Khuyến cáo về phòng vệ Ransomware tống tiền Wanna Crypt0r

May 18, 2017 | vietsunshine

Hai ngày nay, mã độc có tên là WannaCry đã tấn công vào các máy tính với mục tiêu mã hóa dữ liệu để đòi tiền chuộc, ảnh hưởng tới nhiều tổ chức, cá nhân trên phạm vi toàn cầu.

Hiện nay đã hơn 99 nước bị kể cả Việt Nam. Hơn 200.000 máy tính đã bị nhiễm và mã hóa toàn bộ dữ liệu. Đỉnh cao hôm nay (15/5/2017) 1 server game của VN đã bị Wanna Cry tấn công đòi chuộc với giá 10 bitcoin = 410.020.513 VND, rất nhiều doanh nghiệp Việt Nam khác đã được ghi nhận bị Malware này tấn công với tốc độ lây lan cực kì khủng khiếp. Hiện các đội ngũ IT ở các doanh nghiệp đang hoạt động hết công suất để tìm cách ngăn chặn và khắc phục sự lây nhiễm của malware này.

Cụ thể mã độc WannaCry (hoặc có tên gọi khác là WannaCrypt, WanaCrypt0r 2.0) khai thác lỗ hổng trên hệ điều hành Windows của Microsoft (MS17-010 – “ETERNALBLUE”) có liên quan tới các công cụ khai thác được công bố bởi nhóm Shadow Brokers sử dụng bởi NSA trong tháng 3/2017 vừa qua.

VietSunshine đưa ra một số tổng hợp các bước cần thực hiện cho hệ thống cho các tổ chức, doanh nghiệp như sau:

  1. Các bước khắc phục chung:

+ Cập nhật ngay các phiên bản hệ điều hành windows đang sử dụng. Hoặc nâng cấp máy trạm lên Windows 10
https://technet.microsoft.com/…/libr…/security/ms17-010.aspx

+ Riêng đối với các máy tính sử dụng Windows XP, sử dụng bản cập nhật mới nhất dành riêng tại:
https://www.microsoft.com/en-us/download/details.aspx…
+ Đối với tổ chức, doanh nghiệp, đặc biệt là với các quản trị viên hệ thống cần phải kiểm tra ngay lập tức các máy chủ và tạm thời khóa (block) các dịch vụ đang sử dụng các cổng 445/137/138/139.

Hoặc theo hướng dẫn link sau để tắt dịch vụ share SMB trên máy windows

https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

+ Cập nhật cơ sở dữ liệu mới cho các máy chủ/ máy trạm cài đặt phần mềm bản quyền Antivirus Endpoint như TrendMicro/Symantec

+ Các tổ chức, doanh nghiệp tận dụng các giải pháp đảm bảo an toàn thông tin đang có sẵn trong tổ chức như Firewall, IDS/IPS, SIEM…để theo dõi, giám sát và bảo vệ hệ thống trong thời điểm này.

+ Những thông tin nhận dạng về loại mã độc tống tiền mới này, bao gồm 33 địa chỉ IP các máy chủ điều khiển mã độc (C&C Server); 10 tệp tin và 22 mã băm (Hash SHA-256).

Danh sách IP ,Domain, Hash sử dụng bởi WannaCry

IP Address:Port
197.231.221.221:900150.7.161.218:9001
128.31.0.39:9191217.79.179.177:9001
149.202.160.69:9001213.61.66.116:9003
46.101.166.19:9090212.47.232.237:9001
91.121.65.179:900181.30.158.223:9001
2.3.69.209:900179.172.193.32:443
146.0.32.144:900138.229.72.16:443

Domains
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com (sinkholed)
Rphjmrpwmfv6v2e[dot]onion
Gx7ekbenv2riucmf[dot]onion
57g7spgrzlojinas[dot]onion
xxlvbrloxvriy2c5[dot]onion
76jdd2ir2embyv47[dot]onion
cwwnhwhlz52maqm7[dot]onion

STTTên FileSHA-256
1b.wnryd5e0e8694ddc0548d8e6b87c83d50f4ab85c1debadb106d6a6a794c3e746f4fa
2c.wnry055c7760512c98c8d51e4427227fe2a7ea3b34ee63178fe78631fa8aa6d15622
3r.wnry402751fa49e0cb68fe052cb3db87b05e71c1d950984d339940cf6b29409f2a7c
4s.wnrye18fdd912dfe5b45776e68d578c3af3547886cf1353d7086c8bee037436dff4b
5taskdl.exe4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79
6taskse.exe2ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00d
7t.wnry97ebce49b14c46bebc9ec2448d00e1e397123b256e2be9eba5140688e7bc0ae6
8u.wnryb9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25

STTSHA-256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  1. Khuyến cáo đối với khách hàng sử dụng các giải pháp VietSunshine phân phối:
 

Hãng

 

Nhóm sản phẩm

 

Khuyến cáo

 

TrendMicro

 

AV/APT/Web& Email Security

 

Thông tin chi tiết về loại mã độc này trên website của TrendMicro.

http://blog.trendmicro.com/…/massive-wannacrywcry-ransomwa…/

Cấu hình các sản phẩm để đối phó với ransomware theo KB:

https://success.trendmicro.com/solution/1112223
Với OfficeScan từ phiên bản 11SP1, cần vào cấu hình mục Behavior Monitoring.

Phiên bản OfficeScan 10.6 trở xuống đã không còn được hỗ trợ, do đó vui lòng nâng cấp lên phiên bản mới hơn theo hướng dẫn bên dưới để đảm bảo hệ thống được an toàn:
– Upgrade path – Những version nào có thể upgrade lên OfficeScan XG:https://success.trendmicro.com/solution/1115393

– Backup trước khi nâng cấp:
https://success.trendmicro.com/solution/1039284

– Tối ưu hóa các tính năng anti-malware sau khi nâng cấp
https://success.trendmicro.com/solution/1054115

Kích hoạt tính năng chống virus mã hóa dữ liệu (ransomware)
https://success.trendmicro.com/solution/1111377
Về chi tiết, xin vui lòng đọc kỹ và làm theo các hướng dẫn trong link bên dưới để đảm bảo hệ thống được an toàn: https://success.trendmicro.com/solution/1117391

 

 

FireEye

APT(Web, Email, Enpoint)FireEye khuyến cáo các bản update như sau:

Trên giải pháp Endpoint HX(từ phiên bản 3.0 trở lên đã có tính năng chặn các ransome ware):

•            Exploit Guard

•            AV Alerts if using Beta/Alpha BitDefender Integration

•            WMIC SHADOWCOPY DELETE (METHODOLOGY)

•            WANNACRY RANSOMWARE (FAMILY

Trên giải pháp Network NX (từ phiên bản security content 600.18 trở lên):

•            Trojan.SinkholeMalware (khi phát hiện callback sử dụng domain và IP đã được cập nhật là dòng họ Ransomware sẽ hiện thị Alert với tên là Trojan.SinkholeMalware)

 

Pala Alto Networks

 

NG-Firewall

Thông tin chi tiết về loại mã độc này trên website của Palo Alto Networks:

Một số Best Practice để phòng chống Ransomware từ Palo Alto:

https://live.paloaltonetworks.com/t5/Featured-Articles/Best-Practices-for-Ransomware-Prevention/ta-p/74148

Cụ thể đối với dòng WannaCry:

Cập nhật bản update security content 698 từ PAN OS 5.0 trở lên với Threat Prevention bao gồm các lỗ hổng (CVE-2017-0144 – MS17-010 – CVE-2017-0146)

 

Tenable

 

Vulnerability Manager/Scanner

Thông tin chi tiết về loại mã độc này trên website của Tenable

•            http://www.tenable.com/blog/wannacry-three-actions-you-can-take-right-now-to-prevent-ransomware

•            Cập nhật các plugin Tenable 97086, 97737, 97833, 700099

•            Rà soát sử dụng PVS dấu hiệu DNS của Malware.

•            Rà soát sử dụng Dashboard SC – WannaCry để tìm dấu hiệu.

•            Rà soát sử dụng PVS xem kết nối từ máy trạm tới cổng 445 của máy khác – dấu hiệu lây lan trong mạng qua giao thức SMB.

 

Symantec

 

AV/Web & Email Security

Thông tin chi tiết về loại mã độc này trên website của Symantec

https://www.symantec.com/security_response/writeup.jsp?docid=2017-051310-3522-99

Cập nhật các patern update như sau:

•            Initial Rapid Release version May 12, 2017 revision 006

•            Latest Rapid Release version May 14, 2017 revision 023

•            Initial Daily Certified version May 12, 2017 revision 009

•            Latest Daily Certified version May 14, 2017 revision 022

Initial Weekly Certified release date May 17, 2017

 

  1. Liên hệ hỗ trợ, tư vấn giải pháp:

CÔNG TY VIETSUNSHINE JSC
?Trụ sở chính:
328- Võ Văn Kiệt, Phường Cô Giang, Q1, HCM
+ Email: info@vietsunshine.com.vn
+ Phone: +84 (8) 3920 8030

? Chi nhánh HN:
165 Thai Ha St., Dong Da Dist. Hanoi
+ Email: info@vietsunshine.com.vn
+ Phone : (84 4) 3941 2471

Website: www.vietsunshine.com.vn

Fanpage: https://www.facebook.com/VietSunshineVietNam

Tags: ,