This is an example of a HTML caption with a link.

Hướng dẫn sử lý sự cố tống tiền Ransomeware WannaCry

Đăng lúc: Thứ ba - 16/05/2017 15:19 - Người đăng bài viết: cbitc

Ngày 13 tháng 5 năm 2017, để phòng ngừa, ngăn chặn việc tấn công của mã độc Ransomware WannaCry (hoặc được biết với các tên khác như: WannaCrypt, WanaCrypt0r 2.0, …) vào Việt Nam, Trung tâm VNCERT đã gửi công văn cảnh báo tới các đơn vị chuyên trách về công nghệ thông tin, an toàn thông tin thuộc các khối Trung ương, Bộ, ban, ngành, Sở Thông tin truyền thông, và các thành viên mạng lưới cũng như những đơn vị trọng yếu khác.

Đây là mã độc rất nguy hiểm, có thể đánh cắp thông tin và mã hóa toàn bộ máy chủ hệ thống đồng thời với các lỗ hổng đã công bố, Tin tặc khai thác và tấn công sẽ gây lên nhiều hậu quả nghiêm trọng khác.
Cục An toàn thông tin – Bộ Thông tin và Truyền thông hướng dẫn các tổ chức, cá nhân thực hiện biện pháp xử lý khẩn cấp mã độc này như sau:
1. Đối với cá nhân:
-    Cụ thể, đối với cá nhân cần thực hiện cập nhật ngay các phiên bản hệ điều hành windows đang sử dụng. Riêng đối với các máy tính sử dụng Windows XP, sử dụng bản cập nhật mới nhất dành riêng cho sự vụ này tại:
Tải bản cập nhật Windows cho tất cả các phiên bản: 
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx 

Chọn bản vá phù hợp với phiên bản hệ điều hành máy đang sử dụng hoặc tìm kiếm theo từ khóa bản cập nhật KB4012598 trên trang chủ của Microsoft.
- Cập nhật ngay các chương trình Antivius đang sử dụng
- Cẩn trọng khi nhận được email có đính kèm và các đường link lạ được gửi trong email, trên các mạng xã hội, công cụ chat...
- Thận trọng khi mở các file đính kèm ngay cả khi nhận được từ những địa chỉ quen thuộc. 
- Sử dụng các công cụ kiểm tra phần mềm độc hại trực tuyến hoặc có bản quyền trên máy tính với các file này trước khi mở ra.
- Không mở các đường dẫn có đuôi .hta hoặc đường dẫn có cấu trúc không rõ ràng, các đường dẫn rút gọn link .
- Lưu trữ (backup) dữ liệu quan trọng ngay.
2. Xử lý Wannacry trong doanh nghiệp, tổ chức:
- Đối với tổ chức, doanh nghiệp, đặc biệt là với các quản trị viên hệ thống cần phải kiểm tra ngay lập tức các máy chủ và tạm thời khóa (block) các dịch vụ đang sử dụng các cổng 445/137/138/139.
- Các tổ chức, doanh nghiệp cần tiến hành các biện pháp cập nhật sớm, phù hợp theo từng đặc thù cho các máy chủ windows của tổ chức.
- Tạo các bản snapshot đối với các máy chủ ảo hóa đề phòng việc bị tấn công.
- Các tổ chức, doanh nghiệp phải có biện pháp cập nhật các máy trạm đang sử dụng hệ điều hành Windows.
- Cập nhật cơ sở dữ liệu cho các máy chủ Antivirus Endpoint đang sử dụng. Đối với hệ thống chưa sử dụng các công cụ này thì cần triển khai sử dụng các phần mềm Endpoint có bản quyền và cập nhật mới nhất ngay cho các máy trạm.
- Các tổ chức, doanh nghiệp tận dụng các giải pháp đảm bảo an toàn thông tin đang có sẵn trong tổ chức như Firewall, IDS/IPS, SIEM...để theo dõi, giám sát và bảo vệ hệ thống trong thời điểm nhạy cảm này.
- Cập nhật các bản cập nhật từ các hãng bảo mật đối với các giải pháp đang có sẵn. Đồng thời thực hiện ngăn chặn, theo dõi domains đang được mã độc WannaCry sử dụng, để là xác định được các máy tính bị nhiễm trong mạng để có biện pháp xử lý kịp thời:
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/
Domains này đã được sinkholed, Cục An toàn thông tin sẽ cập nhật liên tục danh sách này trên website.
-    Các tổ chức, doanh nghiệp cân nhắc việc ngăn chặn (block) việc sử dụng Tor trong mạng và thực hiện biện pháp lưu trữ (backup) dữ liệu quan trọng ngay. Các tổ chức, doanh nghiệp cảnh báo tới người và thực hiện các biện pháp như nêu trên đối với người dùng. Liên hệ ngay với các cơ quan chức năng cũng như các tổ chức, doanh nghiệp trong lĩnh vực an toàn thông tin để được hỗ trợ khi cần thiết.

3.Cách gỡ bỏ / khắc phục ransomware WannaCry
3.1.Bảo vệ máy tính khỏi bị ransomware tấn công:
Thực hiện theo các bước sau:
•  Luôn luôn cập nhật các phần mềm tường lửa và chống virus để bảo vệ máy tính.
•   Hệ điều hành nên được cập nhật thường xuyên, trong đó sẽ bao gồm các bản vá mới và tránh việc bị hacker khai thác các lỗ hổng.
•  Email là một trong những cách phổ biến để WannaCry và các ransomware tương tự xâm nhập máy tính. Vì thế không click hoặc mở các file tài liệu lạ.
•  Sao lưu tất cả dữ liệu quan trọng. Ngoài ra, bạn nên sao lưu trên máy chủ, các thiết bị lưu trữ ngoài hoặc các hình thức khác không dùng tới Internet.
•  Sử dụng chế độ Safe Mode
-  Cách bật chế độ Safe Mode
Trên Windows XP và Windows 7: Chọn F8 trước khi Windows khởi động. Trên Boot Menu, chọn Safe Mode with Networking và nhấp Enter.
+Trên Windows 8 và 8.1: Vào Start Menu > Control Panel > Administrative Tools > System Configuration. Sau đó tìm và chọn Safe Boot và chọn Networking > Restart. Máy tính của bạn sẽ mở sang chế độ Safe Mode.
+Trên Windows 10: Vào Start Menu > Settings > Update and Security > Recovery. Sau đó, bên dưới Advanced Startup, click vào Restart Now và để máy khởi động lại. Khi máy cho phép lựa chọn Choose Option Screen, hãy click Troubleshoot > Advanced Options > StartupSettings > Enable Safe Mode with Networking Option và nhấp Enter.
Chú ý: Trên một số máy tính, Boot Key lại không phải là F8, khi đó cần xem lại hướng dẫn của nhà sản xuất để tìm ra phím này.
3.2.Loại bỏ WannaCry:
Thực hiện các bước sau:
Loại bỏ các quá trình bị nhiễm
-   Cần tìm các quá trình (process) đang chạy trên máy có liên quan tới WannaCry. Nhấn tổ hợp phím Ctrl + Shift + Esc để mở hộp thoại Task Manager. Sau đó kiểm tra trên thẻ Processes để tìm các entry lạ.
-   Thông thường các quá trình nhiễm độc sẽ rất ngốn tài nguyên máy tính, như CPU hay RAM. Nếu thấy entry bất thường, click chuột phải, và chọn Open the File > Delete Everything. Hãy đảm bảo chỉ làm vậy khi bạn chắc chắn quy trình có liên quan tới WannaCry.
Các chương trình khởi động
Mở Startup Programs / gõ System Configuration vào ô tìm kiếm của Windows. Sau đó chọn kết quả đầu tiên / xuất hiện danh sách các chương trình.
Nếu dùng Windows 10, vào Startup Programs trong Task Manager. Trên tất cả các phiên bản Windows, nếu thấy chương trình nào có tên nhà phát triển lạ hoặc nghi ngờ, hãy bỏ chọn và click OK.
Registry
Mở hộp thoại Run của Windows hoặc nhấn tổ hợp phím Windows + R. Sau đó gõ regedit và nhấn Enter.
Khi thấy Registry Editor, nhấn Ctrl + F và gõ tên Ransom.CryptXXX hoặc WannaCry. Xóa tất cả những gì có liên quan tới tên này và chọn Find Next để tìm các kết quả tiếp theo.
Các tập tin dính virus
Xóa tất cả các tập tin có khả năng nhiễm virus. Trên Start Menu, lần lượt gõ từng lựa chọn sau: %AppData%, %LocalAppData%, %ProgramData%, %WinDir%, %Temp%. Mỗi lần tìm kiếm bằng một trong những cái tên trên, một thư mục sẽ hiện ra, chọn lọc theo thời gian và xóa những thư mục, tập tin gần đây nhất. Ngoài ra, có thể vào thư mục Temp để xóa mọi thứ trong đó.Đặc biệt là danh sách VNCERT đưa ra :

STT

File name

STT

File Name

1

@WanaDecryptor@.exe

6

 taskse.exe

2

b.wnry

7

 t.wnry

3

c.wnry

8

 u.wnry

4

s.wnry

9

Các file với phần mở rộng “.wnry”

5

taskdl.exe

10

 Các file với phần mở rộng “.WNCRY”

4. Phát hiện và loại bỏ mã băm (HASH SHA-256)

* Cách nhận biết:

VNCERT công bố danh sách mã băm (HASH-256) có chứa mã độc liên quan tới Ransomeware WannaCry sau:

STT

SHA-256

1

ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa

2

c365ddaa345cfcaff3d629505572a484cff5221933d68e4a52130b8bb7badaf9

3

09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa

4

0a73291ab5607aef7db23863cf8e72f55bcb3c273bb47f00edf011515aeb5894

5

428f22a9afd2797ede7c0583d34a052c32693cbb55f567a60298587b6e675c6f

6

5c1f4f69c45cff9725d9969f9ffcf79d07bd0f624e06cfa5bcbacd2211046ed6

7

62d828ee000e44f670ba322644c2351fe31af5b88a98f2b2ce27e423dcf1d1b1

8

72af12d8139a80f317e851a60027fdf208871ed334c12637f49d819ab4b033dd

9

85ce324b8f78021ecfc9b811c748f19b82e61bb093ff64f2eab457f9ef19b186

10

a1d9cd6f189beff28a0a49b10f8fe4510128471f004b3e4283ddc7f78594906b

11

a93ee7ea13238bd038bcbec635f39619db566145498fe6e0ea60e6e76d614bd3

12

b43b234012b8233b3df6adb7c0a3b2b13cc2354dd6de27e092873bf58af2693c

13

eb47cd6a937221411bb8daf35900a9897fb234160087089a064066a65f42bcd4

14

24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c

15

2c2d8bc91564050cf073745f1b117f4ffdd6470e87166abdfcd10ecdff040a2e

16

7a828afd2abf153d840938090d498072b7e507c7021e4cdd8c6baf727cafc545

17

a897345b68191fd36f8cefb52e6a77acb2367432abb648b9ae0a9d708406de5b

18

fb0b6044347e972e21b6c376e37e1115dab494a2c6b9fb28b92b1e45b45d0ebc

19

9588f2ef06b7e1c8509f32d8eddfa18041a9cc15b1c90d6da484a39f8dcdf967

20

b43b234012b8233b3df6adb7c0a3b2b13cc2354dd6de27e092873bf58af2693c

21

4186675cb6706f9d51167fb0f14cd3f8fcfb0065093f62b10a15f7d9a6c8d982

22

09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa

Nếu phát hiện cần nhanh chóng cô lập vùng/máy đã phát hiện và tiến hành loại bỏ bằng phần mềm HashMyFile như sau:
Giải nén và chạy file HashMyFile.exe/Chọn file/Add File,Folder,Proccess File, Wildcard/OK, đợi quét lấy mã, sau đó đối chiếu mã băm với danh sách đưa ra.
Ví dụ ta quét folder vừa tải về:

Nhấp OK

Ta được mã Hash đối chiếu với mã theo danh sách.
Lưu ý: Nếu danh sách mã tại cột MD5 trùng với cột SHA-256 thì đó chính là mã độc.

Hướng dẫn gỡ bỏ mã độc:
-    Do tập tin này đang chạy nên cần dừng hoặc tắt tiến trình này trước khi xóa.
-    Download phần mềm miễn phí “Process Explorer” của Microsoft tại địa chỉ  https://download.sysinternals.com/files/ProcessExplorer.zip
-    Tải về, giải nén chạy file “procexp.exe”.
-    Tiến hành tìm kiếm các tiến trình trong danh sách mã băm VNCERT đưa ra, tiến hành xử lý theo Công văn số 238/VNCERT – ĐPƯC ngày 3/8/2016 về việc theo dõi, ngăn chặn kết nối và xóa các tệp tin chứa mã độc và nhấn chuột phải chọn “Suspend” hoặc “Kill Process”. Sau khi chọn xong, vào đường dẫn tương ứng để xóa

5. Cách đóng cổng/Port 445 trên Windows 2000/XP/2003 đến Windows 10 để ngăn ransomware WannaCry:
Trong số các port mới được sử dụng trên các hệ thống Windows 2000, Windows XP và Windows Server 2003, thì port 445 TCP dùng cho dịch vụ SMB truyền qua TCP. Giao thức SMB (Server Message Block) được sử dụng cho các mục đích chia sẻ File trên các hệ thống Windows NT/2000/XP/2003.
Tiến hành disable NetBIOS qua TCP/IP
Nhấp chuột Right-click vào biểu tượng My Network Places tại Desktop sau đó chọn Properties. Tiếp tục Right-click vào biểu tượng Network Card  (Local Area Connection)  /chọn Properties.

Kế tiếp, click vào Internet Protocol (TCP/IP) và Properties.

Click vào Advanced, và chọn WINS tab.

Tại đây bạn có thể enable hoặc disable NetBIOS over TCP/IP.

Những thay đổi có hiệu lực ngay, không cần phải khởi động lại hệ thống.
Lúc này nhật ký ghi nhận các sự kiện trên Computer của bạn (events log) sẽ ghi nhận một event (nên nhớ rằng không nên disable dịch vụ có tên là: TCP/IP NetBIOS Helper Service , vì nếu tắt đi events log sẽ không ghi nhận được sự kiện này. Có thể kiểm tra dịch vụ này có đang chạy hay không, bằng cách nhập lệnh Services.msc tại Run để mở bảng quản lý các dịch vụ trên hệ thống, nếu thanh trạng thái status thông báo Started là dịch vụ đã vận hành). Xem hình để xác định dịch vụ đang chạy trên hệ thống.

Chú ý: Các Computer đang chạy các hệ điều hành cũ trước Windows 2000 sẽ không thể định vị, tìm kiếm hoặc thiết lập các kết nối chia sẽ File và in ấn đến các hệ thống Computer Windows 2000/XP/2003 khi NetBIOS đã bị disable.

 Disable port 445 : 

Thực hiện theo các hướng dẫn sau:

1.      Mở chương trình biên tập Registry -Registry Editor

2.      Tại Run dùng lệnh Regedit.exe.

3.      Tìm đến khóa sau trong Registry:

HKLMSystemCurrentControlSetServicesNetBTParameters

3.  Tại cửa sổ Window bên phải chọn một tùy chọn có tên là TransportBindName.
4.  Double click vào tùy chọn, sau đó xóa giá trị mặc định -default value, và do vậy khung chứa giá trị được để trống -blank value.

5.  Đóng Registry editor.

6.  Khởi động lại Computer.

Sau khi khởi động và log-on vào Computer, tại Run, điền lệnh cmd và đưa vào lệnh sau:

netstat -an

Nhận thấy rằng Computer không còn lắng nghe ở port 445.

So với trước khi tiến hành Disable port 445, hình bên dưới

 

6. Chặn IP trên Router:

Danh sách các máy chủ điều khiển mã độc (C&C Server)

STT

Địa chỉ IP C&C

STT

Địa chỉ IP C&C

1

128.31.0.39

18

213.239.216.222

2

136.243.176.148

19

213.61.66.116

3

146.0.32.144

20

38.229.72.16

4

163.172.153.12

21

50.7.151.47

5

163.172.185.132

22

50.7.161.218

6

163.172.25.118

23

51.255.41.65

7

171.25.193.9

24

62.138.10.60

8

178.254.44.135

25

62.138.7.231

9

178.254.44.135

26

79.172.193.32

10

178.62.173.203

27

81.30.158.223

11

185.97.32.18

28

82.94.251.227

12

188.138.33.220

29

83.162.202.182

13

188.166.23.127

30

83.169.6.12

14

192.42.115.102

31

86.59.21.38

15

193.23.244.244

32

89.45.235.21

16

198.199.64.217

33

94.23.173.93

17

212.47.232.237

 

 

 

  •  Tùy vào từng Model Router mà cách cấu hình có thể khác nhau, tựu chung lại có cơ chế giống nhau.
  •  Ví dụ như Router TP-Link TL-R460:

 Bước 1: Mở trình duyệt web và nhập địa chỉ IP của router (mặc định là 192.168.1.1) --> Enter (Tùy vào cách đăng nhập của từng router của từng cơ quan đơn vị)

-   Bước 2: Nhập username và password vào, mặc định của username và password là admin.

Bước 3: Click chọn Security --> Firewall trên góc trái của trang. Tích chọn như hình minh họa

+ Nhấp SAVE

Bước 4: Tại mục Security, chọn mục IP Address Filtering, chọn Add New để thêm địa chỉ IP mới để chặn. Tích chọn các mục như hình vẽ:

 +Effective time: thời gian cho phép chặn trong 1 ngày, ở đây sẽ chặn địa chỉ 128.31.0.39 từ 00h00’ đến 24h00’.

+LAN IP Address: địa chỉ cần chặn trong mạng nội bộ.

+ LAN Port: cổng kết nối.

+ WAN IP : địa chỉ cần chặn ở mạng diện rộng.

+WAN Port : cổng ở đây sẽ để trống, tương đương với chặn tất cả các cổng có trong router.

+ Chọn Giao thức Protocol, Action, Status như hình minh họa.

SAVE .

Để thêm các địa chỉ cần chặn ta thực hiện lặp như bước 4 (Add New)

Áp dụng tương tự với chặn địa chỉ Domain tại mục Domain Filtering và địa chỉ MAC tại mục MAC Address Filtering.

Từ khóa:

thông tin

Đánh giá bài viết
Tổng số điểm của bài viết là: 0 trong 0 đánh giá
Click để đánh giá bài viết
 

Dịch vụ

http://caobangitc.vn/images/dichvuweb.png

Thống kê

  • Đang truy cập: 10
  • Hôm nay: 311
  • Tháng hiện tại: 14713
  • Tổng lượt truy cập: 1809277