Kiểm tra máy tính có bị nhiễm WannaCry

Nhập thông tin để đánh giá nguy cơ và triệu chứng nhiễm mã độc WannaCry

Kết quả đánh giá

Mức độ nguy cơ:
Khả năng nhiễm WannaCry:
Khuyến nghị:

Máy tính bị nhiễm WannaCry trông thế nào? Hướng dẫn nhận biết và xử lý

WannaCry (còn gọi là WannaCrypt) là một loại mã độc tống tiền (ransomware) đã gây ra cuộc tấn công mạng toàn cầu năm 2017, ảnh hưởng đến hơn 200,000 máy tính tại 150 quốc gia. Virus này khai thác lỗ hổng EternalBlue trong giao thức SMB của Windows để lây lan và mã hóa tệp tin, đòi tiền chuộc bằng Bitcoin.

Dấu hiệu nhận biết máy tính bị nhiễm WannaCry

  1. Tệp tin bị mã hóa hàng loạt
    • Các tệp có phần mở rộng được thay đổi thành .wncry, .wcry, .wnry hoặc .wanna
    • Không thể mở các tệp quan trọng như tài liệu Word, Excel, PDF, ảnh, video
    • Xuất hiện biểu tượng tệp bị thay đổi thành biểu tượng trắng hoặc biểu tượng khóa
  2. Thông báo đòi tiền chuộc
    • Xuất hiện cửa sổ pop-up với nội dung đòi tiền chuộc bằng tiếng Anh
    • Thông báo thường có tiêu đề như “Oops, your files have been encrypted!”
    • Yêu cầu thanh toán bằng Bitcoin (thường từ 300-600 USD)
    • Đếm ngược thời gian (thường 3-7 ngày) trước khi tăng số tiền chuộc
  3. Hoạt động hệ thống bất thường
    • Máy tính chạy chậm bất thường do quá trình mã hóa tệp
    • CPU sử dụng ở mức cao (80-100%) trong thời gian dài
    • Xuất hiện các tiến trình lạ trong Task Manager như tasksche.exe hoặc mssecsvc.exe
    • Kết nối mạng tăng đột biến do mã độc cố gắng lây lan
  4. Thay đổi trên desktop
    • Hình nền desktop bị thay đổi thành hình đòi tiền chuộc
    • Xuất hiện tệp @Please_Read_Me@.txt hoặc @WanaDecryptor@.exe trên desktop
    • Các shortcut bị xóa hoặc thay đổi

So sánh WannaCry với các loại ransomware khác

Đặc điểm WannaCry Petya/NotPetya Locky CryptoLocker
Năm xuất hiện 2017 2016 2016 2013
Phương thức lây lan EternalBlue (SMB) EternalBlue + PSExec Email lừa đảo Email lừa đảo
Tốc độ mã hóa Nhanh (phút) Rất nhanh (giây) Chậm (giờ) Trung bình
Số tiền chuộc $300-$600 $300 $200-$500 $100-$700
Khả năng khôi phục Có (nếu chưa reboot) Khó (phá hủy MBR) Khó Rất khó
Mức độ nguy hiểm Cao (9/10) Rất cao (10/10) Trung bình (7/10) Cao (8/10)

Cách xử lý khi máy tính bị nhiễm WannaCry

  1. Ngắt kết nối mạng ngay lập tức
    • Rút dây mạng hoặc tắt WiFi để ngăn chặn lây lan
    • Không kết nối bất kỳ thiết bị lưu trữ nào (USB, ổ cứng)
  2. Không tắt/mở máy tính
    • Với WannaCry, việc reboot có thể làm mất khả năng khôi phục tệp
    • Giữ nguyên trạng thái máy để chuyên gia có thể phân tích
  3. Không trả tiền chuộc
    • Theo FBI, trả tiền không đảm bảo lấy lại dữ liệu
    • Chỉ 29% nạn nhân lấy lại dữ liệu sau khi trả tiền (nguồn: IC3)
    • Tiền chuộc tài trợ cho tội phạm mạng phát triển các biến thể mới
  4. Sử dụng công cụ giải mã
    • Thử các công cụ như WanaKiwi hoặc WannaKey nếu máy chưa reboot
    • Tải từ nguồn uy tín như No More Ransom
    • Cần kỹ năng kỹ thuật để sử dụng hiệu quả
  5. Khôi phục từ bản sao lưu
    • Sử dụng bản sao lưu offline (không kết nối mạng)
    • Đảm bảo sao lưu được tạo trước thời điểm nhiễm
    • Kiểm tra sao lưu không bị nhiễm trước khi khôi phục
  6. Cài đặt lại hệ thống
    • Phương án cuối cùng nếu không thể khôi phục dữ liệu
    • Format ổ đĩa và cài đặt lại Windows từ đầu
    • Áp dụng tất cả bản vá bảo mật trước khi kết nối mạng

Cách phòng ngừa nhiễm WannaCry và ransomware

Biện pháp Mô tả Hiệu quả
Cập nhật Windows Áp dụng bản vá MS17-010 (vá lỗ hổng EternalBlue) 95%
Vô hiệu hóa SMBv1 Tắt giao thức SMB phiên bản 1 qua Group Policy 90%
Sao lưu định kỳ Sao lưu 3-2-1 (3 bản, 2 phương tiện, 1 offline) 100%
Phần mềm diệt virus Sử dụng giải pháp bảo mật có tính năng chống ransomware 85%
Đào tạo nhận thức Huấn luyện nhân viên nhận biết email lừa đảo 80%
Phân quyền hạn chế Không sử dụng tài khoản admin cho công việc hàng ngày 75%
Segment mạng Chia nhỏ mạng để hạn chế lây lan 90%

Tài nguyên hữu ích

Câu hỏi thường gặp về WannaCry

1. WannaCry có thể lây qua USB không?
Phiên bản gốc WannaCry chủ yếu lây lan qua mạng nội bộ sử dụng lỗ hổng EternalBlue. Tuy nhiên, một số biến thể sau này có thể lây qua USB nếu chứa tệp nhiễm và được thực thi.

2. Tại sao không nên reboot máy khi bị nhiễm?
WannaCry sử dụng một lỗ hổng trong quá trình khởi động để xóa khóa giải mã tạm thời lưu trong bộ nhớ. Nếu máy được reboot, khóa này bị xóa vĩnh viễn, làm mất cơ hội khôi phục tệp.

3. Có thể phục hồi tệp bị mã hóa mà không trả tiền không?
Có một số trường hợp có thể phục hồi:

  • Nếu máy chưa được reboot, có thể sử dụng công cụ như WanaKiwi
  • Nếu có bản sao lưu sạch
  • Nếu tệp được lưu trong shadow copies (nếu chưa bị xóa)
  • Nếu mã độc có lỗi trong quá trình mã hóa
Tuy nhiên, tỷ lệ thành công phụ thuộc vào nhiều yếu tố.

4. WannaCry có còn hoạt động năm 2024 không?
Mặc dù đợt bùng phát lớn đã được kiểm soát từ 2017, nhưng:

  • Các biến thể mới vẫn xuất hiện occasionally
  • Nhiều hệ thống cũ chưa được vá vẫn dễ bị tấn công
  • WannaCry thường được sử dụng trong các cuộc tấn công kết hợp
  • Các nhóm tội phạm mạng vẫn sử dụng mã nguồn WannaCry để phát triển ransomware mới

5. Làm thế nào để kiểm tra máy tính có lỗ hổng EternalBlue?
Bạn có thể sử dụng các công cụ sau:

  • Công cụ EternalBlue Scanner từ GitHub
  • Lệnh PowerShell: Get-HotFix | Where-Object {$_.HotFixID -eq "KB4012598"}
  • Các công cụ quét lỗ hổng như Nessus hoặc OpenVAS
  • Kiểm tra cổng 445 có mở không bằng nmap -p 445 [IP]

Leave a Reply

Your email address will not be published. Required fields are marked *