Video: Wana Decrypt0r (Wanacry Ransomware) - Computerphile (Tháng mười một 2024)
Hàng trăm ngàn PC đã bị tấn công bởi ransomware được gọi là WannaCry vào thứ Sáu, ném các cơ quan chính phủ và doanh nghiệp tư nhân trên toàn cầu vào tình trạng hỗn loạn. Nếu bạn đã tự hỏi điều gì thực sự đã xảy ra, thì đây là sự hạ thấp.
WannaCry là gì?
WannaCry là tên của một dòng ransomware nghiêm trọng tấn công các PC Windows trên toàn thế giới, bắt đầu từ thứ Sáu. Những người bị nhiễm đã tìm thấy máy tính của họ bị khóa, với các tin tặc yêu cầu khoản tiền chuộc 300 đô la để mở khóa thiết bị và các tập tin của nó.
Mọi người bị nhiễm bệnh như thế nào?
Giống như nhiều trường hợp nhiễm phần mềm độc hại, có vẻ như lỗi của con người là đáng trách. Theo tờ Thời báo Tài chính, một người nào đó ở Châu Âu đã tải xuống một tệp nén được đính kèm vào email, phát hành WannaCry trên PC của người đó. Nhiều người khác cũng làm như vậy, và khi tất cả được nói và thực hiện, ít nhất 300.000 thiết bị đã bị ảnh hưởng trên toàn cầu.
Thật tệ, nhưng đó là vấn đề của họ, phải không?
Không chính xác. Trong số các PC bị ảnh hưởng có những PC được sử dụng bởi Hệ thống Y tế Quốc gia (NHS) của Vương quốc Anh. Khi máy tính bị khóa, nhân viên không thể truy cập hồ sơ bệnh nhân và các dịch vụ cơ bản khác. Các cuộc hẹn và phẫu thuật đã bị hủy bỏ và các cơ sở y tế đã ngừng hoạt động khi NHS cố gắng ngăn chặn sự lây lan của WannaCry. Cũng bị ảnh hưởng: hệ thống đường sắt của Đức, các nhà máy của Renault và Nissan, FedEx, Telefonica viễn thông Tây Ban Nha và thậm chí cả ngân hàng trung ương của Nga.
Trong cuộc họp báo hôm thứ Hai, Cố vấn An ninh Nội địa Tom Bossert nói rằng WannaCry đã không tấn công bất kỳ hệ thống nào của chính phủ Hoa Kỳ.
PC của tôi có nguy cơ không?
Nếu bạn đang chạy Windows 10 thì bạn an toàn, vì WannaCry không nhắm mục tiêu HĐH mới nhất của Microsoft.
Nếu bạn đang chạy các phiên bản Windows được hỗ trợ khác (Vista, Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016), một bản vá mà Microsoft phát hành vào tháng 3 đã xử lý lỗ hổng mà WannaCry nhắm đến. Vì vậy, hy vọng bạn hoặc bộ phận CNTT của văn phòng của bạn đã cài đặt bản cập nhật đó.
Tuy nhiên, có một số người vẫn đang chạy các phiên bản Windows cũ; 7 phần trăm vẫn chạy Windows XP mặc dù thực tế là Redmond không còn phát hành các bản cập nhật bảo mật cho nó. Vì vậy, Microsoft đã thực hiện một bước bất thường là phát hành bản vá WannaCry cho các phiên bản Windows cũ mà nó không còn hỗ trợ, bao gồm Windows XP, Windows 8 và Windows Server 2003.
Bất kể bạn có phiên bản Windows nào, hãy đảm bảo bạn cập nhật các bản vá bảo mật của mình.
Ransomware không phải là mới; Tại sao điều này là một vấn đề lớn như vậy?
WannaCry sử dụng một khai thác được gọi là EternalBlue được phát triển bởi Cơ quan An ninh Quốc gia Hoa Kỳ (NSA), công ty đã sử dụng nó để theo đuổi các mục tiêu của riêng mình. Thật không may, EternalBlue và các công cụ hack NSA khác đã bị rò rỉ trực tuyến vào năm ngoái bởi một nhóm có tên là Shadow Brokers, đưa những công cụ mạnh mẽ này vào tay bất kỳ ai có thể sử dụng chúng.
Đây vẫn là một vấn đề?
Khá tình cờ, một nhà nghiên cứu ở Anh, được biết đến với cái tên MalwareTech đã xoay sở để ngăn chặn sự lây lan của WannaCry vào cuối tuần. Anh ta đã lấy được một mẫu phần mềm độc hại vào thứ Sáu và điều hành nó một môi trường ảo. Anh ta nhận thấy nó ping một miền chưa đăng ký, vì vậy anh ta đã tự đăng ký nó, như anh ta thường làm trong các loại tình huống này. May mắn cho anh ta (và vô số nạn nhân), WannaCry chỉ khóa PC nếu nó không thể kết nối với tên miền được đề cập. Trước khi MalwareTech đăng ký tên miền, nó không tồn tại, vì vậy WannaCry không thể kết nối và các hệ thống đã được chuộc lại. Với tên miền được thiết lập, WannaCry đã kết nối và về cơ bản là đã chết, bảo vệ PC.
Tuyệt, vậy chúng ta đã xong chưa?
Không quá nhanh. Báo cáo về các biến thể WannaCry mới đang xuất hiện, vì vậy hãy cảnh giác và xem nơi bạn nhấp.
Nếu PC của tôi bị chuộc thì sao?
Mặc dù có vẻ như nhiều người đã trả tiền chuộc mà tin tặc yêu cầu, các chuyên gia bảo mật cảnh báo không nên giao tiền mặt của bạn.
"Khi viết bài này, 3 tài khoản bitcoin được liên kết với ransomware WannaCry đã tích lũy được hơn 33.000 đô la giữa chúng. Mặc dù vậy, không có trường hợp nào được báo cáo về bất kỳ ai nhận lại tệp của họ", Check Point cảnh báo trong một bài đăng trên blog vào Chủ nhật. "WannaCry dường như không có cách liên kết thanh toán với người thực hiện nó."
Bossert lặp lại rằng hôm nay, nói rằng khoảng 70.000 đô la đã được thanh toán kể từ thứ Sáu, nhưng không có bằng chứng phục hồi dữ liệu.
Nếu bạn đã bị tấn công, cách tốt nhất của bạn là khôi phục từ bản sao lưu; các công ty bảo mật có uy tín cũng có các công cụ giải mã ransomware. Bạn cũng có thể sử dụng một công cụ như FixMeStick; chỉ cần chèn thiết bị, khởi động vào môi trường dựa trên Linux của nó và để thiết bị xử lý sự cố. Nó sẽ không khôi phục các tệp, nhưng hy vọng nó sẽ xóa phần mềm độc hại. Khi PC của bạn sao lưu và chạy, hãy đảm bảo bạn có một chương trình chống vi-rút mạnh mẽ và bảo vệ ransomware tốt nhất.
Để biết thêm, hãy xem Cách bảo vệ và phục hồi doanh nghiệp của bạn khỏi Ransomware.
Làm thế nào chúng ta có thể ngăn chặn điều này xảy ra một lần nữa?
Hãy chú ý đến các email có tệp đính kèm hoặc liên kết; ngay cả khi tin nhắn có vẻ là từ một người mà bạn biết, hãy kiểm tra kỹ địa chỉ email và chú ý xem có bất kỳ từ ngữ hoặc tệp đính kèm kỳ lạ nào mà bạn không mong đợi từ người đó không. Khi nghi ngờ, hãy nhắn tin cho người đó để hỏi xem họ có thực sự gửi cho bạn một email yêu cầu bạn tải xuống tệp đính kèm không.
Nhìn rộng hơn, trong khi đó, Microsoft đã đưa NSA vào nhiệm vụ "dự trữ" các lỗ hổng này.
"Đây là một mô hình mới nổi trong năm 2017. Chúng tôi đã thấy các lỗ hổng được lưu trữ bởi CIA xuất hiện trên WikiLeaks, và bây giờ lỗ hổng này bị đánh cắp từ NSA đã ảnh hưởng đến khách hàng trên toàn thế giới", Brad Smith, chủ tịch và giám đốc pháp lý của Microsoft, viết trong một bài đăng trên blog giống như rò rỉ cho quân đội Hoa Kỳ "có một số tên lửa Tomahawk bị đánh cắp".