Kiểm tra máy tính có bị nhiễm WannaCry

Nhập thông tin hệ thống để kiểm tra nguy cơ nhiễm phần mềm độc hại WannaCry

Kết quả kiểm tra

Mức độ nguy cơ: Chưa xác định
Lỗ hổng bảo mật: Chưa xác định
Khuyến nghị: Chưa xác định

Hướng dẫn toàn diện: Cách kiểm tra máy tính có bị nhiễm WannaCry

WannaCry (còn gọi là WannaCrypt) là một loại phần mềm độc hại mã hóa file (ransomware) đã gây ra cuộc tấn công mạng toàn cầu vào tháng 5/2017, ảnh hưởng đến hơn 200,000 máy tính tại 150 quốc gia. Mặc dù đã được vá lỗi từ lâu, WannaCry vẫn là mối đe dọa đối với các hệ thống chưa được cập nhật. Bài viết này sẽ hướng dẫn bạn cách kiểm tra máy tính có bị nhiễm WannaCry và các biện pháp phòng ngừa.

1. WannaCry hoạt động như thế nào?

WannaCry khai thác lỗ hổng EternalBlue trong giao thức Server Message Block (SMB) version 1 của Microsoft Windows. Khi xâm nhập thành công, nó sẽ:

  • Mã hóa các file quan trọng với phần mở rộng .wncry, .wcry, .wncryt
  • Hiển thị thông báo đòi tiền chuộc (thường là 300-600 USD bằng Bitcoin)
  • Lây lan qua mạng nội bộ đến các máy tính khác có lỗ hổng tương tự
  • Tạo các file @Please_Read_Me@.txt@WanaDecryptor@.exe

2. Dấu hiệu máy tính bị nhiễm WannaCry

Các triệu chứng phổ biến bao gồm:

  1. File bị mã hóa: Các file văn phòng (.docx, .xlsx), hình ảnh, video đột ngột có phần mở rộng lạ như .wncry
  2. Thông báo đòi tiền chuộc: Màn hình hiện thông báo màu đỏ với đồng hồ đếm ngược và hướng dẫn thanh toán Bitcoin
  3. Hoạt động mạng bất thường: Lượng truy cập mạng tăng đột biến do phần mềm độc hại tìm kiếm máy chủ khác để lây nhiễm
  4. Dịch vụ SMB bị lỗi: Máy tính không thể truy cập các thư mục chia sẻ mạng
  5. Các tiến trình lạ: Trong Task Manager xuất hiện các tiến trình như mssecsvc.exe hoặc taskdl.exe

3. Cách kiểm tra thủ công máy tính có bị nhiễm WannaCry

3.1 Kiểm tra các file bị mã hóa

Mở File Explorer và tìm kiếm các phần mở rộng sau:

  • *.wncry
  • *.wcry
  • *.wncryt
  • *.WNCRYT

Nếu tìm thấy các file với phần mở rộng trên, máy tính của bạn 99% đã bị nhiễm WannaCry.

3.2 Kiểm tra các file thông báo đòi tiền chuộc

Tìm kiếm các file sau trong ổ đĩa:

  • @Please_Read_Me@.txt
  • @WanaDecryptor@.exe
  • !WannaCry!.txt

Nội dung thông báo đòi tiền chuộc thường chứa:

  • Yêu cầu thanh toán bằng Bitcoin
  • Địa chỉ ví Bitcoin
  • Hướng dẫn giải mã file sau khi thanh toán
  • Đồng hồ đếm ngược (thường 3-7 ngày)

3.3 Kiểm tra Registry

Mở Registry Editor (Win + R → gõ regedit → Enter) và kiểm tra các khóa sau:

  • HKEY_LOCAL_MACHINE\SOFTWARE\WanaCrypt0r
  • HKEY_CURRENT_USER\Software\WanaCrypt0r
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mssecsvc

Nếu tìm thấy các khóa trên, máy tính của bạn đã bị nhiễm WannaCry.

3.4 Kiểm tra các tiến trình đang chạy

Mở Task Manager (Ctrl + Shift + Esc) và kiểm tra các tiến trình sau:

  • mssecsvc.exe
  • taskdl.exe
  • taskse.exe
  • @WanaDecryptor@.exe

Nếu thấy bất kỳ tiến trình nào trong danh sách, ngay lập tức ngắt kết nối mạng và thực hiện các bước khắc phục.

3.5 Kiểm tra kết nối mạng

Mở Command Prompt (Win + R → gõ cmd → Enter) và chạy lệnh:

netstat -ano | findstr "445"

Nếu thấy nhiều kết nối đến cổng 445 từ các địa chỉ IP lạ, máy tính của bạn có thể đang bị tấn công hoặc đã bị nhiễm.

4. Công cụ kiểm tra tự động

Bạn có thể sử dụng các công cụ sau để quét hệ thống:

  • WannaCry Ransomware Detection Tool (từ ESET)
  • Microsoft Safety Scanner (cập nhật định kỳ)
  • Malwarebytes Anti-Ransomware
  • Kaspersky Anti-Ransomware Tool

5. Các biến thể của WannaCry

WannaCry có nhiều biến thể với những đặc điểm khác nhau:

Biến thể Phần mở rộng file Phương thức lây lan Nguồn gốc
WannaCry 1.0 .wncry EternalBlue (SMB) Nhóm Lazarus (Bắc Triều Tiên)
WannaCry 2.0 .wcry EternalBlue + Email lừa đảo Nhóm Lazarus
WannaCry 3.0 .WNCRYT EternalBlue + USB Nhóm không xác định
Uiwix .UIWIX EternalBlue Nhóm không xác định

6. Thống kê về cuộc tấn công WannaCry 2017

Cuộc tấn công WannaCry năm 2017 được coi là cuộc tấn công ransomware lớn nhất lịch sử:

Thống kê Số liệu Nguồn
Số quốc gia bị ảnh hưởng 150+ Europol
Số máy tính bị nhiễm 200,000+ Kaspersky Lab
Thiệt hại tài chính toàn cầu $4-8 tỷ USD Cyence
Số Bitcoin thu được 52.64 BTC (~$140,000 lúc đó) Chainalysis
Tổ chức bị ảnh hưởng nặng nhất Dịch vụ Y tế Quốc gia Anh (NHS) BBC

7. Cách phòng ngừa WannaCry

Để bảo vệ máy tính khỏi WannaCry và các biến thể ransomware khác:

  1. Cập nhật Windows thường xuyên:
    • Bản vá MS17-010 (tháng 3/2017) đã khắc phục lỗ hổng EternalBlue
    • Bật tính năng cập nhật tự động
    • Đối với Windows 7: Cài đặt bản cập nhật KB4012598
  2. Vô hiệu hóa SMBv1:
    • Mở PowerShell với quyền admin và chạy:
      • Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
  3. Sao lưu dữ liệu định kỳ:
    • Sử dụng quy tắc 3-2-1: 3 bản sao, 2 phương tiện khác nhau, 1 bản lưu trữ ngoại tuyến
    • Kiểm tra tính toàn vẹn của file sao lưu
  4. Cài đặt phần mềm diệt virus:
    • Sử dụng các giải pháp như Windows Defender, Kaspersky, Bitdefender
    • Bật tính năng bảo vệ rờiomware
  5. Hạn chế quyền truy cập:
    • Không sử dụng tài khoản Administrator cho công việc hàng ngày
    • Áp dụng nguyên tắc “least privilege”
  6. Giám sát mạng:
    • Sử dụng tường lửa để chặn cổng 445
    • Giám sát lưu lượng mạng bất thường

8. Cách xử lý khi bị nhiễm WannaCry

Nếu máy tính đã bị nhiễm, hãy thực hiện các bước sau:

  1. Ngắt kết nối mạng:
    • Rút dây mạng hoặc tắt Wi-Fi
    • Ngăn chặn sự lây lan sang các máy khác
  2. Không trả tiền chuộc:
    • Không có đảm bảo file sẽ được giải mã
    • Việc trả tiền khuyến khích tội phạm mạng
  3. Sử dụng công cụ giải mã:
    • Thử các công cụ từ No More Ransom
    • Đối với một số biến thể, đã có công cụ giải mã miễn phí
  4. Khôi phục từ sao lưu:
    • Sử dụng bản sao lưu sạch
    • Đảm bảo sao lưu không bị nhiễm
  5. Cài đặt lại hệ thống:
    • Format ổ đĩa và cài đặt lại Windows
    • Cập nhật đầy đủ trước khi khôi phục dữ liệu
  6. Báo cáo sự cố:
    • Thông báo cho bộ phận IT của tổ chức
    • Báo cáo đến các cơ quan chức năng như CERT Việt Nam

9. Các lỗ hổng liên quan đến WannaCry

WannaCry khai thác chủ yếu lỗ hổng EternalBlue (CVE-2017-0144), nhưng cũng liên quan đến:

  • CVE-2017-0143: Lỗ hổng trong SMB có thể dẫn đến thực thi mã từ xa
  • CVE-2017-0145: Lỗ hổng trong SMBv1 cho phép tấn công từ chối dịch vụ
  • CVE-2017-0146: Lỗ hổng trong SMB cho phép tiết lộ thông tin
  • CVE-2017-0148: Lỗ hổng trong Windows Kernel có thể dẫn đến leo thang quyền

Tất cả các lỗ hổng này đã được Microsoft vá trong bản cập nhật MS17-010.

10. Các cuộc tấn công ransomware lớn khác

Ngoài WannaCry, thế giới đã chứng kiến nhiều cuộc tấn công ransomware nghiêm trọng:

  • NotPetya (2017): Gây thiệt hại $10 tỷ, nhắm vào Ukraine nhưng lan rộng toàn cầu
  • Bad Rabbit (2017): Lây lan qua các trang web giả mạo Adobe Flash
  • Ryuk (2018-2019): Nhắm vào các tổ chức lớn với mức tiền chuộc lên đến hàng triệu USD
  • Sodinokibi (REvil) (2019-2021): Tấn công các công ty lớn như JBS, Kaseya
  • Colonial Pipeline (2021): Gây gián đoạn cung cấp xăng dầu tại Mỹ

11. Tài nguyên hữu ích

Nguồn thông tin chính thức:

Hướng dẫn từ US-CERT về WannaCry Chỉ báo xâm nhập từ CISA (Mỹ) Khuyến cáo từ Microsoft về WannaCry

12. Kết luận

WannaCry mặc dù đã cũ nhưng vẫn là mối đe dọa thực sự đối với các hệ thống chưa được bảo vệ. Việc cập nhật hệ thống, vô hiệu hóa các giao thức không an toàn như SMBv1, và sao lưu dữ liệu định kỳ là những biện pháp cơ bản nhưng hiệu quả để phòng ngừa. Nếu nghi ngờ máy tính bị nhiễm, hãy hành động nhanh chóng theo các bước đã hướng dẫn để giảm thiểu thiệt hại.

Hãy nhớ rằng, phòng ngừa luôn tốt hơn chữa trị. Dành thời gian để bảo vệ hệ thống của bạn ngay hôm nay có thể tiết kiệm cho bạn hàng nghìn đô la và nhiều giờ làm việc trong tương lai.

Leave a Reply

Your email address will not be published. Required fields are marked *