có Việt Nam.

Virus Wanna Cry là gì ? Cách diệt phòng chống nó như thế nào ?

Virus Wanna Cry là gì ?

WannaCry là loại mã độc khi thâm nhập vào thiết bị, máy tính của người dùng hoặc máy tính trong hệ thống doanh nghiệp sẽ tự động mã hoá hàng loạt các tập tin theo những định dạng mục tiêu như văn bản tài liệu, hình ảnh... Người dùng cá nhân cũng như doanh nghiệp sẽ phải trả một khoản tiền không hề nhỏ nếu muốn lấy lại các dữ liệu đó.

Virus Wanna Cry xâm nhập như thế nào ?

Về cách lây nhiễm, mã độc WannaCry tìm ra lỗ hổng bảo mật và lây nhiễm chúng bên trong tổ chức bằng cách khai thác lỗ hổng được công bố bởi công cụ NSA đã bị đánh cắp bởi nhóm hacker The Shadow Brokers. Mã độc tống tiền này chủ yếu khai thác vào lỗ hổng của giao thức SMB mà các tổ chức cá nhân chưa vá lỗ hổng kịp thời, tập trung vào Win2k8 R2 và Win XP.

Kiểu tấn công này khác với truyền thống là phải dùng sâu máy tính, tức chương trình tự nhân bản chính nó vào hệ thống máy tính và lừa người dùng click chuột vào link độc hại.

Thiệt hại do Virus Wanna Cry gây ra tới thời điểm này

Ước tính vụ tấn công mạng diễn ra trên quy mô toàn cầu, ảnh hưởng tới khoảng 99 quốc gia, trong đó có Anh, Mỹ, Trung Quốc, Nga, Tây Ban Nha, Italy, Đài Loan (Trung Quốc), Việt Nam và nhiều quốc gia khác. Theo các chuyên gia của Intel, hiện lỗ hổng đã ghi nhận tại Hà Nội và Hồ Chí Minh, và có thể lan rộng trên toàn quốc.

Tính đến hết ngày 13/5, theo TheHackerNews, cuộc tấn công sử dụng mã độc tống tiền lớn nhất từ trước đến nay WannaCry đã lây nhiễm thành công hơn 200.000 máy tính sử dụng hệ điều hành Windows tại ít nhất 99 quốc gia. Chỉ ngay trong vài giờ đầu phát tán, số tiền nhóm tin tặc đứng đằng sau WannaCry thu được là khoảng 30.000 USD.

WannaCry 2.0 vừa được nhóm tin tặc phát tán và đang tiếp tục lây nhiễm sang hàng trăm nghìn máy tính trên toàn cầu.

Cách diệt phòng chống Virus Wanna Cry

Các bạn có thể bấm vào link này: https://intel.malwaretech.com/WannaCrypt.html

Theo nhận định từ chuyên gia CMC INFOSEC, trong tuần tới, nhóm tin tặc sẽ còn chứng kiến thêm rất nhiều biến thể mới của WannaCry cũng như các loại mã độc mới phức tạp hơn.

Vì vậy, việc làm cấp thiết trong thời điểm hiện tại là tạm thời disable SMB và liên tục cập nhật các bản vá lỗi với hệ điều hành Windows, đặc biệt là với các máy chủ. Bên cạnh đó, người dùng vẫn cần đề phòng việc mở các email và file lạ không rõ nguồn gốc.

Doanh nghiệp và người dùng có thể tải bản vá khẩn của Microsoft, dành cho lỗi trong giao thức SMB, sử dụng cho cả những phiên bản không còn được hỗ trợ bao gồm Windows XP, Vista, Windows8, Server2003 và 2008.

Bên cạnh đó, cần thường xuyên sao lưu dữ liệu và có các phương án backup dữ liệu của doanh nghiệp; đề phòng các link lạ, trong đó đối với các doanh nghiệp tốt nhất nên có một máy riêng để nhân viên remote khi họ nghi ngờ mail không an toàn; đối với người dùng cá nhân luôn cài phần mềm chống virus trên di động và máy tính, đặc biệt là các phần mềm chuyên biệt dành cho mã độc mã hoá dữ liệu.

Việc cần làm để phòng chống Virus Wanna Cry
- Tải ngay bản vá lỗi Virus Wanna Cry cho Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64: bản vá lỗi Virus Wanna Cry
- Cập nhật ngay các phiên bản hệ điều hành Windows đang sử dụng.
- Cập nhật ngay các chương trình Anti-vius đang sử dụng.
- Cẩn trọng khi nhận được email có đính kèm và các đường link lạ, trên các mạng xã hội.
- Xóa thông tin thẻ trên các website thanh toán/ mua sắm trực tuyến,…
- Không mở các link có đuôi HTA hoặc đường dẫn có cấu trúc không rõ ràng, các đường dẫn rút gọn link.
- Thực hiện biện pháp lưu trữ dữ liệu quan trọng.

Cách gỡ bỏ Ransomware Wannacry trên máy tính

Để diệt được Ransomware Wannacry cần phải bật chế độ Safe Mode tùy theo các hãng máy tính hay laptop khác nhau cũng như tùy hệ điều hành mà chúng ta mở Safe Mode theo một cách riêng.

Cách bật chế độ Safe Mode
- Trên Windows XP và Windows 7: Chọn F8 trước khi Windows khởi động. (Boot Menu tùy theo hãng máy các bạn nên tham khảo phím Boot Menu trên hãng máy mình đang dùng) Trên Boot Menu, chọn Safe Mode with Networking và nhấp Enter.

- Trên Windows 8 và 8.1: Vào Start Menu > Control Panel > Administrative Tools > System Configuration. Sau đó tìm và chọn Safe Boot và chọn Networking > Restart. Máy tính của bạn sẽ mở sang chế độ Safe Mode.

- Trên Windows 10: Vào Start Menu > Settings > Update and Security > Recovery. Sau đó, bên dưới Advanced Startup, hãy click vào Restart Now và để máy khởi động lại. Khi máy cho phép lựa chọn Choose Option Screen, hãy click Troubleshoot > Advanced Options > StartupSettings > Enable Safe Mode with Networking Option và nhấp Enter.

Loại bỏ các quá trình bị nhiễm

Giờ bạn cần tìm các quá trình (process) đang chạy trên máy có liên quan tới WannaCry. Nhấn tổ hợp phím Ctrl + Shift + Esc để mở hộp thoại Task Manager. Sau đó hãy nhìn kĩ trên thẻ Processes để tìm các entry lạ.

Thông thường các quá trình nhiễm độc sẽ rất ngốn tài nguyên máy tính, như CPU hay RAM. Nếu thấy entry bất thường, hãy click chuột phải, và chọn Open the File > Delete Everything. Hãy đảm bảo chỉ làm vậy khi bạn chắc chắn quy trình có liên quan tới WannaCry.

Các chương trình khởi động

Giờ hãy mở Startup Programs bằng cách gõ System Configuration vào ô tìm kiếm của Windows. Sau đó chọn kết quả đầu tiên và bạn sẽ thấy danh sách các chương trình.

Nếu dùng Windows 10, bạn có thể thấy Startup Programs ngay trong Task Manager. Trên tất cả các phiên bản Windows, nếu thấy chương trình nào có tên nhà phát triển lạ hoặc nghi ngờ, hãy bỏ chọn và click OK.

Registry

Mở hộp thoại Run của Windows hoặc nhấn tổ hợp phím Windows + R. Sau đó gõ regedit và nhấn Enter.

Khi thấy Registry Editor, nhấn Ctrl + F và gõ tên Ransom.CryptXXX hoặc WannaCry. Hãy xóa tất cả những gì có liên quan tới tên này và chọn Find Next để tìm các kết quả tiếp theo.

Các tập tin dính virus

Cuối cùng, đừng quên xóa tất cả các tập tin có khả năng nhiễm virus. Trên Start Menu, lần lượt gõ từng lựa chọn sau: %AppData%, %LocalAppData%, %ProgramData%, %WinDir%, %Temp%. Mỗi lần tìm kiếm bằng một trong những cái tên trên, một thư mục sẽ hiện ra, hãy chọn lọc theo thời gian và xóa những thư mục, tập tin gần đây nhất. Ngoài ra, bạn có thể vào thư mục Temp để xóa mọi thứ trong đó.