Hướng dẫn xử lý mã độc WannaCry

Hiện tại, mã độc có tên là WannaCry khai thác một số lỗ hổng trên hệ điều hành Windows để tấn công vào các máy tính với mục tiêu mã hóa dữ liệu để đòi tiền chuộc, ảnh hưởng tới nhiều tổ chức, cá nhân trên phạm vi toàn cầu.

Cục An toàn thông tin – Bộ Thông tin và Truyền thông hướng dẫn thực hiện biện pháp xử lý khẩn cấp mã độc này như sau:

Thực hiện download và cập nhật ngay các phiên bản hệ điều hành Windows đang sử dụng:

     + Windows XP Service pack 3 32bit

     + Windows 7 32bit

     + Windows 7 64bit

     + Windows 8 32bit

     + Windows 8 64bit

- Cập nhật ngay các chương trình Antivius đang sử dụng. Đối với các máy tính không có phần mềm Antivirus cần tiến hành cài đặt và sử dụng ngay một phần mềm Antivirus: Avira,  AVG, BKAV,...

- Cẩn trọng khi nhận được email có đính kèm và các đường link lạ được gửi trong email, trên các mạng xã hội, công cụ chat…

- Cần thận trọng khi mở các file đính kèm ngay cả khi nhận được từ những địa chỉ quen thuộc. Sử dụng các công cụ kiểm tra phần mềm độc hại trực tuyến hoặc có bản quyền trên máy tính với các file này trước khi mở ra.

- Không mở các đường dẫn có đuôi .hta hoặc đường dẫn có cấu trúc không rõ ràng, các đường dẫn rút gọn link.

*  Tập đoàn công nghệ Bkav đã phát hành công cụ miễn phí kiểm tra Wanna Cry (cũng được gọi là Wanna Crypt0r hoặc Wanna Crypt):

Công cụ miễn phí của Bkav giúp người sử dụng quét xem máy tính có đang bị nhiễm Wanna Cry không. Quan trọng hơn, công cụ này có thể kiểm tra và cảnh báo nếu máy tính có chứa lỗ hổng EternalBlue – lỗ hổng mà Wanna Cry đang khai thác để xâm nhập máy tính.

Người sử dụng có thể tải công cụ từ địa chỉ Bkav.com.vn/Tool/CheckWanCry.exe. Công cụ không cần cài đặt mà có thể khởi chạy luôn để quét. Riêng người sử dụng Bkav Pro hoặc Bkav Endpoint sẽ không cần chạy Tool vì đã có tính năng tự động bảo vệ.

* Đối với quản trị hệ thống:

- Kiểm tra ngay lập tức các máy chủ và tạm thời khóa (block) các dịch vụ đang sử dụng các cổng 445/137/138/139.

- Tiến hành các biện pháp cập nhật sớm, phù hợp theo từng đặc thù cho các máy chủ windows của tổ chức. Tạo các bản snapshot đối với các máy chủ ảo hóa đề phòng việc bị tấn công.

-  Có biện pháp cập nhật các máy trạm đang sử dụng hệ điều hành Windows.

-  Cập nhật cơ sở dữ liệu cho các máy chủ Antivirus Endpoint đang sử dụng. Đối với hệ thống chưa sử dụng các công cụ này thì cần triển khai sử dụng các phần mềm Endpoint có bản quyền và cập nhật mới nhất ngay cho các máy trạm.

-  Sử dụng công cụ kiểm tra lỗ hổng mà mã độc WannaCry do  Công ty Cổ phần Công nghệ An toàn thông tin và Truyền thông Việt Nam (VNIST) cung cấp để  dò quét lỗ hổng EternalBlue trong các dải mạng để phát hiện các máy tính chưa được khắc phục, cập nhật bản vá:

+ Tải về công cụ kiểm tra tại đây: http://vnist.vn/wp-content/uploads/2017/05/VNISTscanner.zip

+ Hướng dẫn sử dụng công cụ Kiểm tra lỗ hổng cho các hệ thống mạng

Bước 1: Tải và giải nén công cụ về máy tính theo địa chỉ đã cung cấp ở trên.

Bước 2: Xác định các địa chỉ Ip hoặc giải mạng của tổ chức, doanh nghiệp (ví dụ: 192.168.1.1/24).

Bước 3: Thực hiện việc dò quét bằng việc thực thi dòng lệnh qua CMD: VNISTscanner.exe 192.168.1.1/24

Bước 4: Theo dõi kết quả quét của công cụ.

Những IP nào xuất hiện cụm từ “is safe” thì địa chỉ IP đó không bị ảnh hưởng bởi lỗ hổng, địa chỉ IP nào xuất hiện cụm từ:

Đây là trường hợp an toàn

 
Đây là trường hợp có lỗ hổng