Phần mềm này là một dạng ransomware, hoạt động theo phương thức mã hóa dữ liệu của nạn nhân và yêu cầu một khoản tiền để chuộc lại. Công ty an ninh mạng Avast nói với CNN rằng họ đã phát hiện ransomware trên ít nhất 99 quốc gia từ Anh cho tới Nhật Bản. Đến thời điểm này, các tổ chức chịu ảnh hưởng của ransomware này đã có cả Dịch vụ y tế quốc gia Anh (NHS), công ty viễn thông Telefónica của Tây Ban Nha và công ty vận chuyển FedEx.
Tải bản vá lỗi Windows và xem những phiên bản bị ảnh hưởng:
- https://technet.microsoft.com/en-us/library/security/ms17-010.aspx (bao gồm tất cả các phiên bản Windows)
Gấp gấp: Cách xử lý mã độc WannaCry khẩn cấp từ cục An toàn thông tin quốc gia
Những tập tin dễ bị tấn công bởi WannaCry nhất:
- Các phần mở rộng tập tin văn phòng thông thường (.ppt, .doc, .docx, .xlsx, .sxi).
- Các định dạng văn phòng ít phổ biến và đặc thù của quốc gia (.sxw, .odt, .hwp).
- Các định dạng lưu trữ, tập tin phương tiện (.zip, .rar, .tar, .bz2, .mp4, .mkv)
- Email và cơ sở dữ liệu email (.eml, .msg, .ost, .pst, .edb).
- Các tập tin cơ sở dữ liệu (.sql, .accdb, .mdb, .dbf, .odb, .myd).
- Mã nguồn và tập tin dự án của nhà phát triển (.php, .java, .cpp, .pas, .asm).
- Khóa và chứng chỉ mã hóa (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
- Các tác giả thiết kế đồ hoạ, tác giả và nhiếp ảnh gia (.vsd, .odg, .raw, .nf, .svg, .psd).
- Tập tin máy ảo (.vmx, .vmdk, .vdi).
Cập nhật mới nhất về WannaCry:
- WannaCry đã ảnh hưởng đến nhiều tổ chức của Việt Nam, nguyên nhân chủ yếu là không đóng cổng 445 trên Windows và không cập nhật bản vá lỗi mới nhất.
- Sau khi xâm nhập được vào máy tính, WannaCry không chỉ khóa dữ liệu, ăn cắp thông tin quan trọng mà còn chiếm đoạt các tài khoản mạng xã hội, email, chat để phát tán đường link chứa ransomware cho bạn bè trong danh sách.
- Chỉ cần 1 máy trong mạng LAN dính thì các máy khác có khả năng rất cao sẽ bị lây nhiễm dù người dùng trên máy khác không click link hoặc tải file về máy.
Cuộc tấn công đã gây ra tình trạng hỗn loạn trên khắp nước Anh. Nhiều bệnh viện đã phải đóng cửa và ngừng hoạt động mà không hề báo trước. Nhân viên phải chuyển sang làm việc bằng phương pháp thủ công với giấy và bút.
Cả NHS và Telefónica đều xác nhận họ đã bị tấn công, ransomware dường như là WannaCry và nó đòi tiền chuộc ít nhất 300 đô la để mở khóa những dữ liệu đã mã hóa. Chậm một ngày số tiền chuộc sẽ tăng lên gấp đôi và sau đó là xóa dữ liệu.
Họ nói rằng nguyên nhân xuất phát từ lỗ hổng trong một phần mềm trên Windows được phát triển bởi NSA (National Security Agency), tổ chức tình báo của Mỹ. Dù lỗ hổng này đã bị rò rỉ từ vài tháng trước và Microsoft cũng đưa ra bản vá nhưng những tổ chức bị ảnh hưởng có lẽ đã không cập nhật phần mềm.
MalwareTech đã xuất bản một bản đồ trực tuyến theo dõi sự lây nhiễm trên toàn thế giới, đáng chú ý là Việt Nam cũng đã xuất hiện trên bản đồ này. Bạn đọc có thể xem tại đây: https://intel.malwaretech.com/botnet/wcrypt/
CCN-CERT, một nhóm phản hồi các tình huống khẩn cấp trên máy tính ở Tây Ban Nha đã đưa ra lời khuyên về cách ứng phó và bản vá của Microsoft để khắc phục.
Tổ chức này cho biết: "Ransomware, một phiên bản của WannaCry, tấn công máy tính bằng cách mã hóa tất cả tập tin và sử dụng lệnh thực thi từ xa thông qua SMB đã được đưa tới máy Windows trên cùng hệ thống".
Khoảng 85% máy tính của Telefónica đã bị ảnh hưởng. Hãng viễn thông của Bồ Đào Nha cũng bị tấn công vào thứ Sáu nhưng không ảnh hưởng tới dịch vụ.
Hãy cập nhật Windows lên phiên bản mới nhất để nhận được bản vá lỗi. Nếu máy tính đã bị tấn công, thử sử dụng các công cụ của No More Ransome để giải mã dữ liệu xem nhé. Với 15 công cụ giải mã Ransomware miễn phí của NMR bạn sẽ không cần bỏ tiền chuộc file nữa