Mã độc tống tiền Ransomware Wannacry đã được hình thành và hoạt động như thế nào? Vì sao Ransomware Wannacry được xem là cuộc tấn công bởi Ransomware kinh điển nhất lịch sử internet? Thiệt hại mà mã độc này đã gây ra lớn đến đâu? Cùng Cuumaytinh.com khám phá qua bài viết sau.

Ransomware Wannacry – mã độc tống tiền nguy hiểm 

Ransomware Wannacry là gì? Đây là một loại phần mềm độc hại mã hóa các tệp dữ liệu của nạn nhân và yêu cầu đòi tiền chuộc để mở khóa. Thế giới đa chứng kiến nhiều cuộc tấn công lớn bởi Ransomware Wannacry, có khả năng ảnh hưởng trăm nghìn máy tính ở hơn 150 quốc gia chỉ trong vài ngày. Ai đứng sau các cuộc tấn công này hiện vẫn còn là ẩn số.

Cuộc tấn công bởi Ransomware Wannacry sử dụng EternalBlue exploit nhắm trực tiếp các lỗ hổng trong hệ điều hành Windows để lây lan. Các thiết bị sử dụng bản cập nhật của giao thức Server Message Block dễ bị tấn công nhất. 

Ransomware Wannacry
Ransomware Wannacry

Các nạn nhân bị đe dọa trả từ 300 USD đến 600 USD bằng bitcoin trong vòng 72 giờ để đổi lấy mật khẩu giải mã. Tuy nhiên sau khi trả tiền chuộc, rất ít người được cấp chìa khóa cho dữ liệu của họ.

Cách thức hoạt động của Ransomware Wannacry 

Trong số hai dạng Ransomware tiêu biểu là khóa thao tác và mã hóa dữ liệu thì Ransomware Wannacry thuộc dạng thứ hai. Nó lan truyền thông qua virus máy tính nên còn được gọi là cryptoworm (sâu đòi tiền chuộc) hay ransomworm (sâu mã hóa). Loại mã độc này âm thầm lây lan cho các thiết bị trong cùng hệ thống trước khi người dùng kịp phát hiện, tức tốc độ lây lan rất khủng khiếp.

Microsoft kịp thời phát hiện ra cuộc tấn công từ Ransomware Wannacry và đã tung ra bản cập nhật hệ thống trước 2 tháng. Nhưng đáng tiếc không phải ai cũng cập nhật bản vá đó nhanh chóng. Đây là cơ hội để tin tặc tiến hành khởi chạy EternalBlue.

Nếu EternalBlue là cơ sở cho cuộc tấn công thì DoublePulsar được xem là “kẻ chỉ đường”. Cài đặt DoublePulsar lên máy tính giúp mở đường cho Ransomware Wannacry thâm nhập. Ban đầu nhiều người lầm tưởng đây là trò lừa đảo nhưng khi phát hiện thì EternalBlue đã ở đó từ rất lâu.

KHÔNG BAO GIỜ ĐƯỢC THỎA HIỆP VỚI TIN TẶC. Một sự độc lạ rằng tin tặc không thống kê được ai đã trả tiền chuộc nên người dùng đã lỡ chuyển tiền chỉ còn biết hy vọng chúng sẽ mở khóa đúng thiết bị của mình.

Thiệt hại sau các cuộc tấn công của Ransomware Wannacry 

Riêng trong năm 2017, thời điểm Ransomware Wannacry bùng phát như một “đại dịch” trên máy tính, ước tính có trên 200000 thiết bị chịu ảnh hưởng với tổng thiệt hại trên 4 tỷ USD. Và một khi mã độc Ransomware này còn tồn tại thì con số thiệt hại sẽ tiếp tục tăng.

Ransomware Wannacry
Bản đồ cuộc tấn công Ransomware Wannacry 2017

Ransomware Wannacry đã mở đầu cho các cuộc tấn công mạng thương mại – đòi tiền chuộc trong cộng đồng hacker mũ đen với tỷ lệ trên 39% trong năm 2017. 

Cuộc tấn công của mã độc Ransomware Wannacry là hồi chuông cảnh tỉnh để các tổ chức và doanh nghiệp chú trọng hơn trong công tác bảo mật dữ liệu. Đồng thời đây cũng là kinh nghiệm để ngăn chặn bớt các cuộc tấn công tương tự trong tương lai.

Có thể ngăn chặn Ransomware Wannacry hay không?

Chuyên gia Marcus Hutchins (hay còn gọi là MalwareTech – người “cứu cả thế giới”) đã phát hiện một URL vô nghĩa chưa đăng ký tên “iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com” khi kiểm tra phần mềm Ransomware Wannacry. Marcus phát hiện rằng nếu hệ thống có thể mở URL này thì phần mềm tống tiền sẽ bị vô hiệu hóa. Vì vậy anh đã thiết kế URL đó như một công tắc ngăn chặn và tiêu diệt mã độc Ransomware này. Ngày 12/5/2017 đánh dấu quá trình Marcus bắt tay vô hiệu hóa Ransomware Wannacry.

Có thể ngăn chặn Ransomware Wannacry hay không?
Có thể ngăn chặn Ransomware Wannacry hay không?

Tuy rằng đã có thể được ngăn chặn từ 2017 nhưng Ransomware Wannacry vẫn không ngừng phát triển. Dữ liệu thống kê vào quý I/2021 cho thấy số vụ tấn công do mã độc này đã tăng 53% so với kỳ trước. 

Không chỉ có Ransomware Wannacry, hàng loạt mã độc khác dạng cryptoworm và ransomworm đang lan rộng khắp thế giới, tấn công vào các hệ thống mạng an ninh kém. Chỉ cần một chạm là chúng có thể lây lan toàn bộ mạng.

Hạn chế thiệt hại khi đối mặt với Ransomware Wannacry 

Ngay khi phát hiện máy tính nhiễm Ransomware Wannacry, người dùng cần vô hiệu hóa SMBv1. Sau đó hãy cập nhật phiên bản mới nhất của phần mềm đó.

Tiếp theo, nghiên cứu kỹ lưu lượng truy cập vào mạng và hệ thống của bạn. Bất kỳ sự kiện tạo tệp đáng ngờ nào, đặc biệt có liên quan đến cụm từ Ransomware Wannacry có thể là dấu hiệu cho thấy phần mềm độc hại này đang cố gắng xâm nhập vào thiết bị của bạn.

Các dấu hiệu cảnh báo khác cần xem xét đó là lưu lượng gửi đi cho các cổng SMBv1 TCP 445 và 139; truy vấn DNS cho miền kill-switch; kết nối tới cổng 9001 và 9003 trên mạng Tor;…

Điều quan trọng, nếu máy tính Windows của bạn chưa cập nhật bản vá lỗi, hãy khắc phục ngay lập tức để ngăn chặn mã độc trước khi máy tính chịu thiệt hại.

Cuumaytinh.com cung cấp giải pháp toàn diện ngăn chặn và phòng ngừa các cuộc tấn công do Ransomware Wannacry hoặc các phần mềm độc hại khác gây nên. Chúng tôi giúp bạn sao lưu và bảo vệ an toàn dữ liệu trước các nguy cơ gây hại. Nếu như không thể tự bảo vệ thiết bị của bạn trước mã độc, hãy liên hệ tới chúng tôi qua số hotline 1900636196 để được hỗ trợ.