Đang thực hiện
Tên đăng nhập
Mật khẩu
 
Hoặc đăng nhập bằng:
Nhập lại mật khẩu

Trang chủ Cẩm nang học viên
Cẩm nang học viên

Phát hiện người anh em sinh đôi của WannaCry tấn công Unikey và Vietkey

Cập nhật: 06/04/2018 Lượt xem: 92
Công ty CyRadar mới đây đã phát hiện loại virus mới có cùng cách thức lây lan với ransomware WannaCry. Theo chuyên gia CyRadar, máy tính bị nhiễm virus mới này sẽ bị mất các bộ gõ tiếng Việt như Unikey hay Vietkey và người dùng cũng không thể cài lại được.

Phát hiện người anh em sinh đôi của WannaCry tấn công Unikey và Vietkey-1


Những ngày gần đây, nhiều người dùng máy tính tại Việt Nam khi đang sử dụng máy tính đã gặp phải hiện tượng không thể gõ được tiếng Việt, biểu tượng của bộ gõ chữ Việt Unikey cũng biến mất hoàn toàn trên thanh tác vụ - taskbar cũng như trên desktop. Không những thế khi người dùng tải lại phần mềm gõ chữ Việt và cài lại thì hiện tượng kể trên tiếp tục tái diễn.

Liên quan đến vấn đề nhiều người dùng máy tính tại Việt Nam đang gặp phải nói trên, thông tin từ FPT cho hay, Công ty an toàn thông tin CyRadar - startup do FPT ươm tạo và phát triển, mới đây đã phát hiện ra loại virus mới được ví như “người anh em” của mã độc mã hóa dữ liệu tống tiền (ransomware) WannaCry từng hoành hành trên thế giới và cả ở Việt Nam hồi tháng 5 năm ngoái.

Theo anh Lê Mạnh Tùng, GĐ nghiên cứu bảo mật CyRadar, loại virus mới này có cùng cách thức lây lan với dòng virus huyền thoại WannaCry. Chúng lợi dụng một lỗ hổng trên hệ điều hành Windows (lỗ hổng MS17-010 đã được công bố vào tháng 3/2017) để phát tán rộng trong mạng nội bộ (LAN).


Vẫn còn nhiều công ty sử dụng các máy tính Windows không cập nhật bản vá lỗ hổng, đồng thời cũng không có giải pháp nào để khóa cổng dịch vụ SMB (Người viết: dịch vụ tồn tại lỗ hổng đang nói đến), đó là những hệ thống lý tưởng để virus này có thể xâm nhập và phát tán. Hiện tại, ngoài khách hàng của CyRadar đã được sớm phát hiện mã độc và xử lý, thì đâu đó ở nhiều nơi khác có thể có nhiều cá nhân, tổ chức đang gặp phải rắc rối với mã độc này”, anh Tùng cho biết.

Bằng cách sử dụng kèm theo các tệp tin can thiệp sâu vào hệ thống (rootkit) để che giấu, loại virus mới này dễ dàng thoát khỏi sự phát hiện của các công cụ rà soát thông thường. Ngay khi được người dùng báo về hiện tượng lạ trên máy như mất bộ gõ tiếng Việt, CyRadar đã tiến hành kiểm tra và phát hiện ra loại virus này. “Bên cạnh đó, sử dụng công nghệ bản đồ mã độc, đội kĩ thuật CyRadar nhanh chóng tìm ra máy chủ phát tán dòng virus này cũng như thu thập những địa chỉ IP có liên quan, từ đó ngăn chặn việc nó lây lan rộng hay tác động xấu tới doanh nghiệp và người dùng”, ông Lê Mạnh Tùng cho hay.


Ngoài thành phần lây lan, dòng virus này còn gồm nhiều tập tin khác đi cùng nhau, trong đó mỗi tệp có những vai trò khác nhau nhưng tổng quan chung, chúng có nhiệm vụ che giấu bảo vệ nhau trước các công cụ phòng chống mã độc truyền thống, đồng thời liên tục kết nối ra máy chủ điều khiển để cập nhật file thực thi, và luôn duy trì một tiến trình chạy đào tiền ảo trên máy.
 

Mặc dù các tác vụ nói trên đều được thực hiện ngầm, virus này còn có một hành vi đặc biệt khiến người dùng dễ nhận ra vấn đề, đó là việc nó liên tục kiểm tra để tắt tiến trình và xóa tệp tin của các bộ gõ tiếng Việt (Unikey, Vietkey). Phải chăng dòng virus này nhắm riêng đến Việt Nam?
 

Phát hiện người anh em sinh đôi của WannaCry tấn công Unikey và Vietkey-2

Chuyên gia CyRadar khuyến cáo, để bảo vệ máy tính trước loại virus mới này cũng như những “người anh em” của nó, người dùng Windows nên nhanh chóng cập nhật các bản vá lỗ hổng (khuyến cáo bật chế độ Auto Update) hoặc tối thiểu thực hiện tải và cài riêng bản vá MS17-010. “Ở quy mô của tổ chức, doanh nghiệp, việc sử dụng thêm các giải pháp giám sát mạng cũng sẽ mang lại nhiều hiệu quả bảo vệ. Và hơn hết, mỗi người dùng cần trau dồi nhận thức an ninh mạng, nâng cao cảnh giác trong việc sử dụng email, mở file lạ hay truy cập đường link lạ”, chuyên gia CyRadar nhấn mạnh.


Trước đó, vào trung tuần tháng 2/2018, Công ty CyRadar cũng đã có cảnh báo về loại mã độc đào tiền ảo có cách thức lây lan tương tự WannaCry. Trong cảnh báo này, CyRadar cho biết, từ giữa tháng 1/2018 cho trung tuần tháng 2/2018, hệ thống giám sát của doanh nghiệp an toàn thông tin này đã ghi nhận liên tục các gói tin tấn công giao thức SMB gửi qua lại giữa các máy tính trong mạng của nhiều doanh nghiệp, tổ chức. Chỉ trong vài tiếng, số lượng máy tính bị nhiễm mã độc trong 1 doanh nghiệp đã lên tới con số hàng trăm.


WannaCry là một loại mã độc khi thâm nhập vào thiết bị máy tính của người dùng hoặc hệ thống doanh nghiệp sẽ tự động mã hóa hàng loạt các tâp tin theo những định dạng mục tiêu như văn bản, hình ảnh… Một khi lây nhiễm vào máy tính nạn nhân, mã độc này sẽ mã hóa các tập tin và lây lan sang các máy tính khác. Các nạn nhân sẽ nhận được yêu cầu thanh toán 300 USD qua hệ thống Bitcoin để lấy lại quyền truy cập.


Trong thông tin chia sẻ tại diễn tập an toàn thông tin mạng quốc tế ACID 2017 được tổ chức hồi tháng 9 năm ngoái, đề cập đến việc cập nhập và vá các lỗ hổng của hệ điều hành Windows, ông Nguyễn Khắc Lịch - Phó Giám đốc Trung tâm VNCERT cho biết, đã cập nhật bản vá cho 114.159 máy trạm, 5.322 máy chủ của các tổ chức, doanh nghiệp. Tuy nhiên, theo ông Lịch, vẫn còn khoảng 4.403 máy trạm, 200 máy chủ chưa vá, chiếm tỷ lệ: 3,7% đối với máy trạm và 3,6% đối với máy chủ.

Tư vấn viên 1: Lê Thoa
Tư vấn viên 2: Thu Huyền
Tuyển sinh lập trình viên quốc tế - MMS new vision
internet of things