Ransomware "WanaCrypt0r 2.0" là gì và tại sao nó lại gây ra cuộc tấn công lớn đến thế?

Phần mềm mã độc "WanaCrypt0r 2.0" đã tấn công Cơ quan y tế quốc gia Anh NHS, một số công ty lớn nhất của Tây Ban Nha trong đó có hãng viễn thông Telefónica, cũng như rất nhiều máy tính ở Nga, Ukraine và Đài Loan, khiến các máy tính và dữ liệu bị khóa và đòi tiền chuộc.

Ransomware đã sử dụng một lỗ hổng lần đầu tiên được tiết lộ công khai là một phần trong tài liệu liên quan đến NSA để lây nhiễm các máy tính Windows và mã hóa nội dung, sau đó yêu cầu tiền chuộc mới cung cấp chìa khóa giải mã các tệp tin quan trọng.

Vụ tấn công này đã lây nhiễm đến số lượng lớn máy tính trên toàn cầu, chưa đến 6 giờ sau khi nó được các chuyên gia bảo mật phát hiện ra, một phần vì khả năng lây nhiễm trong mạng lưới từ PC đến PC.

Ransomware đã khiến các bệnh viện tại Anh phải chuyển hướng các bệnh nhân cấp cứu – nhưng nó là gì, nó lây nhiễm như thế nào và tại sao nó lại xảy ra?

Ransomware là gì?

Ransomware là một loại phần mềm độc hại cực kỳ khó chịu, nó chặn đường truy cập vào máy tính hoặc dữ liệu và yêu cầu trả tiền chuộc mới giải phóng dữ liệu.

Ransomware hoạt động như thế nào?

Khi một máy tính bị lây nhiễm, ransomware thường liên lạc với máy chủ trung tâm để có thông tin cần thiết kích hoạt, và sau đó nó bắt đầu mã hóa các tập tin trên máy tính bị nhiễm. Một khi tất cả các file được mã hóa, nó sẽ gửi một tin nhắn yêu cầu thanh toán để giải mã các tập tin - và đe dọa phá hủy dữ liệu nếu không được trả tiền, lời đe dọa thường đi kèm với một bộ đếm thời gian để tăng áp lực.

Ransomware lây nhiễm như thế nào?

Hầu hết các ransomware đều được ẩn trong tài liệu Word, các tệp PDF và các tệp tin thông thường khác, chúng được gửi qua email hoặc thông qua nhiễm độc thứ cấp trên các máy tính đã bị ảnh hưởng, cung cấp cửa sau để tiếp tục tấn công.

WanaCrypt0r 2.0 là gì?

Mã độc đang lây nhiễm trong hãng viễn thông Telefónica ở Tây Ban Nha và hàng chục ngàn máy tính trên thế giới là phần mềm tương tự: một ransomware lần đầu tiên bị các chuyên gia bảo mật MalwareHunterTeam phát hiện lúc 9:45 sáng ngày 12/5 (giờ Mỹ).

Chưa đầy 4 tiếng sau, ransomware đã lây nhiễm đến các máy tính của NHS và nhiều hệ thống máy tính trên thế giới. Hiện ransomware này đang được gọi là Wanna Decryptor 2.0, WCry 2, WannaCry 2 và Wanna Decryptor 2.

Hacker đòi bao nhiêu tiền chuộc?

WanaCrypt0r 2.0 đang đòi 300 USD tiền chuộc bằng bitcoin để mở khóa các nội dung trên máy tính.

Chúng là ai?

Những kẻ tạo ra mảnh ransomware này vẫn chưa được biết đến, nhưng WanaCrypt0r 2.0 là nỗ lực thứ hai của chúng để tống tiền. Một phiên bản trước đó, được đặt tên WeCry, đã được phát hiện hồi tháng 2 năm nay: nó đòi người dùng tiền chuộc 0.1 bitcoin (hiện tại có giá trị 177 USD) để mở các tập tin và chương trình.

NSA có liên quan thế nào đến vụ tấn công này?

Một khi người dùng vô tình cài đặt ransomware trên máy tính, nó sẽ cố gắng lây lan sang các máy tính khác trong cùng mạng lưới. Để thực hiện việc này, WanaCrypt0r sử dụng một lỗ hổng trong hệ điều hành Windows, lây lan giữa PC và PC. Lỗ hổng này lần đầu tiên bị tiết lộ là một phần trong các công cụ của NSA bị rò rỉ, và nó được một nhóm hacker vô danh "Shadow Brokers" công bố hồi vào tháng Tư.

Microsoft có hành động nào để bảo vệ người dùng không?

Có. Ngay trước khi Shadow Brokers công bố các tệp tin, Microsoft đã phát hành bản vá cho các phiên bản Windows bị ảnh hưởng, đảm bảo lỗ hổng không thể bị lợi dụng để lây lan phần mềm độc hại giữa các phiên bản đã cập nhật đầy đủ của hệ điều hành. Nhưng vì nhiều lý do, các tổ chức thường chậm cài đặt các bản cập nhật bảo mật trên quy mô rộng.

Shadow Brokers là ai? Có phải chúng đứng sau vụ tấn công này?

Có vẻ Shadow Brokers không trực tiếp tham gia cuộc tấn công, thay vào đó, một nhà phát triển cơ hội nào đó dường như đã phát hiện ra thông tin trong các tệp bị rò rỉ và cập nhật phần mềm của riêng họ. Bản thân Shadow Brokers là ai thì không ai thực sự biết, nhưng nhiều nghi vấn cho rằng đó là các thủ phạm người Nga

Có nên trả tiền chuộc để giải mã dữ liệu?

Đôi khi việc trả tiền chuộc sẽ được giải mã dữ liệu, nhưng đôi khi lại không. Đối với ransomware Cryptolocker một vài năm trước đây, một số người dùng báo cáo rằng họ thực sự đã lấy lại được dữ liệu sau khi trả tiền chuộc, thường khoảng 300 bảng Anh. Nhưng không có đảm bảo nào việc trả tiền sẽ giúp ích, bởi vì bọn tội phạm trực tuyến không phải là những người đáng tin cậy.

Ngoài ra, còn có vấn đề đạo đức: trả tiền chuộc sẽ tiếp sức cho các tội ác xảy ra.

Tôi nên làm gì?

Một khi ransomware đã mã hóa các tập tin của bạn, bạn hầu như không thể làm gì. Nếu bạn có một bản sao lưu các tập tin, bạn sẽ có thể khôi phục lại chúng sau khi đã làm sạch máy tính, nhưng nếu không, các tập tin của bạn có thể "ra đi".

Tuy nhiên, một số ransomware kém cỏi lại bị các nhà nghiên cứu bảo mật tấn công lại, và cho phép việc khôi phục dữ liệu xảy ra. Nhưng những tình huống như thế khá hiếm, và không áp dụng trong vụ tấn công diện rộng như vụ tấn công WanaCrypt0r này.

Vụ tấn công này sẽ kéo dài bao lâu?

Ransomware thường có thời hạn sử dụng ngắn. Khi các nhà cung cấp phần mềm diệt vi rút ra các phiên bản cập nhật mới, họ có thể ngăn ngừa mọi mã độc lây lan và ngăn chặn nguồn gốc lây lan.

Liệu mọi dấu vết có bị xóa hết?

Bitcoin, phương tiện thanh toán mà hacker đang đòi tiền chuộc, rất khó theo dõi, nhưng không phải là không thể. Và với quy mô cuộc tấn công rộng như thế này, các nhà thực thi luật pháp tại nhiều quốc gia sẽ cùng vào cuộc, xem xét họ có thể theo dõi hay không.

Vì sao Cơ quan y tế quốc gia Anh (NHS) lại là mục tiêu?

NHS dường như không phải là mục tiêu đặc biệt, nhưng vì tổ chức này đang dùng phần mềm cũ, không được hỗ trợ. Nhiều đơn vị trong NHS vẫn dùng Windows XP, một phiên bản hệ điều hành của Microsoft từ nửa thập kỷ qua không được cập nhật; và thậm chí những người chạy phiên bản hệ điều hành mới hơn cũng thường không cập nhật bản vá. Đối với một cuộc tấn công lợi dụng lỗ hổng đã được vá cách đây 3 tháng, chỉ cần một chút lơ là cũng có thể trở thành thảm họa.

Hoàng Lan

Tổng hợp từ Guardian

Các tin khác
Công ty loa Việt GoldSound (goldsound.vn) có nhã ý tặng bạn đọc VnReview 02 bộ dàn âm thanh gia đình Bluetooth W80 với giá 1,69 triệu đồng mỗi bộ.
Galaxy S8 và S8+ là bộ đôi smartphone Android được quan tâm nhất hiện nay. Bên cạnh các bài đánh giá về camera, pin và hiệu năng, hôm nay VnReview sẽ tiếp tục đánh giá sản phẩm cao cấp này về mặt âm thanh, 1 tính năng giải trí được nhiều hãng tập trung hiện nay.
Hôm nay, Apple đã phát hành bản cập nhật cho iOS 10.3.2 để sửa các lỗi phát sinh từ phiên bản trước, tăng cường an ninh và giảm mức hao pin cho các thiết bị chạy nền tảng của mình.
Chiến thắng 2 trận và còn một trận chưa đấu, Alpha Go đã chính thức trở thành huyền thoại cờ vây thế giới. Trí tuệ nhân tạo chính thức đánh bại con người.
Galaxy S8 là một trong những smartphone tốt nhất trong năm, nhưng vẫn có một tính năng trên thiết bị này khiến nhiều người dùng cảm thấy khó chịu.
Video cho thấy rằng sư tử biển ngoài thực tế rất khác so với những con sư tử biển đã được thuần hóa trong các rạp xiếc.
Trong một trailer mới đây của bộ phim Spider-Man: Homecoming sẽ ra mắt vào mùa hè này, iPhone 8 đã bất ngờ xuất hiện trên tay của Người Nhện với thiết kế màn hình tràn cạnh.
Với hơn 100 ngôn ngữ được hỗ trợ, Google Translate là công cụ đắc lực trong công việc, học tập và du lịch.
Bitcoin, một loại tiền tệ ảo đang được xem xét đưa vào các hệ thống tài chính, đã đạt những cột mốc giá trị mới trong những tháng gần đây. Từ một thứ "ảo", giờ đây Bitcoin đã trở thành một đồng tiền thực sự có giá trị.
Trong một sự kiện vừa diễn ra tại Bắc Kinh, hãng công nghệ Trung Quốc Xiaomi đã chính thức trình làng chiếc smartphone "pin trâu, màn lớn" Mi Max 2.
 
Đọc nhiều nhất Phản hồi nhiều nhất
VnReview trên facebook
813.630 Thích
Website liên quan