logo

Thông báo

Icon
Error

Chia sẻ
Tùy chọn
Xem
Xem bài viết cuối
Offline admin  
#1 Đã gửi : 15/01/2019 lúc 11:13:51(UTC)
admin

Danh hiệu: Administration

Chức danh:

Nhóm: Administrators
Gia nhập: 23-07-2013(UTC)
Bài viết: 5,847
Man
Viet Nam
Đến từ: Vietnam

Cảm ơn: 8 lần
Được cảm ơn: 2 lần trong 2 bài viết

Không chỉ tấn công vào các máy tính cá nhân, mã độc tống tiền WannaCry đã tấn công và làm tê liệt nhiều hệ thống máy tính lớn trên thế giới, khiến cho các tổ chức, doanh nghiệp gặp rất nhiều khó khăn.

WannaCry là gì?

WannaCry là một loại mã độc tống tiền (ransomware), với các tên gọi khác nhau như WannaCrypt0r 2.0 hay WCry. Phần mềm độc hại này mã hóa dữ liệu của máy tính và ngăn cản người dùng truy cập dữ liệu trên đó cho đến khi tin tặc nhận được tiền chuộc. Các chuyên gia cho rằng, mã độc này nguy hiểm vì, nó hỗ trợ tin tặc “giữ” dữ liệu của người dùng làm “con tin” để tống tiền các cá nhân hoặc tổ chức/doanh nghiệp. Việc làm này được cho là hiệu quả hơn việc đánh cắp hoặc xóa đi dữ liệu trên máy tính.

Cơ chế hoạt động của WannaCry

Khi được cài đặt vào máy tính, WannaCry sẽ tìm kiếm các tập tin (thông thường là các tập tin văn bản) trong ổ cứng và mã hóa chúng, sau đó để lại cho chủ sở hữu một thông báo yêu cầu trả tiền chuộc nếu muốn giải mã dữ liệu. Mã độc WannaCry khai thác lỗ hổng của hệ điều hành Windows mà Cơ quan An ninh Quốc gia Mỹ (NSA) đã nắm giữ. Tội phạm mạng đã sử dụng chính những công cụ của NSA để phát tán và lây lan mã độc.

Khi bị nhiễm mã độc WannaCry, người dùng sẽ khó phát hiện, cho đến khi nhận được thông báo cho biết máy tính đã bị khóa và các tập tin đã bị mã hóa. Để khôi phục dữ liệu, người dùng cần phải trả một khoản tiền ảo Bitcoin trị giá khoảng 300 USD cho kẻ tấn công. Sau 3 ngày chưa thanh toán, mức tiền chuộc sẽ tăng lên gấp đôi và sau thời hạn 7 ngày, dữ liệu của người dùng sẽ bị mất. Màn hình của máy tính bị nhiễm WannaCry sẽ hiển thị đầy đủ thông tin để người dùng thanh toán, chạy đồng hồ đếm ngược thời gian và được thể hiện bằng 28 ngôn ngữ khác nhau.

wannacry

Tiến trình cụ thể:

Bước 1, chạy file Exe, tức là người dùng "lỡ" bấm nhầm vào file thực thi để chạy ransomware lên. Để lừa người dùng chạy file này không khó, dụ họ mở một email nào đó hay chạy file tải về từ Torrent với những cái tên hấp dẫn là xong. Biến thể 2.0 của WCry còn có thể tự thực thi khi bạn truy cập vào một trang web đã bị chèn mã độc nữa kìa.

Bước 2: kiểm tra beacon. Ransomware sẽ gọi một link như sau: hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. Nếu link này có trả về phản hồi, tức là hacker đã kiểm soát tên miền này và muốn ransomware dừng lại, thì file exe sẽ không chạy tiếp. Còn nếu không nhận được phản hồi, ransomware tiếp tục việc tấn công. Anh em có thể thấy hacker chọn một tên miền rất vớ vẩn và không có ý nghĩa để không ai chú ý tới cả.

Liên quan đến tên miền này, có một nhà nghiên cứu trẻ tuổi sau khi xem xét mã nguồn của WCry đã phát hiện ra cơ chế beacon nói trên. Anh ta mua tên miền đó với mục tiêu nghiên cứu xem có bao nhiêu người đã bị dính, nhưng không nhờ đây lại là "kill switch" để tạm ngưng malware trong một thời gian. Sau đó anh này có cẩn thận cảnh báo rằng các biến thể mới sẽ xuất hiện bỏ qua bước kill switch này, và thực tế đã có những con ransomware như vậy ra đời sau vụ WCry.

Ở bước thứ 3, WCry sẽ tận dụng cơ chế SMB. SMB là một giao thức truyền tải file của Windows và nó mặc định được bật trên cả Windows lẫn Windows Server nên cả máy PC hay server đều có thể bị dính. Malware dùng cơ chế này để lây lan sang các máy tính khác trong cùng mạng. Với người dùng cá nhân có thể vụ này không làm lây lan nhiều. nhưng với các hệ thống IT doanh nghiệp vốn thường kết nối các máy với nhau thì ảnh hưởng là rất kinh khủng. Anh em nào chưa tắt SMB thì hãy tắt đi nhé.

Lỗ hổng bảo mật SMB này còn được biết tên gọi khác là EternalBlue, nó là một phần trong số các tool hacking của cơ qua an ninh Mỹ NSA đã bị lộ ra ngoài vào khoảng tháng trước bởi một nhóm hacker tự gọi mình là "The Shadow Brokers".

Ở những bước kế tiếp, ransomware chuẩn bị một loạt thứ cho việc vận hành của mình, bao gồm tạo ra một dịch vụ chạy nền, chuẩn bị file Tor và file ví Bitcoin nhằm phục vụ cho việc giao dịch của nạn nhân với hacker. Nó cũng chuẩn bị một file key mã hóa dạng public key. Key này sẽ khớp với private key mà chỉ có hacker đang nắm giữ, cũng là chìa khóa để giải mã các file bị mã hóa.

Chuẩn bị đâu đó xong xuôi thì nó bắt đầu chạy tiến trình mã hóa hầu hết các file trong hệ thống, chủ yếu là file cá nhân và những file quan trọng với các phần mềm. Ransomware cũng như virus, nó cũng tự cho phép mình chạy lên cùng với Windows và tạo ra các bản backup để lỡ có bị xóa thì vẫn còn anh em song sinh sống dậy.

Hacker cũng không quên tắt các process về cơ sở dữ liệu, cụ thể là SQL Server và MySQL, để những website, phần mềm nào đang kết nối với server sẽ không thể hoạt động được. Cái này chủ yếu ảnh hưởng tới doanh nghiệp nhiều hơn chứ còn máy tính cá nhân thì thường chẳng ai dùng làm database server cả. Bằng cách này hacker có thể gây tác động nhiều hơn tới doanh nghiệp và buộc họ trả tiền sớm hơn với mong muốn các app và hệ thống của mình có thể tiếp tục vận hành.

WannaCry_execution_flow

Cách WannaCry lây nhiễm trên diện rộng 

WannaCry có 2 cách thức lây lan chính:

Cách 1: Phát tán qua phương thức thông thường là đính kèm vào các bản “bẻ khóa” của phần mềm rồi chia sẻ lên các trang web có nhiều người truy cập. Mục đích là để người dùng tải về và kích hoạt hoặc truy cập vào các trang web độc hại để lây nhiễm mã độc. Về mặt kỹ thuật, WannaCry phát tán qua các mạng lưới phát tán mã độc và bộ khai thác Exploit Kit. 

Cách 2: Lây lan qua mạng LAN bằng cách khai thác các lỗ hổng EternalBlue của dịch vụ SMB mà NSA phát triển bí mật, nhưng sau đó đã bị nhóm tin tặc ShadowBroker đánh cắp và phát hành công khai. Cách này đã làm cho WannaCry lây lan một cách nhanh chóng trên toàn thế giới.

Giao thức SMB là gì? 

Giao Thức SMB Là Gì?

Giao thức SMB (Server Message Block Protocol) cung cấp giải pháp cho các ứng dụng client trong máy tính để đọc và ghi các file và yêu cầu các dịch vụ từ các chương trình máy chủ trong một mạng máy tính.

Giao thức SMB có thể được sử dụng qua mạng Internet trên giao thức TCP/IP hoặc trên các giao thức mạng khác như Internetwork Packet Exchange và NetBEUI .

Khi sử dụng giao thức SMB, một ứng dụng (hoặc người dùng ứng dụng) có thể truy cập file trong máy chủ từ xa cũng như các nguồn tài nguyên khác, bao gồm máy in, mailslots và named pipe. Do đó, ứng dụng client có thể đọc, tạo và cập nhật các file trên máy chủ từ xa. SMB cũng có thể liên lạc với bất kỳ chương trình máy chủ nào được thiết lập để nhận yêu cầu SMB client.

Kể từ hệ điều hành Windows 95, Microsoft bổ sung hỗ trợ thêm giao thức SMB của client (máy khách) và server (máy chủ).

Đối với các hệ thống UNIX, có sẵn phần mềm chia sẻ Samba. Giao thức SMB được kế thừa và phát triển bởi Microsoft. Một client (máy khách) và máy chủ cho trước có thể thực hiện thiết lập các giao thức khác nhau mà họ thương lượng trước khi bắt đầu một phiên.

Microsoft đã cung cấp phiên bản mã nguồn mở của SMB cho Internet cho Internet Engineering Task Force (IETF). Giao thức này được gọi là Common Internet File System (CIFS), linh hoạt hơn các ứng dụng Internet hiện có như File Transfer Protocol (FTP). Có thể hình dung CIFS là phần bổ sung cho giao thức truyền tải siêu văn bản (Hypertext Transfer Protocol) của Internet để duyệt web.

SMBv1 (Server Message Block version 1) là một trong những giao thức lâu đời nhất, mặc định giao thức này vẫn được kích hoạt trên Windows. SMBv1 là một giao thức cũ và không an toàn, lợi dụng điều này, các cuộc tấn công ransomware gần đây như WannaCry Ransomware và mới đây nhất là Petya (cách thức như WannaCry) đã sử dụng SMBv1 để phát tán nhanh chóng và lây nhiễm hàng nghìn hệ thống trên toàn thế giới.

Thêm nữa giờ đây giới công nghệ đã chuyển sang sử dụng phiên bản SMBv3 an toàn hơn rất nhiều, do đó bạn có thể và nên tắt giao thức SMBv1 cũ này đi để bảo vệ hệ thống của mình an toàn hơn. Trong thực tế, Microsoft đã khuyến cáo và đưa ra nhiều giải pháp cho người dùng để tắt SMBv1 trong nhiều năm qua.

Nhiều quốc gia bị tấn công liên tục

Cuộc tấn công mã độc này đã làm ảnh hưởng đến hàng triệu người dùng. Theo số liệu được công bố trên kênh truyền hình BBC của Anh, chỉ trong thời gian ngắn, cuộc tấn công này đã gây ảnh hưởng tới hơn 150 quốc gia trên thế giới, khiến khoảng 200 nghìn hệ thống mạng bị ảnh hưởng, trong đó có Việt Nam. Đây được coi là một trong những cuộc tấn công mạng gây thiệt hại lớn nhất từ trước tới nay.

Mạng lưới dịch vụ y tế quốc gia Anh (NHS) bị tê liệt trên quy mô lớn vào ngày 12/5/2017 khi bị tấn công bởi mã độc WannaCry. Vụ tấn công gây xáo trộn các hoạt động của NHS trong việc chăm sóc sức khỏe các bệnh nhân. Cơ sở dữ liệu của mạng lưới NHS bị đóng băng, các nhân viên y tế không thể truy cập đến dữ liệu của các bệnh nhân. Lịch hẹn của rất nhiều bệnh nhân đều bị hủy bỏ. Tin tặc yêu cầu mạng lưới này phải trả 230 bảng Anh cho mỗi máy tính để mở khóa và trong thời hạn 7 ngày, nếu không chi trả, các dữ liệu sẽ bị xóa. Ngày 13/5/2017, Chính phủ Anh công bố, 97% cơ sở thuộc mạng lưới NHS đã được khôi phục và NHS đã hoạt động trở lại bình thường.

Đức, Nga, Tây Ban Nha, Mỹ... là những quốc gia cũng bị ảnh hưởng nặng nề bởi các cuộc tấn công mạng trên quy mô lớn. Tại Đức, mã độc này tấn công vào ngành đường sắt gây ảnh hưởng cho một số nhà ga và quầy bán vé. Tại Nga, mã độc này đã tấn công hệ thống công nghệ thông tin ngành đường sắt, nhưng chưa gây ảnh hưởng đến vận hành. Mã độc này cũng lây nhiễm vào một số ngân hàng ở Nga, nhưng chưa có phát hiện nào cho thấy rò rỉ thông tin dữ liệu khách hàng.

Riêng với Tây Ban Nha, mã độc này đã nhằm đến một hãng viễn thông lớn là Telefonica, ảnh hưởng đến một số máy tính của nhà mạng này. Tuy vậy, đại diện hãng này cho biết, vụ tấn công vẫn chưa ảnh hưởng đến thông tin dữ liệu của khách hàng.

Theo bản đồ theo dõi các vùng bị WannaCry tấn công do Intel lập, các quốc gia bị ảnh hưởng nghiêm trọng bao gồm các nước thuộc khu vực ở Châu Âu, Mỹ và Trung Quốc.... Tại Việt Nam, Hà Nội và TP. Hồ Chí Minh cũng xuất hiện trên bản đồ khu vực bị ảnh hưởng. 

Ngày 13/5/2017, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) đã có công văn gửi các đơn vị chuyên trách về an toàn thông tin về việc theo dõi, ngăn chặn kết nối máy chủ điều khiển mã độc WannaCry.

Ngày 16/5/2017, theo thống kê từ Hệ thống giám sát virus của Bkav, tại Việt Nam đã có hơn 1.900 máy tính bị lây nhiễm mã độc tống tiền WannaCry. Trong đó, gần 1.600 máy tính được ghi nhận thuộc 243 tổ chức, doanh nghiệp và gần 300 máy tính là của người sử dụng cá nhân.

Các chuyên gia Bkav cho biết, với khoảng 52% máy tính tại Việt Nam (tức gần 4 triệu máy tính) chưa được vá lỗ hổng EternalBlue, các máy tính này có thể bị nhiễm WannaCry nếu tin tặc mở rộng việc tấn công.

WannaCry 2.0

Ở trên là WannaCry phiên bản đầu tiên, và rất nhanh sau khi nó bị ngăn chặn bằng cơ chế kill switch, các nhà phát triển của nó đã tạo ra phiên bản thứ 2. Con WCry 2.0 này đã đổi tên miền kill switch hoặc thậm chí không còn kill switch nữa, hay ít nhất là các nhà nghiên cứu bảo mật chưa phát hiện ra, nên về lý thuyết là chưa có cách ngăn chặn sự bùng phát kinh khủng của nó. Nhiều khả năng ngay cả hacker sinh ra nó cũng không thể nào chặn đứng sự lây lan của con malware này, nâng sự nguy hiểm của vụ tấn công lên rất nhiều lần. Giống như T-Virus trong phim Resident Evil vậy.

Đợt tấn công thứ hai này còn dữ dội hơn khi đã xuất hiện các công cụ cho phép tùy biến ransomware theo ý thích của hacker mà không tốn nhiều thời gian. Công cụ này tuy không chỉnh sửa cách tấn công của WCry nhưng nó góp phần giúp gia tăng số lượng WCry bị tung ra, và tất nhiên là cũng gây ảnh hưởng nhiều hơn đến người dùng cá nhân và các doanh nghiệp. Ai mà biết được trong nay mai sẽ có thêm công cụ giúp tùy biến cách lây nhiễm và mã hóa của WCry thì sao? Khi đó việc tiêu diệt con ransomware này sẽ cực kì khó khăn.

Cái nguy hiểm nhất ở đây không nằm ở vấn đề kĩ thuật, mà ở con người. Các hacker khác khi thấy hacker tạo ra WCry đã thành công thì họ cũng bắt chước làm theo. Có thể vì mục đích khẳng định danh tiếng, có thể là để thu tiền về xài, nhưng dù gì đi nữa thì số lượng hacker bắt chước làm theo mới đáng lo ngại vì họ đã biết được cách để ăn tiền và họ sẽ đưa cuộc chiến lên một tầm cao mới. Sẽ rất khó để dự đoán những cách tấn công mới của các biến thể WCry 2.0. Chúng ta hoàn toàn bị động trong khâu này và chỉ tới khi ransomware đã bị phát tán thì chúng ta mới có thể nghiên cứu cách tấn công của nó.

Cách phòng chống

Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ đã đưa ra hướng dẫn cách ngăn ngừa và giảm thiểu thiệt hại do WannaCry gây ra như sau:

- Thực hiện cập nhật hệ điều hành Windows đang sử dụng. Riêng đối với các máy tính sử dụng Windows XP, sử dụng bản cập nhật mới nhất dành riêng cho phiên bản này , hoặc tìm kiếm theo từ khóa bản cập nhật KB4012598 trên trang chủ của Microsoft. 

Virus Wanna cry sử dụng lỗ hổng bảo mật ETERNALBLUE để lây lan máy tính người dùng. Tuy nhiên lỗ hổng bảo mật này đã được Microsoft khắc phục trên bản cập nhật bảo mật MS17-010 và được phát hành vào tháng 3. Do đó bạn nên kiểm tra trên trung tâm cập nhật để tải các bản cập nhật (theo mã) này về máy tính của mình (ví dụ, mã cho Windows 7 sẽ là KB4012212 hoặc KB4012215).

- Chặn các port không sử dụng: Set rule chặn port 135,455, 3389, 1389 trong firwall

Theo báo cáo của các hãng phần mềm diệt virus, Wcrypt xâm nhập máy tính thông qua các cổng SMB (Server Message Block). Để ngăn chặn sự xâm nhập của Wcrypt, bạn đóng cổng 445 windows XP và 135 mà virus Wcrypt sử dụng để xâm nhập (trong hầu hết các trường hợp người dùng thường không sử dụng các cổng này).

Để làm được điều này, mở Command Prompt dưới quyền Admin (kích chuột phải vào cmd.exe chọn Run as Administrator). Sau đó nhập từng lệnh dưới đây vào cửa sổ Command Prompt (sau mỗi lệnh sẽ hiển thị trạng thái OK):

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135"

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"

CÁCH TẮT GIAO THỨC SMB TRÁNH VIRUS WANNACRY

Cách đơn giản : Tắt SMBv1 Thông Qua Windows Features

Cách đơn giản nhất để tắt SMBv1 là sử dụng Windows Features. Để tắt SMBv1 thông qua Windows Features, đầu tiên vào Control Panel bằng cách nhập Control Panel khung Search trên Start menu, trên danh sách kết quả tìm kiếm, click chọn để vào Control Panel.

Trên cửa sổ Control Panel, tìm và click chọn Programs and Features.

Tiếp theo trên cửa sổ Programs and Features, tìm và click chọn link Turn Windows Features On or Of ở khung bên trái để mở cửa sổ Windows Features.

Tại đây bạn cuộn xuống tìm và bỏ tích tùy chọn có tên SMB 1.0/CIFS File Sharing Support rồi click chọn OK để lưu lại thay đổi.

Sau khi lưu các thay đổi, Windows sẽ yêu cầu bạn khởi động lại hệ thống để áp dụng thay đổi này, chỉ cần click chọn Restart Now để các thay đổi có hiệu lực.

Windows 8.1 and Windows 10: Add or Remove Programs method

Add-Remove Programs client method

Windows Server 2012 R2 and Windows Server 2016: Server Manager method for disabling SMB

SMB v1

Server Manager - Dashboard method

Một số cách phức tạp dành cho các bạn rành tin học

01. Vô Hiệu Hóa Hỗ Trợ SMBv1 vớ Command Prompt

Chạy lệnh dưới đây trên cửa sổ Command Prompt dưới quyền Admin để vô hiệu hóa hỗ trợ SMBv1:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

02. Tắt SMBv1 Thông Qua PowerShell

Ngoài ra bạn cũng có thể sử dụng Windows PowerShell để tắt SMBv1. Nhập PowerShell vào khung Search trên Start menu, sau đó trên danh sách kết quả tìm kiếm, kích chuột phải vào PowerShell chọn Run as Administrator để mở PowerShell dưới quyền Admin.

Trên cửa sổ PowerShell, nhập lệnh dưới đây để kiểm tra xem SMBv1 đang được bật hay tắt:

Get-SmbServerConfiguration

Trong ví dụ trên bạn có thể thấy giao thức SMBv1 đang được bật. Để tắt SMBv1, bạn sử dụng lệnh dưới đây:

Set-SmbServerConfiguration -EnableSMB1Protocol $false

Ngay sau khi lệnh trên được thực thi, bạn sẽ được yêu cầu xác nhận có muốn tắt SMBv1 hay không, nhập Y rồi nhấn Enter để xác nhận

Lúc này SMBv1 trên hệ thống của bạn đã bị tắt. Nếu muốn kiểm tra lại lần nữa, bạn có thể sử dụng lệnh đầu tiên để xem SMBv1 đã được tắt hay chưa.

Trong trường hợp nếu muốn kích hoạt (bật) lại SMBv1, bạn có thể sử dụng lệnh đưới đây:

Set-SmbServerConfiguration -EnableSMB1Protocol $true

Tắt SMBv1 Thông Qua Windows Registry Editor

Để tắt SMBv1 thông qua Windows Registry, để vào Registry Editor, đầu tiên bạn nhập regedit vào khung Search trên Start menu, trên danh sách kết quả tìm kiếm chọn và mwor Windows Registry để vào Registry Editor

03. Disable SMBv1 Server with Group Policy

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Registry entry: SMB1 REG_DWORD: 0 = Disabled


To configure this by using Group Policy:

  1. Open the Group Policy Management Console. Right-click the Group Policy object (GPO) that should contain the new preference item, and then click Edit.
  2. In the console tree under Computer Configuration, expand the Preferences folder, and then expand the Windows Settings folder.
  3. Right-click the Registry node, point to New, and select Registry Item.

    Registry - New - Registry Item

In the New Registry Properties dialog box, select the following:

  • Action: Create
  • Hive: HKEY_LOCAL_MACHINE
  • Key Path: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
  • Value name: SMB1
  • Value type: REG_DWORD
  • Value data: 0

New Registry Properties - General

This disables the SMBv1 Server components. This Group Policy must be applied to all necessary workstations, servers, and domain controllers in the domain.

Disable SMBv1 Client with Group Policy


To disable the SMBv1 client, the services registry key needs to be updated to disable the start of MRxSMB10 and then the dependency on MRxSMB10 needs to be removed from the entry for LanmanWorkstation so that it can start normally without requiring MRxSMB10 to first start.

This will update and replace the default values in the following 2 items in the registry:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10

Registry entry: Start REG_DWORD: = Disabled

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation

Registry entry: DependOnService REG_MULTI_SZ: “Bowser”,”MRxSmb20″,”NSI”


Note The default included MRxSMB10 which is now removed as dependency

To configure this by using Group Policy:

  1. Open the Group Policy Management Console. Right-click the Group Policy object (GPO) that should contain the new preference item, and then click Edit.
  2. In the console tree under Computer Configuration, expand the Preferences folder, and then expand the Windows Settings folder.
  3. Right-click the Registry node, point to New, and select Registry Item.

Registry - New - Registry Item

In the New Registry Properties dialog box, select the following:

  • Action: Update
  • Hive: HKEY_LOCAL_MACHINE
  • Key Path: SYSTEM\CurrentControlSet\services\mrxsmb10
  • Value name: Start
  • Value type: REG_DWORD
  • Value data: 4

Start Properties - General

Then remove the dependency on the MRxSMB10 that was just disabled

In the New Registry Properties dialog box, select the following:

  • Action: Replace
  • Hive: HKEY_LOCAL_MACHINE
  • Key Path: SYSTEM\CurrentControlSet\Services\LanmanWorkstation
  • Value name: DependOnService
  • Value type REG_MULTI_SZ
  • Value data:
    • Bowser
    • MRxSmb20
    • NSI

Note These three strings will not have bullets (see the following screen shot).

DependOnService Properties

The default value includes MRxSMB10 in many versions of Windows, so by replacing them with this multi-value string, it is in effect removing MRxSMB10 as a dependency for LanmanServer and going from four default values down to just these three values above.

Note When you use Group Policy Management Console, you don't have to use quotation marks or commas. Just type the each entry on individual lines.

Restart required

After the policy has applied and the registry settings are in place, the targeted systems must be restarted before SMB v1 is disabled.

Summary

If all the settings are in the same Group Policy Object (GPO), Group Policy Management displays the following settings.

Group Policy Management Editor - Registry

Công cụ giải mã wannacry miễn phí

Chìa khóa giải mã WannaCry

​​​​​​​Adrien Guinet, một chuyên gia bảo mật người Pháp đã phát hiện ra cách miễn phí để lấy lại những dữ liệu đã bị WannaCry mã hóa. Công cụ này hoạt động trên các nền tảng Windows XP, Windows 7, Vista, Windows Server 2003 và Windows 2008.

Lược đồ mã hóa của WannaCry hoạt động bằng cách tạo ra một cặp khóa trên máy tính của nạn nhân, dựa trên các số nguyên tố. Cặp này gồm một khóa công khai và một khóa cá nhân để mã hóa và giải mã những dữ liệu hệ thống trên máy tính.

Nhằm ngăn chặn nạn nhân tìm được khóa cá nhân để tự mở khóa các tệp tin bị khóa, WannaCry đã gỡ bỏ chìa khóa này khỏi hệ thống khiến nạn nhân không thể tiếp cận việc giải mã, buộc phải trả tiền cho kẻ tấn công để được trả lại dữ liệu.

Theo Guinet, WannaCry sẽ không xóa các số nguyên tố khỏi bộ nhớ trước khi đóng băng bộ nhớ liên kết. Dựa trên phát hiện này, Guinet đã tạo được công cụ giải mã WannaCry mang tên WannaKey. Chương trình sẽ tìm mọi cách để trích xuất được cặp nhóm số nguyên tố được sử dụng trong công thức tạo mã từ bộ nhớ.

Tuy nhiên, để phương pháp này hiệu quả cần hai điều kiện: máy tính của nạn nhân chưa khởi động lại lần nào kể từ lần nhiễm mã độc và bộ nhớ liên kết chưa bị xóa hay định dạng lại.

Công cụ giải mã WannaCry - WanaKiwi

Benjamin Delpy, một lập trình viên cũng đã tạo ra được công cụ giải mã WannaCry dễ sử dụng, có tên là WannaKiwi, dựa trên những phát hiện của Guinet, giúp đơn giản hóa quá trình giải mã những tệp tin bị WannaCry mã hóa.

Công cụ này được cung cấp miễn phí cho các nạn nhân tải về máy, cài đặt và chạy trên các máy nhiễm mã độc thông qua giao diện dòng lệnh cmd.

Các chuyên gia bảo mật cũng lưu ý, công cụ trên tuy không hiệu quả với tất cả các máy, nhưng vẫn là giải pháp mang đến hy vọng cho các nạn nhân của WannaCry để lấy lại dữ liệu.

Ai đang xem chủ đề này?
OceanSpiders 2.0
Chủ đề tương tự
Cẩn thận với mã độc chiếm quyền kiểm soát tài khoản ngân hàng trực tuyến (Kiến thức tiêu dùng)
Bởi Ellry 05-10-2017 lúc 10:28:09(UTC)
Hướng dẫn tìm kiếm mã độc bị include trong database (Bảo mật - Security)
Bởi Ellry 06-09-2016 lúc 05:06:36(UTC)
Phát hiện và xử lý khi Malware website bị chèn mã độc (Bảo mật - Security)
Bởi Ellry 08-12-2015 lúc 01:24:07(UTC)
Di chuyển  
Bạn không thể tạo chủ đề mới trong diễn đàn này.
Bạn không thể trả lời chủ đề trong diễn đàn này.
Bạn không thể xóa bài của bạn trong diễn đàn này.
Bạn không thể sửa bài của bạn trong diễn đàn này.
Bạn không thể tạo bình chọn trong diễn đàn này.
Bạn không thể bỏ phiếu bình chọn trong diễn đàn này.

| Powered by YAF.NET 2.2.4.14 | YAF.NET © 2003-2019, Yet Another Forum.NET
Thời gian xử lý trang này hết 0.568 giây.