Khuyến cáo về phòng vệ Ransomware tống tiền Wanna Crypt0r

Hai ngày nay, mã độc có tên là WannaCry đã tấn công vào các máy tính với mục

Hai ngày nay, mã độc có tên là WannaCry đã tấn công vào các máy tính với mục tiêu mã hóa dữ liệu để đòi tiền chuộc, ảnh hưởng tới nhiều tổ chức, cá nhân trên phạm vi toàn cầu.

Hiện nay đã hơn 99 nước bị kể cả Việt Nam. Hơn 200.000 máy tính đã bị nhiễm và mã hóa toàn bộ dữ liệu. Đỉnh cao hôm nay (15/5/2017) 1 server game của VN đã bị Wanna Cry tấn công đòi chuộc với giá 10 bitcoin = 410.020.513 VND, rất nhiều doanh nghiệp Việt Nam khác đã được ghi nhận bị Malware này tấn công với tốc độ lây lan cực kì khủng khiếp. Hiện các đội ngũ IT ở các doanh nghiệp đang hoạt động hết công suất để tìm cách ngăn chặn và khắc phục sự lây nhiễm của malware này.

Cụ thể mã độc WannaCry (hoặc có tên gọi khác là WannaCrypt, WanaCrypt0r 2.0) khai thác lỗ hổng trên hệ điều hành Windows của Microsoft (MS17-010 – “ETERNALBLUE”) có liên quan tới các công cụ khai thác được công bố bởi nhóm Shadow Brokers sử dụng bởi NSA trong tháng 3/2017 vừa qua.

VietSunshine đưa ra một số tổng hợp các bước cần thực hiện cho hệ thống cho các tổ chức, doanh nghiệp như sau:

  1. Các bước khắc phục chung:

+ Cập nhật ngay các phiên bản hệ điều hành windows đang sử dụng. Hoặc nâng cấp máy trạm lên Windows 10
https://technet.microsoft.com/…/libr…/security/ms17-010.aspx

+ Riêng đối với các máy tính sử dụng Windows XP, sử dụng bản cập nhật mới nhất dành riêng tại:
https://www.microsoft.com/en-us/download/details.aspx…
+ Đối với tổ chức, doanh nghiệp, đặc biệt là với các quản trị viên hệ thống cần phải kiểm tra ngay lập tức các máy chủ và tạm thời khóa (block) các dịch vụ đang sử dụng các cổng 445/137/138/139.

Hoặc theo hướng dẫn link sau để tắt dịch vụ share SMB trên máy windows

https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

+ Cập nhật cơ sở dữ liệu mới cho các máy chủ/ máy trạm cài đặt phần mềm bản quyền Antivirus Endpoint như TrendMicro/Symantec

+ Các tổ chức, doanh nghiệp tận dụng các giải pháp đảm bảo an toàn thông tin đang có sẵn trong tổ chức như Firewall, IDS/IPS, SIEM…để theo dõi, giám sát và bảo vệ hệ thống trong thời điểm này.

+ Những thông tin nhận dạng về loại mã độc tống tiền mới này, bao gồm 33 địa chỉ IP các máy chủ điều khiển mã độc (C&C Server); 10 tệp tin và 22 mã băm (Hash SHA-256).

 

Danh sách IP và Domain, Hash sử dụng bởi WannaCry

IP Address:Port
197.231.221.221:9001 50.7.161.218:9001
128.31.0.39:9191 217.79.179.177:9001
149.202.160.69:9001 213.61.66.116:9003
46.101.166.19:9090 212.47.232.237:9001
91.121.65.179:9001 81.30.158.223:9001
2.3.69.209:9001 79.172.193.32:443
146.0.32.144:9001 38.229.72.16:443

 

Domains
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com (sinkholed)
Rphjmrpwmfv6v2e[dot]onion
Gx7ekbenv2riucmf[dot]onion
57g7spgrzlojinas[dot]onion
xxlvbrloxvriy2c5[dot]onion
76jdd2ir2embyv47[dot]onion
cwwnhwhlz52maqm7[dot]onion

 

STT Tên File SHA-256
1 b.wnry d5e0e8694ddc0548d8e6b87c83d50f4ab85c1debadb106d6a6a794c3e746f4fa
2 c.wnry 055c7760512c98c8d51e4427227fe2a7ea3b34ee63178fe78631fa8aa6d15622
3 r.wnry 402751fa49e0cb68fe052cb3db87b05e71c1d950984d339940cf6b29409f2a7c
4 s.wnry e18fdd912dfe5b45776e68d578c3af3547886cf1353d7086c8bee037436dff4b
5 taskdl.exe 4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79
6 taskse.exe 2ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00d
7 t.wnry 97ebce49b14c46bebc9ec2448d00e1e397123b256e2be9eba5140688e7bc0ae6
8 u.wnry b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25

 

STT SHA-256
1 ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
2 c365ddaa345cfcaff3d629505572a484cff5221933d68e4a52130b8bb7badaf9
3 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa
4 0a73291ab5607aef7db23863cf8e72f55bcb3c273bb47f00edf011515aeb5894
5 428f22a9afd2797ede7c0583d34a052c32693cbb55f567a60298587b6e675c6f
6 5c1f4f69c45cff9725d9969f9ffcf79d07bd0f624e06cfa5bcbacd2211046ed6
7 62d828ee000e44f670ba322644c2351fe31af5b88a98f2b2ce27e423dcf1d1b1
8 72af12d8139a80f317e851a60027fdf208871ed334c12637f49d819ab4b033dd
9 85ce324b8f78021ecfc9b811c748f19b82e61bb093ff64f2eab457f9ef19b186
10 a1d9cd6f189beff28a0a49b10f8fe4510128471f004b3e4283ddc7f78594906b
11 a93ee7ea13238bd038bcbec635f39619db566145498fe6e0ea60e6e76d614bd3
12 b43b234012b8233b3df6adb7c0a3b2b13cc2354dd6de27e092873bf58af2693c
13 eb47cd6a937221411bb8daf35900a9897fb234160087089a064066a65f42bcd4
14 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
15 2c2d8bc91564050cf073745f1b117f4ffdd6470e87166abdfcd10ecdff040a2e
16 7a828afd2abf153d840938090d498072b7e507c7021e4cdd8c6baf727cafc545
17 a897345b68191fd36f8cefb52e6a77acb2367432abb648b9ae0a9d708406de5b
18 fb0b6044347e972e21b6c376e37e1115dab494a2c6b9fb28b92b1e45b45d0ebc
19 9588f2ef06b7e1c8509f32d8eddfa18041a9cc15b1c90d6da484a39f8dcdf967
20 b43b234012b8233b3df6adb7c0a3b2b13cc2354dd6de27e092873bf58af2693c
21 4186675cb6706f9d51167fb0f14cd3f8fcfb0065093f62b10a15f7d9a6c8d982
22 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa

 

  1. Khuyến cáo đối với khách hàng sử dụng các giải pháp VietSunshine phân phối:
 

Hãng

 

Nhóm sản phẩm

 

Khuyến cáo

 

TrendMicro

 

AV/APT/Web& Email Security

 

Thông tin chi tiết về loại mã độc này trên website của TrendMicro.

http://blog.trendmicro.com/…/massive-wannacrywcry-ransomwa…/

Cấu hình các sản phẩm để đối phó với ransomware theo KB:

https://success.trendmicro.com/solution/1112223
Với OfficeScan từ phiên bản 11SP1, cần vào cấu hình mục Behavior Monitoring.

Phiên bản OfficeScan 10.6 trở xuống đã không còn được hỗ trợ, do đó vui lòng nâng cấp lên phiên bản mới hơn theo hướng dẫn bên dưới để đảm bảo hệ thống được an toàn:
– Upgrade path – Những version nào có thể upgrade lên OfficeScan XG:https://success.trendmicro.com/solution/1115393

– Backup trước khi nâng cấp:
https://success.trendmicro.com/solution/1039284

– Tối ưu hóa các tính năng anti-malware sau khi nâng cấp
https://success.trendmicro.com/solution/1054115

Kích hoạt tính năng chống virus mã hóa dữ liệu (ransomware)
https://success.trendmicro.com/solution/1111377
Về chi tiết, xin vui lòng đọc kỹ và làm theo các hướng dẫn trong link bên dưới để đảm bảo hệ thống được an toàn: https://success.trendmicro.com/solution/1117391

 

 

FireEye

APT(Web, Email, Enpoint) FireEye khuyến cáo các bản update như sau:

Trên giải pháp Endpoint HX(từ phiên bản 3.0 trở lên đã có tính năng chặn các ransome ware):

•            Exploit Guard

•            AV Alerts if using Beta/Alpha BitDefender Integration

•            WMIC SHADOWCOPY DELETE (METHODOLOGY)

•            WANNACRY RANSOMWARE (FAMILY

Trên giải pháp Network NX (từ phiên bản security content 600.18 trở lên):

•            Trojan.SinkholeMalware (khi phát hiện callback sử dụng domain và IP đã được cập nhật là dòng họ Ransomware sẽ hiện thị Alert với tên là Trojan.SinkholeMalware)

 

Pala Alto Networks

 

NG-Firewall

Thông tin chi tiết về loại mã độc này trên website của Palo Alto Networks:

Một số Best Practice để phòng chống Ransomware từ Palo Alto:

https://live.paloaltonetworks.com/t5/Featured-Articles/Best-Practices-for-Ransomware-Prevention/ta-p/74148

Cụ thể đối với dòng WannaCry:

Cập nhật bản update security content 698 từ PAN OS 5.0 trở lên với Threat Prevention bao gồm các lỗ hổng (CVE-2017-0144 – MS17-010 – CVE-2017-0146)

 

Tenable

 

Vulnerability Manager/Scanner

Thông tin chi tiết về loại mã độc này trên website của Tenable

•            http://www.tenable.com/blog/wannacry-three-actions-you-can-take-right-now-to-prevent-ransomware

•            Cập nhật các plugin Tenable 97086, 97737, 97833, 700099

•            Rà soát sử dụng PVS dấu hiệu DNS của Malware.

•            Rà soát sử dụng Dashboard SC – WannaCry để tìm dấu hiệu.

•            Rà soát sử dụng PVS xem kết nối từ máy trạm tới cổng 445 của máy khác – dấu hiệu lây lan trong mạng qua giao thức SMB.

 

Symantec

 

AV/Web & Email Security

Thông tin chi tiết về loại mã độc này trên website của Symantec

https://www.symantec.com/security_response/writeup.jsp?docid=2017-051310-3522-99

Cập nhật các patern update như sau:

•            Initial Rapid Release version May 12, 2017 revision 006

•            Latest Rapid Release version May 14, 2017 revision 023

•            Initial Daily Certified version May 12, 2017 revision 009

•            Latest Daily Certified version May 14, 2017 revision 022

Initial Weekly Certified release date May 17, 2017