Cách Phòng Chống Mã Độc WannaCryptor
15/05/2017WanaCrypt0r 2.0 (hay còn gọi là Wannacry) là một loại mã độc tống tiền (ransomware) mới được phát hiện và đang tiếp tục lây lan trên diện rộng trên toàn thế giới.
Khi lây nhiễm vào máy tính mã độc này sẽ mã hóa các dữ liệu quan trọng của người dùng (bao gồm các tệp tin văn bản, tệp tin hình ảnh, tệp tin video, media…).Mã độc WanaCrypt0r yêu cầu người dùng phải trả một khoản tiền là 300$ qua một tài khoản bitcoin thì mới có thể nhận được bộ khóa để giải mã dữ liệu.
Làm thế nào để phòng chống mã độc tấn công và lây lan?
- Đối với người dùng máy tính thông thường
Trước tiên, người dùng nên hạn chế việc tải về và mở các tệp tin không rõ nguồn gốc từ Internet ví dụ như: Các tệp tin đính kèm gửi qua thư điện tử, các đường dẫn gửi qua các công cụ nhắn tin, các tệp tin chia sẻ trên mạng xã hội…
Mã độc hoàn toàn có thể giả mạo thư điện tử của người khác (bạn bè, đối tác, đồng nghiệp…) để gửi thư điện tử đính kèm tệp tin hoặc đường dẫn lừa đảo
Nếu bạn đang sử dụng Windows XP, Windows 7, Windows 8 thì bạn cần cập nhật bản vá mới của hệ điều hành Windows cho máy tính của mình và giữ thói quen cập nhật máy tính ngay khi có thông báo từ Microsoft.
- Đối với các nhà quản trị hệ thống và các cơ quan, tổ chức đang sử dụng máy chủ Windows Server làm nền tảng cung cấp dịch vụ?
Đối với các máy chủ, bạn cần xem xét việc có thể cập nhật lên bản vá mới nhất được hay không? Vì một số trường hợp khi cập nhật bản vá hoặc nâng cấp lên bản mới các dịch vụ, phần mềm đang sử dụng sẽ phát sinh các lỗi ngoài mong muốn.
Trong trường hợp bạn không thể cập nhật bản vá hoặc nâng cấp lên phiên bản mới hãy thực hiện một số biện pháp sau để hạn chế việc bị tấn công bởi mã độc hoặc tin tặc từ bên ngoài.
- Tắt các dịch vụ SMB trên máy chủ;
- Update bản vá lỗi windows.
- Bật tường lửa của Hệ điều hành để chặn lại các cổng của dịch vụ SMB là: 445 và 137, 138, 139.
A. Danh sách các máy chủ điều khiển mã độc (C&C Server)
STT | Địa chỉ IP C&C | STT | Địa chỉ IP C&C |
1 | 128.31.0.39 | 18 | 213.239.216.222 |
2 | 136.243.176.148 | 19 | 213.61.66.116 |
3 | 146.0.32.144 | 20 | 38.229.72.16 |
4 | 163.172.153.12 | 21 | 50.7.151.47 |
5 | 163.172.185.132 | 22 | 50.7.161.218 |
6 | 163.172.25.118 | 23 | 51.255.41.65 |
7 | 171.25.193.9 | 24 | 62.138.10.60 |
8 | 178.254.44.135 | 25 | 62.138.7.231 |
9 | 178.254.44.135 | 26 | 79.172.193.32 |
10 | 178.62.173.203 | 27 | 81.30.158.223 |
11 | 185.97.32.18 | 28 | 82.94.251.227 |
12 | 188.138.33.220 | 29 | 83.162.202.182 |
13 | 188.166.23.127 | 30 | 83.169.6.12 |
14 | 192.42.115.102 | 31 | 86.59.21.38 |
15 | 193.23.244.244 | 32 | 89.45.235.21 |
16 | 198.199.64.217 | 33 | 94.23.173.93 |
17 | 212.47.232.237 |
B. Danh sách tên tập tin
STT | File name | STT | File Name |
1 | @WanaDecryptor@.exe | 6 | taskse.exe |
2 | b.wnry | 7 | t.wnry |
3 | c.wnry | 8 | u.wnry |
4 | s.wnry | 9 | Các file với phần mở rộng “.wnry” |
5 | taskdl.exe | 10 | Các file với phần mở rộng “.WNCRY” |
C. Danh sách mã băm (Hash SHA-256)
STT | SHA-256 |
1 | ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa |
2 | c365ddaa345cfcaff3d629505572a484cff5221933d68e4a52130b8bb7badaf9 |
3 | 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa |
4 | 0a73291ab5607aef7db23863cf8e72f55bcb3c273bb47f00edf011515aeb5894 |
5 | 428f22a9afd2797ede7c0583d34a052c32693cbb55f567a60298587b6e675c6f |
6 | 5c1f4f69c45cff9725d9969f9ffcf79d07bd0f624e06cfa5bcbacd2211046ed6 |
7 | 62d828ee000e44f670ba322644c2351fe31af5b88a98f2b2ce27e423dcf1d1b1 |
8 | 72af12d8139a80f317e851a60027fdf208871ed334c12637f49d819ab4b033dd |
9 | 85ce324b8f78021ecfc9b811c748f19b82e61bb093ff64f2eab457f9ef19b186 |
10 | a1d9cd6f189beff28a0a49b10f8fe4510128471f004b3e4283ddc7f78594906b |
11 | a93ee7ea13238bd038bcbec635f39619db566145498fe6e0ea60e6e76d614bd3 |
12 | b43b234012b8233b3df6adb7c0a3b2b13cc2354dd6de27e092873bf58af2693c |
13 | eb47cd6a937221411bb8daf35900a9897fb234160087089a064066a65f42bcd4 |
14 | 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c |
15 | 2c2d8bc91564050cf073745f1b117f4ffdd6470e87166abdfcd10ecdff040a2e |
16 | 7a828afd2abf153d840938090d498072b7e507c7021e4cdd8c6baf727cafc545 |
17 | a897345b68191fd36f8cefb52e6a77acb2367432abb648b9ae0a9d708406de5b |
18 | fb0b6044347e972e21b6c376e37e1115dab494a2c6b9fb28b92b1e45b45d0ebc |
19 | 9588f2ef06b7e1c8509f32d8eddfa18041a9cc15b1c90d6da484a39f8dcdf967 |
20 | b43b234012b8233b3df6adb7c0a3b2b13cc2354dd6de27e092873bf58af2693c |
21 | 4186675cb6706f9d51167fb0f14cd3f8fcfb0065093f62b10a15f7d9a6c8d982 |
22 | 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa |
2. Nếu phát hiện cần nhanh chóng cô lập vùng/máy đã phát hiện;
3. Kiểm tra và thực hiện gấp các bước đã được hướng dẫn trước đây tại văn bản số 80/VNCERT-ĐPƯC, ngày 09/3/2016 và văn bản 123/VNCERT-ĐPƯC, ngày 24/4/2017, tải tại địa chỉ:
http://www.vncert.gov.vn/baiviet.php?id=24 http://vncert.gov.vn/baiviet.php?id=52 ;
để phòng tránh các cuộc tấn công qui mô lớn và nguy hiểm khác;
4. Sau khi thực hiện, yêu cầu các đơn vị báo cáo tình hình về Đầu mối điều phối ứng cứu sự cố quốc gia (Trung tâm VNCERT) theo địa chỉ email: ir@vncert.gov.vn;
Dưới đây là Công văn điều phối của Trung tâm VNCERT để các đơn vị theo dõi và nghiêm túc thực hiện.