Hai ngày nay, mã độc có tên là WannaCry đã tấn công vào các máy tính với mục tiêu mã hóa dữ liệu để đòi tiền chuộc, ảnh hưởng tới nhiều tổ chức, cá nhân trên phạm vi toàn cầu.
Hiện nay đã hơn 99 nước bị kể cả Việt Nam. Hơn 200.000 máy tính đã bị nhiễm và mã hóa toàn bộ dữ liệu. Đỉnh cao hôm nay (15/5/2017) 1 server game của VN đã bị Wanna Cry tấn công đòi chuộc với giá 10 bitcoin = 410.020.513 VND, rất nhiều doanh nghiệp Việt Nam khác đã được ghi nhận bị Malware này tấn công với tốc độ lây lan cực kì khủng khiếp. Hiện các đội ngũ IT ở các doanh nghiệp đang hoạt động hết công suất để tìm cách ngăn chặn và khắc phục sự lây nhiễm của malware này.
Cụ thể mã độc WannaCry (hoặc có tên gọi khác là WannaCrypt, WanaCrypt0r 2.0) khai thác lỗ hổng trên hệ điều hành Windows của Microsoft (MS17-010 – “ETERNALBLUE”) có liên quan tới các công cụ khai thác được công bố bởi nhóm Shadow Brokers sử dụng bởi NSA trong tháng 3/2017 vừa qua.
VietSunshine đưa ra một số tổng hợp các bước cần thực hiện cho hệ thống cho các tổ chức, doanh nghiệp như sau:
+ Cập nhật ngay các phiên bản hệ điều hành windows đang sử dụng. Hoặc nâng cấp máy trạm lên Windows 10
https://technet.microsoft.com/…/libr…/security/ms17-010.aspx
+ Riêng đối với các máy tính sử dụng Windows XP, sử dụng bản cập nhật mới nhất dành riêng tại:
https://www.microsoft.com/en-us/download/details.aspx…
+ Đối với tổ chức, doanh nghiệp, đặc biệt là với các quản trị viên hệ thống cần phải kiểm tra ngay lập tức các máy chủ và tạm thời khóa (block) các dịch vụ đang sử dụng các cổng 445/137/138/139.
Hoặc theo hướng dẫn link sau để tắt dịch vụ share SMB trên máy windows
+ Cập nhật cơ sở dữ liệu mới cho các máy chủ/ máy trạm cài đặt phần mềm bản quyền Antivirus Endpoint như TrendMicro/Symantec
+ Các tổ chức, doanh nghiệp tận dụng các giải pháp đảm bảo an toàn thông tin đang có sẵn trong tổ chức như Firewall, IDS/IPS, SIEM…để theo dõi, giám sát và bảo vệ hệ thống trong thời điểm này.
+ Những thông tin nhận dạng về loại mã độc tống tiền mới này, bao gồm 33 địa chỉ IP các máy chủ điều khiển mã độc (C&C Server); 10 tệp tin và 22 mã băm (Hash SHA-256).
Danh sách IP ,Domain, Hash sử dụng bởi WannaCry
| IP Address:Port | |
| 197.231.221.221:9001 | 50.7.161.218:9001 |
| 128.31.0.39:9191 | 217.79.179.177:9001 |
| 149.202.160.69:9001 | 213.61.66.116:9003 |
| 46.101.166.19:9090 | 212.47.232.237:9001 |
| 91.121.65.179:9001 | 81.30.158.223:9001 |
| 2.3.69.209:9001 | 79.172.193.32:443 |
| 146.0.32.144:9001 | 38.229.72.16:443 |
| Domains |
| iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com (sinkholed) |
| Rphjmrpwmfv6v2e[dot]onion |
| Gx7ekbenv2riucmf[dot]onion |
| 57g7spgrzlojinas[dot]onion |
| xxlvbrloxvriy2c5[dot]onion |
| 76jdd2ir2embyv47[dot]onion |
| cwwnhwhlz52maqm7[dot]onion |
| STT | Tên File | SHA-256 |
| 1 | b.wnry | d5e0e8694ddc0548d8e6b87c83d50f4ab85c1debadb106d6a6a794c3e746f4fa |
| 2 | c.wnry | 055c7760512c98c8d51e4427227fe2a7ea3b34ee63178fe78631fa8aa6d15622 |
| 3 | r.wnry | 402751fa49e0cb68fe052cb3db87b05e71c1d950984d339940cf6b29409f2a7c |
| 4 | s.wnry | e18fdd912dfe5b45776e68d578c3af3547886cf1353d7086c8bee037436dff4b |
| 5 | taskdl.exe | 4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79 |
| 6 | taskse.exe | 2ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00d |
| 7 | t.wnry | 97ebce49b14c46bebc9ec2448d00e1e397123b256e2be9eba5140688e7bc0ae6 |
| 8 | u.wnry | b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25 |
| STT | SHA-256 |
| 1 | ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa |
| 2 | c365ddaa345cfcaff3d629505572a484cff5221933d68e4a52130b8bb7badaf9 |
| 3 | 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa |
| 4 | 0a73291ab5607aef7db23863cf8e72f55bcb3c273bb47f00edf011515aeb5894 |
| 5 | 428f22a9afd2797ede7c0583d34a052c32693cbb55f567a60298587b6e675c6f |
| 6 | 5c1f4f69c45cff9725d9969f9ffcf79d07bd0f624e06cfa5bcbacd2211046ed6 |
| 7 | 62d828ee000e44f670ba322644c2351fe31af5b88a98f2b2ce27e423dcf1d1b1 |
| 8 | 72af12d8139a80f317e851a60027fdf208871ed334c12637f49d819ab4b033dd |
| 9 | 85ce324b8f78021ecfc9b811c748f19b82e61bb093ff64f2eab457f9ef19b186 |
| 10 | a1d9cd6f189beff28a0a49b10f8fe4510128471f004b3e4283ddc7f78594906b |
| 11 | a93ee7ea13238bd038bcbec635f39619db566145498fe6e0ea60e6e76d614bd3 |
| 12 | b43b234012b8233b3df6adb7c0a3b2b13cc2354dd6de27e092873bf58af2693c |
| 13 | eb47cd6a937221411bb8daf35900a9897fb234160087089a064066a65f42bcd4 |
| 14 | 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c |
| 15 | 2c2d8bc91564050cf073745f1b117f4ffdd6470e87166abdfcd10ecdff040a2e |
| 16 | 7a828afd2abf153d840938090d498072b7e507c7021e4cdd8c6baf727cafc545 |
| 17 | a897345b68191fd36f8cefb52e6a77acb2367432abb648b9ae0a9d708406de5b |
| 18 | fb0b6044347e972e21b6c376e37e1115dab494a2c6b9fb28b92b1e45b45d0ebc |
| 19 | 9588f2ef06b7e1c8509f32d8eddfa18041a9cc15b1c90d6da484a39f8dcdf967 |
| 20 | b43b234012b8233b3df6adb7c0a3b2b13cc2354dd6de27e092873bf58af2693c |
| 21 | 4186675cb6706f9d51167fb0f14cd3f8fcfb0065093f62b10a15f7d9a6c8d982 |
| 22 | 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa |
|
Hãng |
Nhóm sản phẩm |
Khuyến cáo |
|
TrendMicro |
AV/APT/Web& Email Security |
Thông tin chi tiết về loại mã độc này trên website của TrendMicro. http://blog.trendmicro.com/…/massive-wannacrywcry-ransomwa…/ Cấu hình các sản phẩm để đối phó với ransomware theo KB: https://success.trendmicro.com/solution/1112223 Phiên bản OfficeScan 10.6 trở xuống đã không còn được hỗ trợ, do đó vui lòng nâng cấp lên phiên bản mới hơn theo hướng dẫn bên dưới để đảm bảo hệ thống được an toàn: – Backup trước khi nâng cấp: – Tối ưu hóa các tính năng anti-malware sau khi nâng cấp Kích hoạt tính năng chống virus mã hóa dữ liệu (ransomware)
|
|
FireEye |
APT(Web, Email, Enpoint) | FireEye khuyến cáo các bản update như sau:
Trên giải pháp Endpoint HX(từ phiên bản 3.0 trở lên đã có tính năng chặn các ransome ware): • Exploit Guard • AV Alerts if using Beta/Alpha BitDefender Integration • WMIC SHADOWCOPY DELETE (METHODOLOGY) • WANNACRY RANSOMWARE (FAMILY Trên giải pháp Network NX (từ phiên bản security content 600.18 trở lên): • Trojan.SinkholeMalware (khi phát hiện callback sử dụng domain và IP đã được cập nhật là dòng họ Ransomware sẽ hiện thị Alert với tên là Trojan.SinkholeMalware) |
|
Pala Alto Networks |
NG-Firewall |
Thông tin chi tiết về loại mã độc này trên website của Palo Alto Networks:
Một số Best Practice để phòng chống Ransomware từ Palo Alto: https://live.paloaltonetworks.com/t5/Featured-Articles/Best-Practices-for-Ransomware-Prevention/ta-p/74148 Cụ thể đối với dòng WannaCry: Cập nhật bản update security content 698 từ PAN OS 5.0 trở lên với Threat Prevention bao gồm các lỗ hổng (CVE-2017-0144 – MS17-010 – CVE-2017-0146) |
|
Tenable |
Vulnerability Manager/Scanner |
Thông tin chi tiết về loại mã độc này trên website của Tenable
• http://www.tenable.com/blog/wannacry-three-actions-you-can-take-right-now-to-prevent-ransomware • Cập nhật các plugin Tenable 97086, 97737, 97833, 700099 • Rà soát sử dụng PVS dấu hiệu DNS của Malware. • Rà soát sử dụng Dashboard SC – WannaCry để tìm dấu hiệu. • Rà soát sử dụng PVS xem kết nối từ máy trạm tới cổng 445 của máy khác – dấu hiệu lây lan trong mạng qua giao thức SMB. |
|
Symantec |
AV/Web & Email Security |
Thông tin chi tiết về loại mã độc này trên website của Symantec
https://www.symantec.com/security_response/writeup.jsp?docid=2017-051310-3522-99 Cập nhật các patern update như sau: • Initial Rapid Release version May 12, 2017 revision 006 • Latest Rapid Release version May 14, 2017 revision 023 • Initial Daily Certified version May 12, 2017 revision 009 • Latest Daily Certified version May 14, 2017 revision 022 Initial Weekly Certified release date May 17, 2017 |
CÔNG TY VIETSUNSHINE JSC
?Trụ sở chính:
328- Võ Văn Kiệt, Phường Cô Giang, Q1, HCM
+ Email: info@vietsunshine.com.vn
+ Phone: +84 (8) 3920 8030
? Chi nhánh HN:
165 Thai Ha St., Dong Da Dist. Hanoi
+ Email: info@vietsunshine.com.vn
+ Phone : (84 4) 3941 2471
Website: www.vietsunshine.com.vn
SonicWall, một nhà cung cấp bảo mật internet phổ biến về các sản phẩm tường lửa và VPN, vào cuối ngày thứ Sáu đã tiết lộ rằng họ đã trở thành nạn nhân của một cuộc tấn công phối hợp vào các hệ thống nội bộ. Công ty có trụ sở tại San Jose cho […]
SD-WAN là một trong những câu chuyện thành công về mạng lớn nhất trong thập kỷ qua. Việc chuyển đổi nhanh chóng sang làm việc từ xa, kết hợp với việc tiếp tục chuyển đổi kỹ thuật số, đã thúc đẩy việc áp dụng SD-WAN trong năm 2020. Theo một báo cáo của IDG Research […]
Đây là phần tóm tắt của một bài báo được viết cho Automation.com bởi Rick Peters, CISO về Operational Technology, của Fortinet. Thông qua sự hội tụ của IT và OT, các tổ chức có thể đạt được hiệu quả và hiệu lực cao hơn trong việc giám sát các quá trình quan trọng. Nó […]
