WannaCry – “bỗng dưng muốn khóc” 🙁
Một cô bạn làm nhân sự cho một Cty niêm yết khá lớn (không tiện nêu tên, Kiên cũng từng mua cổ phiếu của cty này) vừa báo là phòng kế toán Cty đã bị lây nhiễm mã độc tống tiền WannaCry. Toàn bộ các file dữ liệu kế toán của họ đều bị mã hoá bằng thuật toán RSA 2048-bit (được cho là gần như không thể giải mã). Được biết, cô bạn của tôi vừa đọc được tin về WannaCry ban sáng (15/05/17) và cảm thấy thú vị với cái tên của nó. Trớ trêu thay, đến chiều thì nhận được hung tin là mã độc này đã lan đến cty, phòng kế toán là một trong những nạn nhân đầu tiên.
Kế toán viên của Cty trên có sao lưu dữ liệu nhưng các dữ liệu sao lưu này cũng… đã bị mã hoá.
Hacker đã tự tin khẳng định:
Chuyện gì Đã xảy ra với Máy tính của tôi?
Các tệp tin quan trọng của bạn được mã hóa.
Nhiều tài liệu, ảnh, video, cơ sở dữ liệu và các tệp khác của bạn không còn có thể truy cập vì chúng đã được mã hóa. Có thể bạn đang bận tìm cách khôi phục tệp của mình, nhưng đừng phí thời gian. Không ai có thể phục hồi các tập tin của bạn mà không có dịch vụ giải mã của chúng tôi.
Hiện tại thì Cty cô bạn đang rất lúng túng không biết phải làm thế nào. Họ chỉ có thể rút nguồn điện các máy tính bị nhiễm để tránh lây lan qua các máy còn lại (máy tính bị nhiễm WannaCry không thể tắt được theo cách thông thường) và… chờ đợi. Chưa có thông tin là trả tiền Bitcoin (300 USD) theo hướng dẫn của hacker sẽ thực sự được họ giải mã nên ban giám đốc cty vẫn đang phân vân.
Rõ ràng, virus WannaCry (hay Wanna Cryptors, một biến thể của mã độc tống tiền Ransomware) đang là một mối đe doạ thật sự với chúng ta, không phải chỉ đơn thuần là một câu chuyện bên trời Tây xa xôi.
Và, hiện tại chưa có cách diệt được mã độc WannaCry.
FAQs về WannaCry
(theo Facebooker Phan Trung Kiên)
1: WannaCry là gì? Đây là một loại mã độc tống tiền dạng mã hóa dữ liệu – đòi tiền chuộc (ransomeware)
2: Tôi thấy cũng có nhiều mã độc từ trước đến giờ mà, tại sao WannaCry lại nổi tiếng thế? Đúng mã độc dạng này đã xuất hiện từ lâu rồi và về bản chất WannaCry chỉ có các chức năng cơ bản của một ransomeware là “mã hóa- đòi tiền” nhưng WannaCry có khả năng lây lan cực nhanh khiến cho nó trở thành “hot trend” trên Facebook mấy hôm nay.
3: Thế nó lây lan như thế nào? Wannycry lây lan qua 2 đường chủ yếu: 1 là giả mạo các file “có vẻ” an toàn như zip, rar, pdf, mp3… 2 là tự tấn công thông qua một điểm yếu trên các hệ điều hành đời cũ hoặc không được cập nhật thường xuyên. Có nghĩa là bạn có khả năng “không làm gì” mà vẫn dính WannaCry. Đồng thời nó có khả năng phát tán qua mạng nội bộ (LAN) cực mạnh nên WannaCry là một mối đe dọa lớn đối với môi trường doanh nghiệp.
4: Thế tôi phải làm gì? Như đã nói ở trên, bạn cần cẩn trọng khi mở các file lạ ko rõ nguồn gốc, update các bản vá từ microsoft, cập nhật trình diệt virus lên các phiên bản mới nhất là có thể tạm yên tâm trước con ransomeware này. Còn đối với các bạn ko làm được các thao tác trên vì nhiều lý do thì các bạn nên sao chép các file quan trọng ra một ổ cứng ngoài như USB, ổ cứng di động hoặc đám mây để giảm thiểu tối đa rủi ro khi chẳng may mắc phải.
5: Thế tôi lỡ bị dính rồi có cách nào lấy lại được file bị mã hóa ko? Rất tiếc là không. Bạn chỉ có hai lựa chọn: một là trả tiền (300$) hoặc hai là chấp nhận mất đi dữ liệu đã bị mã hóa.
6: Tôi nghe nói rằng còn virus này fomat ổ cứng không hết, có thể lây lan sang Linux, Android, lướt web cũng bị dính v..v… làm tôi rất hoang mang?
Đây là phần mình cảm thấy rất khó chịu với những tin đồn nhảm đầy rẫy trên Facebook vừa qua, mình sẽ giải thích cặn kẽ để các bạn hiểu con WannaCry này, từ đó chỉ cần suy luận logic là bạn có thể biết nó làm đc những gì và ko làm đc những gì.
– WannaCry là một loại mã độc tống tiền, đặc tính của nó là dễ bị phát hiện, tuy nhiên đã dính là vô phương cứu chữa và mục tiêu tối thượng của nó là mang lại càng nhiều tiền càng tốt.
– Do các lỗ hổng và điểm yếu của hệ điều hành sẽ rất khẩn trương đc khắc phục, đồng thời các nhà phát triển pm virus sẽ nhanh chóng cập nhật cách nhận diện nó, vậy điều nó cần tăng cường nhất là khả năng lây lan tốc độ nhanh, số lượng lớn chứ không phải mất thì giờ phát triển thêm các tính năng ngớ ngẩn như fomat ko hết, lây vào ram, chip main… (chết cười đoạn lây vào main, chip, ram =)) ) Làm ơn đi các bạn, trước hết là đừng có nghĩ đến những khả năng vượt quá giới hạn vật lý của máy tính hiện thời như nhiễm vào main, chip, ram nữa. Thứ hai là tại sao nó phải tốn thời gian vào một cái máy tính ko chấp nhận trả tiền mà chọn cách fomat toàn bộ dữ liệu? Liệu đến lần thứ hai nó có cơ hội lây nhiễm nữa ko khi chờ nó là một trình diệt virus đầu bảng như Kapersky hay Bitdefender với “key” đc chia sẻ nhan nhản trên mạng?
– Mình xem phim xxx thì liệu có dính ko? Có và không! bản thân các trang web đen hầu như ko có mã độc đi kèm, mã độc lây lan qua những banner quảng cáo ko được admin duyệt kỹ. Các trang porn nổi tiếng như porn***, xvid***… mỗi ngày có hàng trăm triệu lượt truy cập, ko thể nào làm ăn qua loa để khách xem trang của mình bị dính mã độc đc, như thế có khác nào tự đạp nồi cơm của mình đi? Còn các trang web đen nhỏ lẻ, thậm chí một số trang tin tức ở VN thì chưa chắc đã được admin chăm sóc như vậy.
– Liệu nó có lây lan sang Linux, Android hay Ios ko? Hiện tại là chưa, và mình cũng chắc đến 90% là không. Các hệ điều hành này có cách thức hoạt động khác nhau, điểm yếu cũng khác nhau đòi hỏi phải nghiên cứu lập trình rất kỹ chứ ko phải như cúm gà lây sang người được.
– Mình mới nghe tin là đã có WannyCry 2.0, liệu có phải nó đã cập nhật tính năng “bá đạo” nào đó rồi không? Không! ở phiển bản trước, mã độc này có một “công tắc” an toàn, trước khi mã hóa nó sẽ kiểm tra một máy chủ xác định xem nó có hoạt động ko? nếu ko -> mã hóa, nếu có -> tự hủy. Tất nhiên máy chủ đc chọn này đang ở trạng thái ko hoạt động, nhưng đã có một lập trình viên phát hiện ra cơ chế này và kích hoạt máy chủ nói trên, khiên khả năng lây lan của WannaCry giảm sút. (thực ra cái “công tắc” này ko phải đc lập trình cho WannaCry, mà nó là một “công tắc” chung cho toàn bộ dòng mã độc này). Phiên bản 2.0 ra đời chỉ đơn giản là loại bỏ cái “công tắc” này đi.
Các bạn kế toán cần làm gì?
– Việc đầu tiên các bạn cần làm là cập nhật Window lên phiên bản mới nhất. WannaCry tấn công các máy tính cài hệ điều hành Window qua lỗ hổng bảo mật đã được công bố trước đó. Microsoft đã vá lỗi này nhưng còn rất nhiều, rất nhiều máy tính chưa cập nhật và nguy cơ lây nhiễm mã độc là rất lớn. Điều này cũng dễ hiểu, tôi biết nhiều bạn đồng nghiệp kế toán đến giờ vẫn còn dùng Microsoft Office 2003 cơ, thế nên hệ điều hành Window không được cập nhật cũng không có gì đáng ngạc nhiên.
– Thứ hai, các bạn tải phần mềm kiểm tra lỗ hổng bảo mật của BKAV để kiểm tra máy tính tại đây:
Rõ ràng, trong vụ này BKAV của anh Quảng đã hành động rất nhanh và nhận được nhiều phản hồi tích cực từ giới công nghệ. Phần nào vãn hồi được mặt mũi sau quả bom xịt Bphone.
– Thứ ba, các bạn sao lưu các dữ liệu kế toán và các file quan trọng khác lên điện toán đám mây (Cloud) qua các dịch vụ của Google Drive, Dropbox, ICloud,…
Câu hỏi đặt ra là WannaCry có lây nhiễm lên Cloud không? Câu trả lời là CÓ.
Tuy nhiên, đa số các dịch vụ đám mây đều tự động sao lưu dự phòng các phiên bản cũ của từng file trong vòng 30 ngày. Tôi đang dùng Dropbox và xác nhận là đúng như vậy, các dịch vụ khác không rõ ràng lắm về thời gian. Theo đó, nếu WannaCry chẳng may lây nhiễm đến máy của bạn và mã hoá các dữ liệu kế toán, thì các dịch vụ Cloud sẽ tự động sao lưu lại các phiên bản cũ chưa bị mã hoá. Các bạn kế toán có thể tải về các phiên bản cũ này.
Xài ổ cứng rời hoặc USB có tuyệt đối an toàn không? Tính an toàn không cao vì nếu virus lây lan đến các ổ rời này thì dữ liệu của bạn cũng bị “tèo”.
Như vậy tốt nhất bên cạnh giải pháp sử dụng ổ cứng rời hay USB thì nên sao lưu dữ liệu lên các dịch vụ Cloud cho an toàn. Chúng miễn phí nếu dung lượng của bạn không quá lớn.
– Thứ tư, áp dụng các biện pháp bảo mật khác như không truy cập các đường link lạ, dùng phần mềm quét virus,..
Chúc các bạn đồng nghiệp kế toán may mắn :p
Kiên Huỳnh
