WannaCry

Hiện nay chủ đề về tấn công Ransomware đang được giới bảo mật toàn cầu và tất cả khách hàng quan tâm. Fortinet Vietnam xin tóm tắt lại một vài thông tin về cuộc tấn công này cũng như cách mà giải pháp Fortinet có thể bảo vệ hệ thống của khách hàng.
Ransomware là loại mã độc khóa dữ liệu đòi tiền chuộc. Wannacry là loại Ransomware đang làm mưa làm gió hiện nay

Ransomware-vs-Fortinet

 

Qui trình bị tấn công thực tế của WannaCry được mô phỏng lại từ máy ảo, Sandbox

Một vài trang thông tin quốc tế:
http://money.cnn.com/2017/05/12/technology/ransomware-attack-nsa-microsoft/index.html
http://hk.on.cc/hk/bkn/cnt/news/20170513/bkn-20170513041006429-0513_00822_001.html
Vào ngày 12/5/2017, FortiGuard Labs đã bắt đầu theo dõi một biến thể ransomware đang phân tán nhanh chóng. Tương tự các ransomware khác, sau khi xâm nhập vào một máy tính, nó sẽ bắt đầu quét toàn bộ mạng nội bộ và lây lan ra tất cả máy tính cùng hệ thống. Hiện nay, phạm vi lây lan của mã độc tống tiền này đã lên tới 99 quốc gia trong đó đáng chú ý là Dịch vụ Y tế Quốc gia Anh (NHS), Bộ Nội Vụ Nga và Trường Đại Học Trung Quốc, các hãng viễn thông của Tây Ban Nha và Hungary.
Biến thể ransomware này hiển thị rất nhiều tên khác nhau như WCry, WannaCry, WanaCrypt0r, WannaCrypt hay Wana Decrypt0r. Mã độc này được xác định tấn công dự trên lỗ hỗng trên Microsoft Server Message Block (SMB v.1) trong hệ điều hành Windows bằng cách khai thác EternalBlue.
Những hệ điều hành Microsoft bị ảnh hưởng:
  • Windows Vista SP2.
  • Windows Server 2008 SP2 và R2 SP1, 2012 và R2, 2016.
  • Windows 7, 8.1, RT8.1, 10.
Microsoft đã cho ra bản vá lỗ hổng này trong tháng 3 tại Microsoft Security Bulletin  MS17-010. Cùng thời điểm này, Fortinet cũng đã cập IPS signature “MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution” để phát hiện và ngăn chặn lỗ hổng bảo mật này. Hiện tại, Fortinet cũng đã cập nhật AV signature mới để phát hiện và ngăn chặn cuộc tấn công này. Các hãng thứ ba cũng đã thử nghiệm và xác nhận sự hiệu quả của Fortinet Anti-virus và FortiSandbox trong việc ngăn chặn loại malware này.
Fortinet AV signature to WannaCryptor: http://fortiguard.com/encyclopedia/virus/7385618/w32-filecoder-wannacryptor-d-tr
Fortinet IPS signature to MS17-010: https://fortiguard.com/encyclopedia/ips/43796
Chuyện gì xảy ra nếu người dùng bị nhiễm WannaCryptor?
Khi đã xâm nhập vào máy tính, WannaCryptor sẽ tự động xóa/ ẩn chính nó và thư mục chứa nó sau đó nhanh chóng mã hóa toàn bộ file quan trọng và đưa ra thông báo như screenshot ở dưới:

Fortinet-vs-Ransomware-Wannacry-01

Fortinet-vs-Ransomware-Wannacry-02
Dưới đây là những khuyến nghị gửi đến những người dùng Fortinet để có thể phòng chống được cuộc tấn công ransomware này:
1. Cài đặt những bản vá được Microsoft cập nhật.
2. Nếu khách hàng đang sử dụng giải pháp FortiSandbox, chắc chắn không có file đang queue trong hàng đợi chờ phân tích. FortiSandbox có thể phát hiện WannaCryter biến thể trên WWINXP và WIN7. Sau khi phát hiện, FortiSandbox ngay lập tức tạo signature và cập nhận đến cho FortiGate và FortiMail để block cuộc tấn công này. Hệ thống của khách hàng sẽ tự động được bảo vệ.
Fortinet-vs-Ransomware-Wannacry-03
3. Nếu hệ thống của khách hàng đang có FortiGate Firewall, chắc chắn FortiGate AV, IPS/ App control signature đã được cập nhật bản mới nhất theo thông tin screenshot dưới đây:

Fortinet-vs-Ransomware-Wannacry-04

Và chắc chắn Fortinet AV/ IPS inspection / web filtering engine được bật để ngăn chặn Malware được download về máy.

Fortinet-vs-Ransomware-Wannacry-05

Với hệ thống không cần thiết sử dụng SAMBA/ SMB, Fortinet khuyến nghị khách hàng dùng policy để chặn UDP port 137/ 138 và TCP port 139/ 445.

Fortinet-vs-Ransomware-Wannacry-06

 

4. Nếu khách hàng sử dụng FortiClient, chắn chắn AV và Application Control được bật và signature up-to-date. FortiClient có thể ngăn chặn được WannaCrypter ransomware.

Fortinet-vs-Ransomware-Wannacry-07

Từ FortiGate/ EMS, khách hàng có thể quét FortiClient để kiểm tra Windows đã cài đặt bản vá hay chưa.
5. Nếu khách hàng đang sử dụng FortiMail, kiểm tra FortiGuard đã được update với bản AV signature mới nhất, biến thể WannaCryptor ransomware sẽ bị phát hiện qua bản mới nhất này.
Fortinet-vs-Ransomware-Wannacry-08Fortinet-vs-Ransomware-Wannacry-07
6. Nếu hệ thống khách hàng đã cập nhật FOS 5.6 Security Fabric, khách hàng có thể kiểm tra  tình trạng của FortiGate, FortiClient, FortiSandbox và có cái nhìn toàn hệ thống mạng.

Fortinet-vs-Ransomware-Wannacry-09

Để cập nhật thông tin mới nhất về WannaCryptor Ransomware, mọi người có thể theo dõi ở link dưới:
Protecting Your Organization from the WCry Ransomware

fortinet

Việt Nam nằm trong top 20 quốc gia, vùng lãnh thổ bị ảnh hưởng nhất, bên cạnh Ukraina, Ấn Độ, Trung Quốc, Đài Loan… Trên đồ họa của New York Times về WannaCry, Việt Nam xuất hiện với “điểm nóng” là Hà Nội và TP HCM. Có tới 52% máy tính ở Việt Nam tồn tại EternalBlue – lỗ hổng đang bị mã độc WannaCry khai thác.

wanna-png-2194-1494902876

Bản đồ vùng ảnh hưởng của WannaCry

Mọi liên hệ hỗ trợ kỹ thuật, tư vấn thêm về giải pháp, vui lòng liên hệ với Kỹ sư Innotel: (84 8) 3862 1119
1. Mr.Khoa – 0974.983.731 (khoa.ha@innotel.com.vn)
2. Mr.Hiếu – 0933022466 (hieu.ht@innotel.com.vn)
Công ty Innotel – Thuận Phong cung cấp, phân phối và tư vấn các giải pháp bảo mật của Fortinet với giá cực tốt.
Đối với dự án Công ty Innotel – Thuận Phong có thể hỗ trợ khách hàng từ a-z (từ tư vấn đến triển khai, từ đăng ký bảo vệ deal đến giá tốt)
Tham khảo thêm tại: https://innotel.vn/gian-hang/fortinet/
Liên Hệ Mua hàng: 0985184933 – Email: marcom@innotel.com.vn

 

WannaCry là một ransomware (phần mềm tống tiền) đang hoành hành trên Internet trong suốt những ngày qua. Vậy khi máy tính của bạn bị nhiễm WannaCry, trông nó sẽ như thế nào?

 Chiếc PC được thử nghiệm chứa một số file rtf (tài liệu), mp3 (đa phương tiện) và jpg (ảnh). WannaCry lây nhiễm rất nhiều loại file khác nhau, chứa các dữ liệu quan trọng của người dùng
Chiếc PC được thử nghiệm chứa một số file rtf (tài liệu), mp3 (đa phương tiện) và jpg (ảnh). WannaCry lây nhiễm rất nhiều loại file khác nhau, chứa các dữ liệu quan trọng của người dùng
 Đây là file thực thi của WannaCry. Nó có dung lượng 3.35MB và được giả dạng một phần mềm của Windows
Đây là file thực thi của WannaCry. Nó có dung lượng 3.35MB và được giả dạng một phần mềm của Windows
 Sau khi chạy, WannaCry bắt đầu tiến hành mã hóa dữ liệu bằng thuật toán RSA 2048-bit, gần như không thể giải mã. Màn hình nền của người dùng sẽ bị thay đổi thành hình ảnh thông báo Dữ liệu quan trọng của bạn đã bị mã hóa
Sau khi chạy, WannaCry bắt đầu tiến hành mã hóa dữ liệu bằng thuật toán RSA 2048-bit, gần như không thể giải mã. Màn hình nền của người dùng sẽ bị thay đổi thành hình ảnh thông báo “Dữ liệu quan trọng của bạn đã bị mã hóa”
 Nếu máy tính của bạn kích hoạt tính năng UAC (User Account Control), một thông báo yêu cầu cấp quyền sẽ hiện ra. Đây thực chất là câu lệnh của WannaCry nhằm tắt tính năng back-up dữ liệu Volume Shadow Copy và xóa toàn bộ bản sao trước đó.
Nếu máy tính của bạn kích hoạt tính năng UAC (User Account Control), một thông báo yêu cầu cấp quyền sẽ hiện ra. Đây thực chất là câu lệnh của WannaCry nhằm tắt tính năng back-up dữ liệu Volume Shadow Copy và xóa toàn bộ bản sao trước đó.
 Tất cả dữ liệu người dùng sẽ bị mã hóa với đuôi .WNCRY, kèm theo một shortcut đến công cụ giải mã
Tất cả dữ liệu người dùng sẽ bị mã hóa với đuôi .WNCRY, kèm theo một shortcut đến công cụ giải mã
 Một tập tin .txt cũng được tạo ra, giải thích lý do dữ liệu người dùng bị mã hóa
Một tập tin .txt cũng được tạo ra, giải thích lý do dữ liệu người dùng bị mã hóa
Q: What’s wrong with my files?
A: Ooops, your important files are encrypted. It means you will not be able to access them anymore until they are decrypted.
If you follow our instructions, we guarantee that you can decrypt all your files quickly and safely!
Let’s start decrypting!
Q: What do I do?
A: First, you need to pay service fees for the decryption.
Please send $300 worth of bitcoin to this bitcoin address: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
Next, please find an application file named “@WanaDecryptor@.exe”. It is the decrypt software.
Run and follow the instructions! (You may need to disable your antivirus for a while.)
Q: How can I trust?
A: Don’t worry about decryption.
We will decrypt your files surely because nobody will trust us if we cheat users.
* If you need our assistance, send a message by clicking on the decryptor window.

 

 Sau khi quá trình mã hóa thành công, màn hình tống tiền của WannaCry sẽ xuất hiện.
Sau khi quá trình mã hóa thành công, màn hình tống tiền của WannaCry sẽ xuất hiện.
 Để lấy lại dữ liệu, người dùng sẽ có 3 ngày để trả 300 USD qua Bitcoin.
Để lấy lại dữ liệu, người dùng sẽ có 3 ngày để trả 300 USD qua Bitcoin.
 Sau 3 ngày, mức chuộc sẽ tăng lên gấp đôi (600 USD)
Sau 3 ngày, mức chuộc sẽ tăng lên gấp đôi (600 USD)
 Chương trình này hỗ trợ nhiều ngôn ngữ khác nhau, bao gồm cả tiếng Việt
Chương trình này hỗ trợ nhiều ngôn ngữ khác nhau, bao gồm cả tiếng Việt
Chuyện gì Đã xảy ra với Máy tính của tôi?
Các tệp tin quan trọng của bạn được mã hóa.
Nhiều tài liệu, ảnh, video, cơ sở dữ liệu và các tệp khác của bạn không còn có thể truy cập vì chúng đã được mã hóa. Có thể bạn đang bận tìm cách khôi phục tệp của mình, nhưng đừng phí thời gian. Không ai có thể phục hồi các tập tin của bạn mà không có dịch vụ giải mã của chúng tôi.
Tôi có thể Khôi phục các tệp của tôi?
Chắc chắn rồi. Chúng tôi đảm bảo rằng bạn có thể khôi phục lại tất cả các tệp tin một cách an toàn và dễ dàng. Nhưng bạn không có đủ thời gian.
Bạn có thể giải mã một số tệp của bạn miễn phí. Hãy thử ngay bằng cách nhấp vào .
Nhưng nếu bạn muốn giải mã tất cả các tệp tin, bạn cần phải trả tiền.
Bạn chỉ có 3 ngày để gửi thanh toán. Sau đó giá sẽ tăng lên gấp đôi.
Ngoài ra, nếu bạn không trả tiền trong 7 ngày, bạn sẽ không thể phục hồi các tệp của bạn mãi mãi.
Chúng tôi sẽ có các sự kiện miễn phí cho người dùng quá nghèo mà họ không thể trả trong 6 tháng.
Làm thế nào để tôi trả tiền?
Thanh toán chỉ được chấp nhận trong Bitcoin. Để biết thêm thông tin, hãy nhấp vào .
Vui lòng kiểm tra giá hiện tại của Bitcoin và mua một ít bitcoins. Để biết thêm thông tin, hãy nhấp vào .
Và gửi đúng số tiền đến địa chỉ được chỉ định trong cửa sổ này.
Sau khi thanh toán, nhấp vào . Thời gian tốt nhất để kiểm tra: 9:00 sáng – 11:00 sáng GMT từ Thứ Hai đến Thứ Sáu.
Khi thanh toán được kiểm tra, bạn có thể bắt đầu giải mã các tệp ngay lập tức.
Tiếp xúc
Nếu bạn cần sự trợ giúp của chúng tôi, hãy gửi một tin nhắn bằng cách nhấp vào .
Chúng tôi thực sự khuyên bạn không nên gỡ bỏ phần mềm này và vô hiệu hóa chống vi rút trong một thời gian, cho đến khi bạn thanh toán và thanh toán được xử lý. Nếu chống vi rút được cập nhật và loại bỏ phần mềm này tự động, nó sẽ không thể phục hồi các tập tin của bạn ngay cả khi bạn trả tiền!
 WannaCry cho phép giải mã một số tập tin miễn phí, tuy nhiên theo thử nghiệm của chúng tôi thì nó chỉ giải mã các tập tin cache của trình duyệt, khá vô dụng. Thông báo Trả tiền ngay nếu muốn giải mã toàn bộ tập tin của bạn cũng sẽ hiện ra
WannaCry cho phép giải mã một số tập tin “miễn phí”, tuy nhiên theo thử nghiệm của chúng tôi thì nó chỉ giải mã các tập tin cache của trình duyệt, khá vô dụng. Thông báo “Trả tiền ngay nếu muốn giải mã toàn bộ tập tin của bạn” cũng sẽ hiện ra

 Bên trong folder của WannaCry có chứa file tor.exe. Đây là dịch vụ được hacker sử dụng để đảm bảo tính ẩn danh, thông qua việc mã hóa dữ liệu đến mạng Internet

Bên trong folder của WannaCry có chứa file tor.exe. Đây là dịch vụ được hacker sử dụng để đảm bảo tính ẩn danh, thông qua việc mã hóa dữ liệu đến mạng Internet.
Theo GenK

Công ty Innotel – Thuận Phong cung cấp, phân phối và tư vấn các giải pháp bảo mật như firewall cứng và mềm như Fortinet, Sophos, Kaspersky,…, phần mềm bản quyền như Windows, Autodesk,…với giá cực tốt.
Đối với dự án Công ty Innotel – Thuận Phong có thể hỗ trợ khách hàng từ a-z (từ tư vấn đến triển khai, từ đăng ký bảo vệ deal đến giá tốt)
Tham khảo thêm tại: https://innotel.vn/san-pham/
Liên Hệ: 0985184933 – Email: marcom@innotel.com.vn