Hướng dẫn xử lý khẩn cấp mã độc WannaCry

Công văn số 144/VNCERT-ĐPƯC do ông Nguyễn Khắc Lịch, Giám đốc VNCERT, ký ngày 13/5 chuyển tới đơn vị chuyên trách về CNTT, ATTT Văn phòng Trung ương Đảng, Văn phòng Chủ tịch nước, Văn phòng Quốc hội, Văn phòng Chính phủ; Các đơn vị chuyên trách về CNTT, ATTT các Bộ, Ngành; Các đơn vị thuộc Bộ Thông tin và Truyền thông; Các Sở thông tin và Truyền thông; Thành viên mạng lưới ứng cứu sự cố Internet Việt Nam; Các Tổng công ty, Tập đoàn kinh tế; Tổ chức tài chính và ngân hàng; các Doanh nghiệp hạ tầng Internet, Viễn thông, Điện lực, Hàng không, Giao thông vận tải.

Theo đó, VNCERT yêu cầu Lãnh đạo đơn vị chỉ đạo các đơn vị thuộc phạm vi quản lý thực hiện khẩn cấp các việc sau để phòng ngừa, ngăn chặn việc tấn công của mã độc Ransomware WannaCry (hoặc được biết với các tên khác như: WannaCrypt, WanaCrypt0r 2.0, …) vào Việt Nam.

Trung tâm này yêu cầu toàn quốc theo dõi, ngăn chặn kết nối đến các máy chủ máy chủ điều khiển mã độc WannaCry và cập nhật vào các hệ thống bảo vệ như: IDS/IPS, Firewall, … các thông tin nhận dạng về loại mã độc tống tiền mới này, gồm 33 địa chỉ IP các máy chủ điều khiển mã độc (C&C Server); 10 tệp tin và 22 mã băm (Hash SHA-256). Nếu phát hiện cần nhanh chóng cô lập vùng/máy đã phát hiện;

Ngoài ra, VNCERT yêu cầu tất cả cùng kiểm tra và thực hiện gấp các bước đã được hướng dẫn trước đây tại văn bản số 80/VNCERT-ĐPƯC, ngày 09/3/2016 và văn bản 123/VNCERT-ĐPƯC, ngày 24/4/2017, tải tại địa chỉ:http://www.vncert.gov.vn/baiviet.php?id=24http://vncert.gov.vn/baiviet.php?id=52 để phòng tránh các cuộc tấn công qui mô lớn và nguy hiểm khác.

Công văn yêu cầu tất cả các đơn vị sau khi thực hiện phải báo cáo tình hình về Đầu mối điều phối ứng cứu sự cố quốc gia (Trung tâm VNCERT) theo địa chỉ email: ir@vncert.gov.vn.

Theo đánh giá của VNCERT, đây là mã độc rất nguy hiểm, có thể đánh cắp thông tin và mã hóa toàn bộ máy chủ hệ thống đồng thời với các lỗ hổng đã công bố, tin tặc khai thác và tấn công sẽ gây lên nhiều hậu quả nghiêm trọng khác.

Theo thống kê mới nhất, Nga và Ấn Độ là 2 quốc gia chịu tác động nặng nề nhất do lỗ hổng trên hệ điều hành Windows XP của Microsoft, là hệ điều hành lỗi thời không còn nhận được sự hỗ trợ từ Microsoft nhưng vẫn được sử dụng rộng rãi.

Các vụ tấn công mạng này xuất hiện dưới dạng "tống tiền", theo đó người sử dụng mạng sẽ không thể truy cập dữ liệu trừ phi họ trả cho tin tặc một khoản tiền ảo Bitcoin trị giá 300 - 600 USD mới có thể phục hồi dữ liệu cần thiết.

Danh sách các máy chủ điều khiển mã độc (C&C Server):

Danh sách tên tập tin:

Danh sách mã băm (Hash SHA-256)

* Các biện pháp cần thực hiện ngay

Cục An toàn thông tin (Bộ Thông tin và Truyền thông) hướng dẫn các tổ chức, cá nhân thực hiện biện pháp xử lý khẩn cấp mã độc này như sau:

A: Đối với cá nhân

- Thực hiện cập nhật ngay các phiên bản hệ điều hành windows đang sử dụng. Riêng đối với các máy tính sử dụng Windows XP, sử dụng bản cập nhật mới nhất dành riêng cho sự vụ này tại: https://www.microsoft.com/en-us/download/details.aspx?id=55245&WT.mc_id=rss_windows_allproducts hoặc tìm kiếm theo từ khóa bản cập nhật KB4012598 trên trang chủ của Microsoft.

- Cập nhật ngay các chương trình Antivius đang sử dụng. Đối với các máy tính không có phần mềm Antivirus cần tiến hành cài đặt và sử dụng ngay một phần mềm Antivirus có bản quyền.

- Cẩn trọng khi nhận được email có đính kèm và các đường link lạ được gửi trong email, trên các mạng xã hội, công cụ chat…

- Cần thận trọng khi mở các file đính kèm ngay cả khi nhận được từ những địa chỉ quen thuộc. Sử dụng các công cụ kiểm tra phần mềm độc hại trực tuyến hoặc có bản quyền trên máy tính với các file này trước khi mở ra.

- Không mở các đường dẫn có đuôi .hta hoặc đường dẫn có cấu trúc không rõ ràng, các đường dẫn rút gọn link.

- Thực hiện biện pháp lưu trữ (backup) dữ liệu quan trọng ngay.

B: Đối với tổ chức, doanh nghiệp (cụ thể với các quản trị viên hệ thống)

- Kiểm tra ngay lập tức các máy chủ và tạm thời khóa (block) các dịch vụ đang sử dụng các cổng 445/137/138/139.

- Tiến hành các biện pháp cập nhật sớm, phù hợp theo từng đặc thù cho các máy chủ windows của tổ chức. Tạo các bản snapshot đối với các máy chủ ảo hóa đề phòng việc bị tấn công.

- Có biện pháp cập nhật các máy trạm đang sử dụng hệ điều hành Windows.

- Cập nhật cơ sở dữ liệu cho các máy chủ Antivirus Endpoint đang sử dụng. Đối với hệ thống chưa sử dụng các công cụ này thì cần triển khai sử dụng các phần mềm Endpoint có bản quyền và cập nhật mới nhất ngay cho các máy trạm.

- Tận dụng các giải pháp đảm bảo an toàn thông tin đang có sẵn trong tổ chức như Firewall, IDS/IPS, SIEM… để theo dõi, giám sát và bảo vệ hệ thống trong thời điểm nhạy cảm này. Cập nhật các bản cập nhật từ các hãng bảo mật đối với các giải pháp đang có sẵn. Thực hiện ngăn chặn, theo dõi domains đang được mã độc WannaCry sử dụng, để xác định được các máy tính bị nhiễm trong mạng để có biện pháp xử lý kịp thời.

- Cân nhắc việc ngăn chặn (block) việc sử dung Tor trong mạng nếu doanh nghiệp, tổ chức.

- Thực hiện biện pháp lưu trữ (backup) dữ liệu quan trọng ngay.

- Cảnh báo tới người dùng trong tổ chức và thực hiện các biện pháp như nêu trên đối với người dùng.

- Liên hệ ngay với các cơ quan chức năng cũng như các tổ chức, doanh nghiệp trong lĩnh vực an toàn thông tin để được hỗ trợ khi cần thiết.

* Công cụ kiểm tra miễn phí mã độc Wanna Crypt

Trước sự lan rộng của mã độc WannaCry (còn được gọi là Wanna Cryptor hoặc Wanna Crypt), sáng 15/5, Công ty An ninh mạng Bkav tuyên bố đã phát hành công cụ giúp người dùng có thể kiểm tra xem máy tính của mình có bị nhiễm mã độc nguy hiểm này hay không.

Quan trọng hơn, công cụ này có thể kiểm tra và cảnh báo nếu máy tính có chứa lỗ hổng EternalBlue – lỗ hổng mà Wanna Crypt đang khai thác để xâm nhập máy tính.

Người sử dụng có thể kiểm tra bằng cách, tải công cụ từ địa chỉ Bkav.com.vn/Tool/CheckWanCry.exe. Công cụ không cần cài đặt mà có thể khởi chạy luôn để quét. Riêng người sử dụng Bkav Pro hoặc Bkav Endpoint sẽ không cần chạy Tool vì đã có tính năng tự động bảo vệ. 

Giao diện công cụ kiểm tra mã độc tống tiền Wanna Crypt

Theo nhận định của các chuyên gia Bkav, Wanna Crypt có thể xếp vào mức nguy hiểm cao nhất vì vừa lây lan nhanh vừa có tính phá hoại nặng nề. Kiểu lây nhiễm của mã độc tuy không mới, nhưng cho thấy xu hướng tận dụng các lỗ hổng mới để tấn công, kiếm tiền sẽ còn được hacker sử dụng nhiều trong thời gian tới, đặc biệt là các lỗ hổng của hệ điều hành.

Đồng thời, để phòng ngừa nguy cơ lây nhiễm mã độc, các chuyên gia khuyến cáo người dùng mở các file văn bản nhận từ Internet trong môi trường cách ly Safe Run và cài phần mềm diệt virus thường trực trên máy tính để được bảo vệ tự động.

Cùng với Bkav, Kaspersky Lab cho biết, các giải pháp bảo mật của hãng có thể phát hiện và bảo vệ người dùng trước các mã độc tống tiền liên quan tới Wanna Crypt.

Kaspersky Lab đưa ra lời khuyên cho người dùng cách phòng chống mã độc này cho máy tính của mình bằng cách: Bật các thành phần chống phần mềm tống tiền; cài đặt bản vá chính thức từ Microsoft nhằm vá lỗ hổng SMB Server bị khai thác trong cuộc tấn công này; tiến hành sao lưu dữ liệu thường xuyên vào các nơi lưu trữ không kết nối với Internet...