WannaCry - Vụ tấn công virus đòi tiền chuộc quy mô lớn nhất thế giới tính tới hiện nay

WannaCry
Một vụ tấn công virus đòi tiền chuộc (ransomware) quy mô lớn nhất thế giới tính tới hiện nay

Giải thích đơn giản cho mọi người hiểu cuộc tấn công hoạt động ra sao:
- Bấm vào link bậy bạ các thứ :v
- Virus sẽ chiếm quyền sử dụng của máy tính và yêu cầu đòi tiền chuộc (300$ bitcoins) và yêu cầu phải trả trong thời hạn nhất định không thì tất cả dữ liệu file sẽ mất hết. Chưa kể việc cài lại win vẫn có thể bị tấn công lại. Nếu trả tiền chuộc thì bên tấn công sẽ gửi một mã nguồn như kiểu "thuốc chữa" cho ransomware này. Do tiền chuộc được gửi theo dạng bitcoins nên không thể nào mò được địa chỉ người nhận
- Ransomware này chỉ chủ yếu tấn công vào lỗ hổng của các phiên bản window không còn hỗ trợ như Vista, XP, 8 (sắp tới 7)
Để phòng ngừa:
Không xài XP hay Vista
Cài đặt phiên bản update của windows vừa tung ra :v
Update phần mềm diệt virus (chưa chắc)
Back up file vào một ổ cứng riêng và không được kết nối lại sau khi đã back up(dùng cho máy khác :v)
Không bấm link bậy bạ :v
cài adblock
Khóa cổng mạng 139 - 445 - 3389, tắt giao thức SMB1. Cách:
https://vozforums.com/showthread.php?t=6093337

LƯU Ý: Nó tấn công thông qua mạng và ảnh hưởng luôn cả đường mạng nội bộ, một máy bị dính thì nó sẽ up ngay mã độc lên đường mạng của máy đó và lan truyền sang các máy khác xài mạng chung :v nên tốt nhất là sửa lại pass wifi để tránh thằng nào mò được và xài ké xong dính xong dính luôn cả mình :v Win10 vẫn có thể dính nếu bấm trúng link ransomware, được cái là dễ phòng ngừa hơn các bản khác :v

Update cách phòng chống cho máy chưa dính :v
A.Kiểm tra port 445
netstat -an | findstr 445
Nếu gõ không hiện ra cái gì thì là OK còn nếu có chữ LISTENNING thì phải block port ngay
B. Tắt SMB (Mở Powershell lên và oánh các lệnh sau)
Mở Start-> Windows PowerShell-> Phải chuột vào Windows Powershell chọn Run as administrator
Copy từng dòng Paste vào. Nếu nó hiện lỗi gì thì bỏ qua sang dòng khác
Remove-WindowsFeature FS-SMB1
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled
Set-SmbServerConfiguration -EnableSMB2Protocol $false
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force
B. Chặn port 445/137/138/139 trên Firewall
Máy nào cài Antivirus mà có tường lửa riêng thì phải cấu hình trên tường lửa riêng
của Anivirus
Còn máy nào ko xài Antivirus hoặc Windows Defener thì làm như sau
B1: Mở Start search cụm từ Firewall và chọn Windows Firewall with Advanced security
B2: Inbound Rules-> New Rule-> Port
B3: Chọn UDP-> Specific local ports nhập dòng này vào 445, 137, 138, 139
B4: Block the connection
B5: Tick cả 3 cái
B6: Đặt tên tùy ý-> finish
B7: Kiểm tra lại xem bật firewall chưa, chưa thì bật lên
C. Tắt Server service
B1: Run-> Services.msc
B2: Tìm tới Services Server. Phải chuột chọn Stop
B3: Double click vào nó. Startup type sửa thành Disabled. Apply->OK
Đây là cách ngăn chặn các cổng cung cấp các link ransomware, ngừa còn hơn chữa

Thanh niên nào bị dính thì RIP :v cài lại win hoặc mua máy mới cho chắc ăn :v
Tuyệt đối không tải thêm file khác với tiêu đề là "phá mã ransomware này nọ" vì bên tấn công đã biết và tắt cái kill switch đi rồi nên cách giải pháp sửa chữa đã vô dụng :v

Via: Nguyễn Hoàng Anh Vũ
#KSC