Hướng dẫn phòng chống Virus mã hoá đòi tiền chuộc ransomware cerber | WannaCry

Hướng dẫn phòng chống Virus mã hoá đòi tiền chuộc ransomware cerber | WannaCry
4.4 (88%) 5 votes

Virus mã hoá Ransomware cerber là gì?

Là một dạng mã độc nó khiên các file word, excel và hầu hết các tập tin khác trên máy tính bị nhiễm không thể truy cập và đọc được. Để giải mã cần gửi cho người tấn công một khoản tiền và bạn sẽ nhận được key giải mã để lấy lại dữ liệu.

Một vài ảnh vui về virus WannaCry :

bị dính WannaCry

Một bạn trẻ vọc thử WannaCry 2.0 và cái kết:


Video by: Xuân Hoà

WannaCry – Vụ nhiễm độc ransome-ware lớn nhất trong lịch sử

Hiện tại đã có hơn 70 nước đã được báo bị nhiễm độc. Vài giờ trước Microsoft đã tung ra bản patch khẩn cấp cho các dòng dễ bị nhiễm nhất là 2003, XP, Vista và 2008. Con ransome này hỗ trợ 28 thứ tiếng và có thể mã hóa 179 loại file và nạn nhân phải cúng $300-$600 tiền bitcoin để được giải độc. Tổng thiệt hại tới ngày hôm nay: 91 giao dịch, Tổng BTC đã thu 14.07547599BTC, ước tính $23790.36951829. Con Ransome hoạt động chủ yếu ở Bắc Mỹ và Châu Âu.

Nếu các bạn là IT Manager/SysAdmin/Network Engineer hãy ngay lập tức block 445/137/138/139 trước ngày thứ 2 sắp tới, rủi ro rất lớn sẽ nằm ở các máy tính cá nhân chưa update. Ngoài ra hãy đưa các domain trong diện blacklist vào firewall và log lại để biết được ai đã bị nhiễm con ransomeware WannaCry này. Hiện tại Mac và Linux bình yên vô sự.

Nguyên nhân bị nhiễm độc virus mã hóa cerber:

Một email chứa 1 đường link hoặc 1 file pdf hoặc link dưới dạng “.hta” Vd: “hxxp://graficagbin.com.br/loja/q.hta
hxxp://www.rentasyventas.com/incluir/rk/imagenes.html?retencion=081525418”

Nơi phân phối virus:

Deep web. Block toàn bộ những miền này: cwwnhwhlz52ma.onion
gx7ekbenv2riucmf.onion
xxlvbrloxvriy2c5.onion
57g7spgrzlojinas.onion
76jdd2ir2embyv47.onion
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

ransomware cerber

Biện pháp phòng tránh Virus Ransomware:

  1. Update window patch MS17-010 [ không còn hiệu quả ]
  2.  Update patch khẩn cấp nếu như bạn đang dùng Xp, vista…
  3.  Không thực hiện các giao thức RDP và SMB từ internet
  4.  Cách ly những máy đời cũ khỏi mạng nội bộ.
  5. Back up mọi thứ trong máy lên điện toán đám mấy như Driver, Dropbox, Onedriver,.. Hoặc ổ cứng di động.
  6.  Clear cookies, lịch sử web, phương thức thanh toán bằng internet trên các phương tiện điện tử. Nhằm phòng tránh bị lấy thông tin tài khoản ngân hàng.

Cho các bạn mù tin học như mình thì: Hạn chế download hết mức có thể, không vào mạng bằng lap trong thời gian dài :v

Link patch MS17-10: https://support.microsoft.com/en-us/help/4013389/title

Cập nhật tình hình vềvirus cerber3 :

Update 2.25 am 14/5/2017:

1. Wcry đã tới Sing

2. MS17-010 đã thất thủ, video dưới đây là 2 máy cạnh nhau, kết nối qua mạng Lan, và máy có MS bị Wcry kí sinh, khi share sang máy bên kia lập tức nhiễm độc 🙂))

Một là có thể máy bên trái dính Wcry trước hoặc Wcry kí sinh trên patch ở nguồn. Chưa biết cụ thể ra sao nhưng Microsoft đã ngưng cung cấp bản patch ( ảnh 2 ):v

Update 9:50 sáng  14/5/2017

WannaCry 2.0 đã tới sớm hơn dự kiến, hệ điều hành Linux và Android là nạn nhân tiếp theo, Việt Nam rơi vào Top 20 nước dính đạn hàng đầu

Update 13:12pm 14/5/2017

Hiện tại ở VN theo web https://intel.malwaretech.com/WannaCrypt.html đã có trường hợp dính WannaCry : 1 ở miền Bắc và 1 ở miền Nam.

Theo như nguồn tin thì người dính là owner server của cộng đồng minecraft. Ông này bị dính và tất cả dữ liệu sv bị khóa và sv cũng bị dừng mặc dù có sài vps , nó đòi 10 bitcoin có ng nói là tầm 17000 $ (chính xác theo google là 17 988,40 USD ~ 408tr ). Tạm thời nghỉ chơi game online cũng như xem xiếc đi nhé các thanh niên 🙂))

Update 13:34pm: Đã có thuốc cho WannaCry 2.0, gọi là NomoreCry, hiệu quả đang chờ kiểm chứng 🙂))

Update 14:00pm: Cách phòng tránh ransome hiệu quả nhất đến bây giờ (ST)

1. Cài đặt phần mềm để phòng chống theo gợi ý sau (https://ransomfree.cybereason.com)

2. Các bạn hiểu biết về kỹ thuật có thể thực hiện phương pháp sau để ngăn chặn lây nhiễm loại Ransomware này:

. Copy đoạn sau vào file txt
. Lưu file dưới dạng *.reg
. Chạy file dưởi quyền Administrator trong Windows.
———————————————————————————–
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskdl.exe]
“Debugger”=”taskkill /IM /F taskdl.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskse.exe]
“Debugger”=”taskkill /IM /F taskse.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wannacry.exe]
“Debugger”=”taskkill.exe /IM /F wannacry.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mssecsvc.exe]
“Debugger”=”taskkill.exe /IM /F mssecsvc.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasksche.exe]
“Debugger”=”taskkill.exe /IM /F tasksche.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskhsvc.exe]
“Debugger”=”taskkill.exe /IM /F taskhsvc.exe”

Update 14:50pm 14/5/2017 : Vọc máy của bác Việt Nam bị tấn công.

Sau khi thâm nhập được vào trong máy, bọn thất đức không những khóa và ăn trộm dữ liệu quan trọng trên PC mà còn chiếm đoạt quyền sử dụng các tài khoản Facebook, Skype, Gmail… đang lưu trên PC để giả dạng người dùng, gửi tin nhắn phát tán đường Link chứa Virus Ransomware cho bạn bè và người thân. Kể cả cài Win lại vẫn không rửa được con Virus này nhé :v

Update 15:20pm 14/5/2017 : Tấm khiên chống Wannacry 2.0 đã xuất hiện và đã được test

LƯU Ý: CHỈ DÙNG CHO MÁY CHƯA BỊ NHIỄM

Phần mềm khẩn cấp này được phát triển bởi GDT – Cục phòng chống tội phạm mạng của Tây Ban Nha phát triển, có tác dụng bảo vệ máy ( cụ thể là cmd với registry ) không bị nhiễm mã độc.

Hướng dẫn sử dụng trước khi dùng:
1. Down 2 folder này về, chạy file script EN để chuyển từ tiếng tây ban nha sang Tiếng Anh.
2. Unzip file Nomorecry, chạy file exe là xong. Share mạnh nhé
https://loreto.ccn-cert.cni.es/index.php/s/tYxMah1T7x7FhND

>>NGUỒN TOOL ĐÃ KHÔNG CÒN AN TOÀN, AE NÀO ĐÃ DOWN THÌ SHARE CHO CÁC BẠN CẦN NHÉ<<

Update 21h 14/5/2017.

Biến thể mới đã được confirm với tên nguồn: (ifferfsodp9ifjaposdfjhgosurijfaewrwergwea .com). Hiện tại đã có một vài phương thức để làm chậm quá trình lây lan nhưng mục tiêu đợt này được cho rằng nhằm vào các trang có độ lưu thông lớn mà không có tính bảo mật cao

Update 21:44pm 14/5/2017: BIẾN THỂ TIẾP THEO ĐÃ ĐƯỢC CONFIRM

1.  Biến thể này được triển khai từ 2.0, tấn công vào các trang với lưu lượng giao thông lớn

-> Tạm thời án binh bất động, không xem phim, không down game, không update, nằm ol fb chờ update của mình 🙂))

2. 129 giao dịch đã được tiến hành, tổn thất $33783.37831834.

Update 22:30 14/5/2017: LIST CÁC TRANG ĐANG CHUẨN BỊ BỊ TẤN CÔNG VÀO 15/5 LỘ DIỆN

Các trang bao gồm: NVIDIA, GOOGLE, AMAZON, INTEL, SKYPE, 360 SAFE, RISING, TENCENT, MOZILLA, ADOBE, YAHOO đang nằm trong diện Cực nguy hiểm. Để an toàn, log out và off khỏi mạng internet vào 15/5

Update 7:50 am 15/5/2017:

Đến người dùng điện thoại. Chừng nào Wncry ở dạng .exe thì người dùng Android, IOS hay Window phone vẫn còn an toàn. Tuy nhiên đề phòng các trường hợp những con virus khác đục nước béo cò thì các bạn vẫn làm theo protocol bảo vệ đã được recommend nhé

Update 12:31 pm 15/5/2017: Số tiền tổn thất lên tới 38K $

1. Số tiền tổn thất đã lên tới 38k$
2.Link tool đã update không có dấu hiệu của Worm, an toàn mà down nhé. Bản này CDT ra thêm phần hỗ trợ cho các đời Win thấp XP, 2000. Ae bật preview và xem Readme trước khi chạy exe hay EN. Bat.

Link phía dưới:

https://loreto.ccn-cert.cni.es/index.php/s/tYxMah1T7x7FhND

Update 00:02 am 16/5/2017 : đã có thuốc cho máy bị nhiễm WannaCry

Xác nhận đã có thuốc cho các máy bị nhiễm. Thuốc sẽ tạm dừng việc virus mã hóa file

Tiếp tục cập nhật …

Cứu file bị virus mã hoá:

  • Cách cứu dữ liệu bị virus mã hóa
  • Các công cụ giải mã dữ liệu word excel bị virus mã hóa
  • HD phục hồi file word bị mã hóa.
  • Khôi phục virus mã hóa cerber
  • Cứu file bị mã hóa bởi ransomware cerber
  • phần mềm phục hồi file bị mã hóa

Các mục này mình sẽ cập nhật sau các bạn nhớ theo dõi nhé!.

 

[Nguồn]: Dũng Phạm (Mystown-DW) – idalat.com

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *