Bảo vệ cơ sở dữ liệu của bạn khỏi Ransomware Wannacry từ FORTINET

Ransomware-vs-Fortinet

Please rate this

Hiện nay chủ đề về tấn công Ransomware đang được giới bảo mật toàn cầu và tất cả khách hàng quan tâm. Fortinet Vietnam xin tóm tắt lại một vài thông tin về cuộc tấn công này cũng như cách mà giải pháp Fortinet có thể bảo vệ hệ thống của khách hàng.
Ransomware là loại mã độc khóa dữ liệu đòi tiền chuộc. Wannacry là loại Ransomware đang làm mưa làm gió hiện nay

Ransomware-vs-Fortinet

 

Qui trình bị tấn công thực tế của WannaCry được mô phỏng lại từ máy ảo, Sandbox

Một vài trang thông tin quốc tế:
http://money.cnn.com/2017/05/12/technology/ransomware-attack-nsa-microsoft/index.html
http://hk.on.cc/hk/bkn/cnt/news/20170513/bkn-20170513041006429-0513_00822_001.html
Vào ngày 12/5/2017, FortiGuard Labs đã bắt đầu theo dõi một biến thể ransomware đang phân tán nhanh chóng. Tương tự các ransomware khác, sau khi xâm nhập vào một máy tính, nó sẽ bắt đầu quét toàn bộ mạng nội bộ và lây lan ra tất cả máy tính cùng hệ thống. Hiện nay, phạm vi lây lan của mã độc tống tiền này đã lên tới 99 quốc gia trong đó đáng chú ý là Dịch vụ Y tế Quốc gia Anh (NHS), Bộ Nội Vụ Nga và Trường Đại Học Trung Quốc, các hãng viễn thông của Tây Ban Nha và Hungary.
Biến thể ransomware này hiển thị rất nhiều tên khác nhau như WCry, WannaCry, WanaCrypt0r, WannaCrypt hay Wana Decrypt0r. Mã độc này được xác định tấn công dự trên lỗ hỗng trên Microsoft Server Message Block (SMB v.1) trong hệ điều hành Windows bằng cách khai thác EternalBlue.
Những hệ điều hành Microsoft bị ảnh hưởng:
  • Windows Vista SP2.
  • Windows Server 2008 SP2 và R2 SP1, 2012 và R2, 2016.
  • Windows 7, 8.1, RT8.1, 10.
Microsoft đã cho ra bản vá lỗ hổng này trong tháng 3 tại Microsoft Security Bulletin  MS17-010. Cùng thời điểm này, Fortinet cũng đã cập IPS signature “MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution” để phát hiện và ngăn chặn lỗ hổng bảo mật này. Hiện tại, Fortinet cũng đã cập nhật AV signature mới để phát hiện và ngăn chặn cuộc tấn công này. Các hãng thứ ba cũng đã thử nghiệm và xác nhận sự hiệu quả của Fortinet Anti-virus và FortiSandbox trong việc ngăn chặn loại malware này.
Fortinet AV signature to WannaCryptor: http://fortiguard.com/encyclopedia/virus/7385618/w32-filecoder-wannacryptor-d-tr
Fortinet IPS signature to MS17-010: https://fortiguard.com/encyclopedia/ips/43796
Chuyện gì xảy ra nếu người dùng bị nhiễm WannaCryptor?
Khi đã xâm nhập vào máy tính, WannaCryptor sẽ tự động xóa/ ẩn chính nó và thư mục chứa nó sau đó nhanh chóng mã hóa toàn bộ file quan trọng và đưa ra thông báo như screenshot ở dưới:

Fortinet-vs-Ransomware-Wannacry-01

Fortinet-vs-Ransomware-Wannacry-02
Dưới đây là những khuyến nghị gửi đến những người dùng Fortinet để có thể phòng chống được cuộc tấn công ransomware này:
1. Cài đặt những bản vá được Microsoft cập nhật.
2. Nếu khách hàng đang sử dụng giải pháp FortiSandbox, chắc chắn không có file đang queue trong hàng đợi chờ phân tích. FortiSandbox có thể phát hiện WannaCryter biến thể trên WWINXP và WIN7. Sau khi phát hiện, FortiSandbox ngay lập tức tạo signature và cập nhận đến cho FortiGate và FortiMail để block cuộc tấn công này. Hệ thống của khách hàng sẽ tự động được bảo vệ.
Fortinet-vs-Ransomware-Wannacry-03
3. Nếu hệ thống của khách hàng đang có FortiGate Firewall, chắc chắn FortiGate AV, IPS/ App control signature đã được cập nhật bản mới nhất theo thông tin screenshot dưới đây:

Fortinet-vs-Ransomware-Wannacry-04

Và chắc chắn Fortinet AV/ IPS inspection / web filtering engine được bật để ngăn chặn Malware được download về máy.

Fortinet-vs-Ransomware-Wannacry-05

Với hệ thống không cần thiết sử dụng SAMBA/ SMB, Fortinet khuyến nghị khách hàng dùng policy để chặn UDP port 137/ 138 và TCP port 139/ 445.

Fortinet-vs-Ransomware-Wannacry-06

 

4. Nếu khách hàng sử dụng FortiClient, chắn chắn AV và Application Control được bật và signature up-to-date. FortiClient có thể ngăn chặn được WannaCrypter ransomware.

Fortinet-vs-Ransomware-Wannacry-07

Từ FortiGate/ EMS, khách hàng có thể quét FortiClient để kiểm tra Windows đã cài đặt bản vá hay chưa.
5. Nếu khách hàng đang sử dụng FortiMail, kiểm tra FortiGuard đã được update với bản AV signature mới nhất, biến thể WannaCryptor ransomware sẽ bị phát hiện qua bản mới nhất này.
Fortinet-vs-Ransomware-Wannacry-08Fortinet-vs-Ransomware-Wannacry-07
6. Nếu hệ thống khách hàng đã cập nhật FOS 5.6 Security Fabric, khách hàng có thể kiểm tra  tình trạng của FortiGate, FortiClient, FortiSandbox và có cái nhìn toàn hệ thống mạng.

Fortinet-vs-Ransomware-Wannacry-09

Để cập nhật thông tin mới nhất về WannaCryptor Ransomware, mọi người có thể theo dõi ở link dưới:
Protecting Your Organization from the WCry Ransomware

fortinet

Việt Nam nằm trong top 20 quốc gia, vùng lãnh thổ bị ảnh hưởng nhất, bên cạnh Ukraina, Ấn Độ, Trung Quốc, Đài Loan… Trên đồ họa của New York Times về WannaCry, Việt Nam xuất hiện với “điểm nóng” là Hà Nội và TP HCM. Có tới 52% máy tính ở Việt Nam tồn tại EternalBlue – lỗ hổng đang bị mã độc WannaCry khai thác.

wanna-png-2194-1494902876

Bản đồ vùng ảnh hưởng của WannaCry

Mọi liên hệ hỗ trợ kỹ thuật, tư vấn thêm về giải pháp, vui lòng liên hệ với Kỹ sư Innotel: (84 8) 3862 1119
1. Mr.Khoa – 0974.983.731 (khoa.ha@innotel.com.vn)
2. Mr.Hiếu – 0933022466 (hieu.ht@innotel.com.vn)
Công ty Innotel – Thuận Phong cung cấp, phân phối và tư vấn các giải pháp bảo mật của Fortinet với giá cực tốt.
Đối với dự án Công ty Innotel – Thuận Phong có thể hỗ trợ khách hàng từ a-z (từ tư vấn đến triển khai, từ đăng ký bảo vệ deal đến giá tốt)
Tham khảo thêm tại: http://innotel.vn/gian-hang/fortinet/
Liên Hệ Mua hàng: 0985184933 – Email: marcom@innotel.com.vn

 

Related Posts:

peplink

7 thuật toán cần bằng tải Peplink Outbound Rule

Peplink thiết lập load balance theo Mỗi Access rule và...

hp-1910

Cấu hình Switch HP CLI Procurve

Để cấu hình được switch HP cũng giống như những...

Theme Settings