Phân phối phần mềm diệt virus Avast & AVG tại Việt Nam.

Liên tục cập nhập...

Cập nhập 28/03/2018:

            Theo báo cáo mới nhất của tạp chí Seattle Times, một nhà máy sản xuất của Boeing tại Charleston, Nam Carolina đã bị mã độc WannaCry tấn công khiến cho bộ phận quan trọng thuộc dây chuyền sản xuất và lắp ráp tự động của Boeing,  có tên là 777 đã không thể hoạt động. Kỹ sư trưởng Mike VanderWel của Boeing đã phải gửi một thông báo tới toàn bộ công ty, kêu gọi tạm thời dừng tất cả các hoạt động và rà soát kiểm tra lại toàn bộ phần mềm của toàn hệ thống.

 

Cập nhập 16/02/2018:

                Xuất hiện biến thể mới của WannaCry là Black Ruby, tấn công vào máy tính của người dùng, cài đặt phần mềm độc hại, kết hợp giữa việc mã hóa thiết bị đòi tiền chuộc và đào tiền ảo.

 

Cập nhập 24/01/2018:

Công ty cổ phần Cảng Sài Gòn (mã chứng khoán SGP) vừa công bố thông tin hệ thống phần mềm kế toán (hệ thống PL-FS) của công ty bị sự cố nhiễm WannaCry ransomware và bị mã hóa toàn bộ số liệu, dẫn đến không thể đọc được dữ liệu nên công tác lập BCTC quý 4 và cả năm 2017 bị ảnh hưởng, công ty không thể hoàn thành và công bố thông tin về các BCTC quý 4 và cả năm 2017 theo đúng thời hạn quy định (ngày 30/1/2018)

 

Cập nhập 07/09/2017:

            Các chuyên gia bảo mật phát hiện một biến thể mới của Amnesia ransomware giả danh là WannaCry. Biến thể này gắn thêm phần mở rộng .wncry vào các tệp được mã hóa. Tỉ lệ phát hiện trên Virus Total: https://goo.gl/gSSgte  

 

Cập nhập 25/08/2017:

  Theo báo cáo của Theregister, nhiều dịch vụ Y tế ở nước Anh do Lanarkshire quản lý như Bệnh viện Hairmyres, Bệnh viện Monklands, Trung tâm Bệnh viện Wishaw ở Scotland, đã bị nhiễm trở lại WannaCry. Lanarkshire thông báo rằng phải mất 72 tiếng để xử lý sự cố và cảm thấy xấu hổ khi sự cố WannaCry xảy ra lần thứ 2. Các bệnh viện này cũng cảnh báo chỉ xử lý các trường hợp khẩn cấp của các bệnh nhân trong thời gian trên.

  Trước đó, vào giữa tháng 05/2017, trong dịch lây nhiễm WannaCry trên toàn cầu,  hàng loạt máy tính tại 16 trung tâm dịch vụ y tế tại nước Anh đã bị tê liệt hoàn toàn tại Aintree, Blackpool, Bệnh viện Broomfield ở Essex, Bệnh viện Đa khoa Colchester, tất cả các hệ thống bệnh viện ở Derbyshire, Great Yarmouth, Đông và Bắc Hertfordshire, bệnh viện James Paget ở Norfolk, Lanarkshire và Leicester.

  Và cũng theo báo cáo của Theregister, trong thời gian này, một dòng ransomware mới với tên gọi "Defray" cũng đang lây nhiễm và nhắm đến các bệnh viện thông qua các tệp Word có tên là "Báo cáo bệnh nhân" (Patient Report) ở Mỹ và Anh.  

Nguồn:  https://www.theregister.co.uk/2017/08/28/wannacrypt_nhs_victim_lanarkshire_infected_by_malware_again/?mt=1503999335034

Xem thêm: Defray ransomware: Phát hiện Ransomware mới tấn công vào mảng Giáo dục, Y tế và sản xuất công nghệ

Cập nhập 18/08/2017:

   Hôm nay, Theo báo cáo của tờ báo địa phương Seoul Shinmu, Công ty điện tử tiêu dùng LG Electronics đã xác nhận WannaCry ransomware đã lây nhiễm các kiosk tự phục vụ tại các trung tâm dịch vụ khác nhau trên cả nước ở Hàn Quốc và hệ thống đã phải đóng cửa trong 2 ngày để xử lý và ngăn chặn sự lây lan của mã độc này. Theo LG Electronics, vụ việc đã xảy ra hôm 14/08/2017.

 

Cập nhập 03/08/2017:

   Hôm thứ tư, những kẻ tấn công đứng sau vụ WannaCry đã rút hết Bitcoint tại 03 ví điện tử của họ, số tiền tại thời điểm lên tới khoảng 140.000 USD. Đã có 338 nạn nhân trả tiền chuộc đến các ví BTC này. Thông thường các ví BTC của những kẻ tấn công luôn bị theo dõi bởi các cơ quan An ninh tội phạm mạng . Xem chi tiết các ví BTC:  https://goo.gl/fVcYyd ; https://goo.gl/xymgvR ; và https://goo.gl/bfCxJ7 .

 

Cập nhập 24/07/2017:

   Xuất hiện ScreenLocker mới giả dạng WannaCry, ngôn ngữ hiển thị là Thổ Nhĩ Kỳ.  ScreenLocker xâm nhập qua RDP và sử dụng phần mềm EncryptedOnClick để tạo file ZIP được bảo vệ bằng mật khẩu với phần mở rộng .EOC . Tỉ lệ phát hiện trên VirusTotal: https://goo.gl/1FwyHk

 

Cập nhập 05/07/2017:

   Phát hiện WanaCry.Net ransomware phiên bản “Made in China” .  Tỉ lệ phát hiện trên Virus Total: https://goo.gl/r7a2G5

   Cùng ngày cảnh sát Trung Quốc cũng đã công bố bắt giữ 02 tác giả phát triển WannaCry Ransomware  phiên bản cho dành điện thoại thông minh chạy Android. Cảnh sát Trung Quốc cho biết vào ngày 7 tháng 6, họ bắt một người đàn ông 20 tuổi tên là Chen từ Wuhu, tỉnh Anhui, là tác giả chế tạo ra ransomware và một cậu bé 13 tuổi tên là Jinmou, tại thành phố Anyang, tỉnh Hà Nam là nghi can thứ hai phụ trách việc phân phối.

 

Cập nhập 01/07/2017:

   Phát hiện WanaCry.Net ransomware lần đầu phát tán dựa trên NET Framework.  Tỉ lệ phát hiện trên Virus Total: https://goo.gl/kXHs46

 

Cập nhập 22/06/2017:

   Năm mươi lăm (55) máy quay tốc độ và Camera giao thông ở tiểu bang Victoria của Úc đã bị nhiễm  WannaCry.

 

Cập nhập 21/06/2017:

   Đã sau 01 tháng sau sự cố WannaCry bùng phát thì hôm nay Honda đã buộc phải tạm thời đóng cửa nhà máy sản xuất xe hơi tại Sayama, Nhật Bản, sau khi một số hệ thống máy tính của họ đã bị nhiễm WannaCry.

 

Cập nhập 17/06/2017: 
   Phát hiện công cụ giả mạo với tên gọi Wana Decrypt0r Trojan-Syria Editi0n  ransomware.  Tỉ lệ phát hiện trên Virus Total: https://goo.gl/dY9Bqe  

 

Cập nhập 07/06/2017: 

   Phát hiện mẫu android WannaCry đầu tiên tấn công vào điện thoại thông minh ở Trung Quốc. 


Cập nhập 03/06/2017:
   Có thể khôi phục các tập tin bị mã hoá khi nhiễm WannaCry dựa trên những sai sót khi code của Hacker.

 

Cập nhập 30/05/2017:

   Group-IB, một nhà cung cấp bảo mật không gian mạng của Nga đã đưa ra bằng chứng các nhà nghiên cứu tìm thấy các máy chủ C&C chính dùng để điều phối các cuộc tấn công của WannaCry: 

1. Đầu tiên là 210.52.109.22 được giao cho một công ty ở Trung Quốc có tên là China Netcom. Tuy nhiên, Group-IB tuyên bố thông tin trên chỉ được nghe nói từ các nguồn mà các bộ IP như 210.52.109.0/24  được giao cho Triều Tiên trong thời gian chờ đợi. Thông tin này hiện không được xác nhận.

2. Tuy nhiên, vị trí của địa chỉ IP máy chủ C&C thứ hai do Group-IB cung cấp là 175.45.178.222 thuộc về một nhà cung cấp dịch vụ Internet Bắc Triều Tiên. Dịch vụ của Whois chỉ ra rằng địa chỉ này được phân bổ cho Quận Potonggang, nơi Ủy ban Quốc phòng Quốc gia đặt trụ sở - cơ quan quân sự cao nhất ở Bắc Triều Tiên.

 

Cập nhập 24/05/2017:

1. Thống kê 10 ngày sau khi WannaCry bùng phát và lây nhiễm, có khoảng 300.000 thiết bị tại 150 quốc gia trên toàn cầu bị nhiễm WannaCry. Các nhà bảo mật kết luận rằng hơn 98% nạn nhân đều sử dụng Windows 7 (với 64.02% bản 64bit và 34.33% bản 32bit) do Wannacry sử dụng sâu SMB chỉ làm việc hiệu quả trên Windows 7. Hiện tại mô-đun worm của WannaCry vẫn đang tìm kiếm nạn nhân mới.

2. Phát hiện Ransomware 4rw5w, mô phỏng chức năng như WanaCry, các tập tin mã hoá và nối thêm phần mở rộng .4rwcry4w

3. Cho đến nay, gần 400 mẫu của phần mềm độc hại WannaCry đã được phát hiện trong tự nhiên.

 

Cập nhập 23/05/2017:

   Các chuyên gia bảo mật đã xác định được một dòng malware mới tên gọi EternalRocks (hay còn gọi là DoomsDayWorm) tự lây lan bằng cách khai thác lỗ hổng trong giao thức chia sẻ tệp tin SMB của Windows, nhưng khác với WannaCry Ransomware chỉ sử dụng hai công cụ khai thác lỗ hổng trong hệ thống Microsoft của NSA là EternalBlue và DoublePulsar thì EternalRocks malware khai thác cả bảy công cụ khai thác lỗ hổng của NSA bao gồm: 

  1. EternalBlue — Công cụ khai thác SMBv1.

  2. EternalRomance — Công cụ khai thác SMBv1.

  3. EternalChampion — Công cụ khai thác SMBv2.

  4. EternalSynergy — Công cụ khai thác SMBv3.

  5. SMBTouch — Công cụ giám sát SMB. 

  6. ArchTouch — Công cụ giám sát SMB. 

  7. DoublePulsar — Backdoor Trojan.

Xem chi tiết bộ mã tại:

http://avastvn.com/vi/eternalrocks-malware-moi-su-dung-ca-bay-cong-cu-khai-thac-lo-hong-cua-nsa

 

Cập nhập 22/05/2017:

 Xuất hiện 01 dạng biến thể của CryptoLock  với cơ chế lây nhiễm như WannaCry. Tỷ lệ phát hiện trên VirusTotal: https://goo.gl/DoKDpr 

 

Cập nhập 19/05/2017:
1. Benjamin Delpy, một nhà nghiên cứu bảo mật, đã phát hiện ra một cách để lấy ra các khoá mã hóa bí mật sử dụng miễn phí cho việc giài mã WannaCry ransomware. Công cụ có tên WannaKiwi. Link tải về:  https://github.com/gentilkiwi/wanakiwi/releases
2. Adylkuzz: Một ransomware khác giống WannaCry đã phát tán mạnh mẽ tấn công Nga, Ukraine, Thái Lan và Đài Loan nhiều nhất, tiếp theo là Brazil và Ấn Độ, cũng là những mục tiêu lớn của Adylkuzz. Thay vì mã hóa dữ liệu rồi đòi tiền chuộc như WannaCry, thì Adylkuzz sẽ lợi dụng các máy bị nhiễm độc làm công cụ để "đào mỏ" loại tiền ảo có tên Moreno, rồi chuyển số tiền đó cho chính ke tấn công.  Adylkuzz hoạt đông âm thầm và lén lút gây bệnh cho các thiết bị rồi tiến hành "đào mỏ" người dùng.

 

Cập nhập 18/05/2017:

 UIWIX: Một ransomware mới dựa trên lỗ hổng chưa được vá của giao thức Server Message Block (SMB) giống WannaCry đã phát tán và hoành hành ở Trung Quôc.  

Tỷ lệ phát hiện UIWIX trên VirusTotal: https://goo.gl/8c5z9j 

 

Cập nhập 17/05/2017:

 Trong tuyên bố bằng tiếng Anh hôm nay , nhóm Shadow Brokers ( nhóm đã khai thác lỗ hổng Windows SMB dẫn tới thảm hoạ WannaCry) sẽ phát hành thêm nhiều lỗi và lỗi Zero-day khác trên các nền tảng máy tính để bàn và điện thoại di động bắt đầu từ tháng 6 năm 2017 được gọi là "Wine of Month Club". 

Những thông tin rò rỉ mà Shadow Brokers sắp tới tuyên bố sẽ bao gồm:

- Lỗ hổng khai thác cho các trình duyệt web, bộ định tuyến và điện thoại thông minh.
- Lỗ hổng khai thác các hệ điều hành, bao gồm Windows 10.
- Dữ liệu bị tổn hại từ ngân hàng và nhà cung cấp Swift.
-Thông tin mạng bị đánh cắp bị từ các chương trình tên lửa hạt nhân của Nga, Trung Quốc, Iran và Bắc Triều Tiên.

 

Cập nhập 16/05/2017:

1. Đã có khoảng 596 mẫu wannacry khác nhau được phát hiện. Danh sách chi tiết tại:

https://plus.google.com/+avtestorg/posts/X8WgnmxTY4h

2. Không những Kaspersky Lab, Intezer, Symantec, Comae Technologies mà Google cũng tìm thấy mối liên hệ giữa Wannacry với các nhóm Lazarus (DarkSeoul), Joanap, Brambul của Triều Tiên. Tuy nhiên đây chưa phải là kết luận cuối cùng. Nguồn: https://goo.gl/Lh5oZC  

 

Cập nhập 15/05/2017:

1. Đã có khoảng 452 mẫu wannacry khác nhau được phát hiện.

2. Biến thể mới của WannaCry với tên gọi WannaCrypt 4.0:  Như Wanna Crypt v2.5, WannaCrypt 4.0 đang trong giai đoạn phát triển, điều khác biệt vị của mẫu này là ngôn ngữ mặc định cho màn hình khóa là tiếng Thái Lan trong khi WannaCry phiên gốc không hỗ trợ tiếng Thái Lan. Có thể nhà phát triển của WannaCrypt 4.0 này là từ Thái Lan.
Tỷ lệ phát hiện WannaCrypt 4.0 trên VirusTotal: 
https://goo.gl/CxF75v 

3. Biến thể mới của WannaCry với tên gọi Wanna Crypt v2.5

 Tỷ lệ phát hiện Wanna Crypt v2.5 trên VirusTotal: https://goo.gl/3zG4pI

 

Cập nhập 14/05/2017:

1. Đã có khoảng 147 mẫu wannacry khác nhau được phát hiện. 
2. Biến thể mới của WannaCry với tên gọi DarkoderCrypt0r, Tên file mã hoá có phần mở rộng là .DARKCRY 

 Tỷ lệ phát hiện DarkoderCrypt0 trên VirusTotal: https://goo.gl/f8HkGe


Bản tin 13/05/2017:

 Ngày hôm nay, một chiến dịch ransomware khổng lồ đã tấn công vào các hệ thống máy tính của hàng trăm công ty tư nhân và các tổ chức công cộng trên toàn cầu - Hàng chục ngàn máy tính trên toàn thế giới đang rơi vào tình trạng tê liệt sau khi bị một phần mềm mã độc kiểu ransomworm tấn công. Ransomware đã được xác định là một biến thể của ransomware được gọi là WannaCry (còn được gọi là 'Wana Decrypt0r,' 'WannaCryptor' hoặc 'WCRY').

  Phương thức tấn công, cơ chế hoạt động: 

 Mã độc này tấn công giao thức chia sẻ file Server Message Block (SMB) phiên bản 1 của Microsoft, giao thức này có trên những phiên bản cũ của Windows như: XP  Server 2008 R2. Mã độc WannaCry đã được kẻ tấn công khai thác từ một công cụ có tên mã là ETERNALBLUE của NSA. Công cụ được phát triển dựa trên việc NSA khai thác lỗ hổng bảo mật của Windows trong giao thức mạng thường dùng để chia sẻ tệp tin và in ấn. Bằng việc sử dụng các kỹ thuật DOUBLEPULSAR có chức năng như một backdoor xâm nhập vào bên trong hệ thống và cho phép kẻ tấn công chèn các file DDL bất kỳ vào máy tính của nạn nhân. Trong khi hãng Microsoft đã phát hành bản vá cho bộ khai thác ETERNALBLUE và các lỗ hổng khác của SMB v1, thì tin tặc đã phát hiện ra và tiến hành lây nhiễm mã độc này trên hàng ngàn hệ thống chưa được cập nhật bản vá và mở giao thức chia sẻ tệp tin trên Internet. Người dùng sẽ không nhận ra cho tới khi nó tự gửi thông báo tới người dùng, cho biết máy tính họ đã bị nhiễm phần mềm tống tiền này, cho biết mọi tệp tin của họ đã bị mã hóa. Khi đã bị nhiễm WannaCry, nạn nhân được yêu cầu phải trả 300 đô la để loại bỏ và mở khoá máy tính cá nhân. Nếu không, các máy tính cá nhân của họ không sử dụng được, và các tập tin của họ vẫn bị khóa.

Theo các chuyên gia bảo mật: Nguyên nhân bắt nguồn từ Cơ quan An ninh Nội địa Mỹ (NSA). Cụ thể giữa năm 2016, hệ thống máy chủ của NSA bị đột nhập bởi nhóm hacker Shadow Brokers, nhóm này đã đánh cắp thành công hàng trăm công cụ hack của cơ quan này, trong đó có EternalBlue - một công cụ cho phép khai thác lỗ hổng trong hệ thống Microsoft được nghiên cứ và phát triển bởi NSA. Shadow Brokers đã công bố những hình ảnh về EternalBlue ( Công cụ này dựa trên những lỗ hổng chưa được vá của giao thức Server Message Block (SMB), có khả năng vượt qua tường lửa, vượt ảo hoá hoặc các chương trình phân tich malware, xoá bỏ các mục trong event log thường được dùng để kiểm tra các vụ xâm nhập máy tính hoặc mạng, nó cũng có thể tấn công email client trên Windows ( được gọi là WorldTouch), chiếm quyền quản trị máy tính, thu nhận mật khẩu máy tính chạy Windows của nạn nhân và gửi tất cả thông tin về máy chủ được yêu cầu). Sau đó nhóm Shadow Brokers yêu cầu đòi tiền chuộc từ NSA, với số tiền lên tới 10.000 bitcoin (khoảng 8,2 triệu USD năm 2016). Nhưng sau khi công bố các hình ảnh trên, nhóm tuyên bố dừng hoạt động mà không rõ nguyên nhân. Sang đầu 2017, một số thông tin cho thấy EternalBlue được rao bán đấu giá trên web đen (cụ thể là Rampage). Trong khi đang thực hiện phiên bán đấu giá thì tháng 03/2017, chuyên gia bảo mật người Pháp tên Kafeine và Jakub Kroustek- chuyên gia bảo mật của Avast, đã phát hiện ra Wana Decrypt0r Ransomware đã được phát tán và cảnh báo đến Microsoft để tiến hành nâng cấp các bản vá lỗi MS17-010. Đến ngày 14/04/2017, Shadow Brokers bất ngờ chính thức tiết lộ toàn bộ thông tin về lỗ hổng bảo mật của Windows trên GitHub (dịch vụ cung cấp kho lưu trữ mã nguồn dựa trên nền web dành cho các dự án phát triển phần mềm) và đến 13/05/2017 thì WannaCry ransomware (được cho là khai thác một phần bộ mã EternalBlue) chính thức tấn công vào các hệ thống máy tính trên toàn cầu.

 CÁC GIẢI PHÁP CẦN THỰC HIỆN NGAY:  

1. Luôn luôn sao lưu dự phòng các dữ liệu, thường xuyên kiểm tra để đảm bảo nội dung sao lưu là an toàn và có thể hồi phục. Cách này sẽ giúp bạn không bị rơi vào tình huống làm "con tin" khi lây nhiễm ransomware, vì đã có giải pháp phục hồi lại dữ liệu. Đây là giải pháp tốt nhất.

2. Cập nhật ngay các phiên bản hệ điều hành windows đang sử dụng. Riêng những máy sử dụng Windows đã ngưng hỗ trợ hoặc cập nhập bằng phương pháp thủ công , có thể cập nhập bản vá lỗi KB4012598 tại link sau: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

3. Cập nhập ngay phần mềm diệt virus đang sử dụng hoặc cài đặt ngay phần mềm diệt virus uy tín. Không bấm vào đường link lạ hoặc các email lạ.

4. Luôn mở tường lửa và khóa cổng mạng 137-138-139-445-3389, đóng giao thức SMB1. (SMB2 và SMB3 không bị ảnh hưởng: khuyến cáo không nên tắt các  giao thức này)

*** LƯU Ý: WannaCry tấn công thông qua mạng và ảnh hưởng luôn cả đường mạng nội bộ, một máy bị nhiễm thì nó sẽ tự động truyền tải ngay mã độc lên đường mạng của máy đó và lan truyền sang các máy khác sử dụng chung trong mạng. 

Cách đóng SMB1: Có 3 cách   

I/Dành cho Windows XP và Server 2008 R2:

1. Mở Control Panel 

2. Chọn "Programs and Features" và click chọn "Turn Windows Features on and off" (góc trái bên trên cửa sổ chương trình)
3. Tìm và bỏ chọn SMB 1.0/CIFS File Sharing Support 

4. Click OK , đóng Control Panel và khởi động lại máy để hoàn tất . 

II/Cách kiểm tra và tắt SMB1 bằng Powershell: 

1. Mở Powershell bằng cách nhấn Windows key + R rồi nhập powershell.exe

2. Điền vào đoạn code sau: 

    Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol

3. Xem kết quả trả về, nếu là False thì máy bạn đã tắt SMB1, nếu hiện True thì điền vào code sau:    

   Set-ItemProperty -Path “HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters” SMB1 -Type DWORD -Value 0 –Force

4. Khởi động lại máy để hoàn tất.

III/Cách tắt SMB1 bằng Registry:

1. Mở Run , gõ regedit.exe

2. Đến khoá:  SYSTEMCurrentControlSetServicesLanmanServerParameters 

    Tại HKEY_Local_Machine tạo mới DWORD key là SMB1 có giá trị value = 0

3. Tại HKEY_Local_Machine tìm 

SYSTEMCurrentControlSetServicesLanmanWorkstation

và kiểm tra DependOnService và set Bowser”,”MRxSmb20″,”NSI

4. Tại HKEY_Local_Machine tìm đến SystemCurrentControlSetservicesmrxsmb1 và cài đặt giá trị Start = 4

5. Khởi động lại máy để hoàn tất.

Xem thêm: Hướng dẫn đóng/mở các giao thức SMB của Windows tại https://support.microsoft.com/vi-vn/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012 
Phân tích toàn diện WannaCry:  https://goo.gl/SpPIzh  

Tỷ lệ phát hiện WannaCry Ransomware trên VirusTotalhttps://goo.gl/LBclSW

Công ty TNHH Tin Học Đô Nguyên
134/2B Thành Thái - Phường 12 - Quận 10 - Hồ Chí Minh - Việt Nam

Từ khóa tìm kiếm

Các từ khóa tìm kiếm liên quan đến Tổng quan WannaCry Ransomware: Lây nhiễm ransomware lớn nhất trong lịch sử.

Thông tin liên hệ

Công ty TNHH Tin Học Đô Nguyên

Phân phối phần mềm diệt virus Avast & AVG tại Việt Nam. © 2018