Pages

Thứ Bảy, 9 tháng 6, 2018

Virus wanna cry là gì

WannaCry là một lỗ hổng bảo mật của hệ điều hành bạn đang sử dụng (để phần mềm sniffer của NSA bí mật xâm nhập vào máy dữ liệu của bạn), lừa máy tính mã hóa dữ liệu. Thuật toán mã hóa rất cao (NSA cũng sử dụng thuật toán này) để chỉ chủ sở hữu máy tính đã khóa dữ liệu trong vòng 3 ngày để chuyển chúng thành 300 bitcoin.

Kết quả hình ảnh cho Virus wanna cry là gì










Màn tống tiền Virus


Làm thế nào để xử lý tống tiền nguy hiểm khẩn cấp WannaCry


Trong trường hợp máy tính của bạn chưa bị nhiễm phần mềm độc hại WannaCry, ngay lập tức tải về các bản vá để cắm lỗ hổng bảo mật mà khai thác WannaCry để thâm nhập vào hệ thống là điều cần thiết để ngăn chặn loại mã độc hại.


Microsoft cho biết người dùng Windows "miễn nhiễm" với phần mềm độc hại WannaCry vì các bản vá lỗi mà Microsoft đã phát hành trước đây cho người dùng. Trong khi đó, đối với những người dùng đang sử dụng các phiên bản Windows cũ hơn thì phải tải xuống ngay lập tức và nâng cấp các bản vá đã được Microsoft tóm tắt trong liên kết sau: BảnMicrosoft Security Bulletin MS17-010 vá.


Đối với Windows XP


Mặc dù Microsoft đã "chết" và ngừng hỗ trợ, cho đến nay Windows XP vẫn được sử dụng khá phổ biến trên thế giới nói chung và ở Việt Nam nói riêng.


Nếu bạn đang sử dụng Windows XP, bạn nên tải xuống ngay lập tức và cài đặt bản vá mà Microsoft phát hành tại đây.


Lưu ý: Nếu bạn đang sử dụng Windows XP 32-bit, bạn phải nâng cấp Windows lên Gói Dịch vụ 3 (SP3) để cài đặt bản vá này. Bạn có thể thực hiện nâng cấp thông qua tính năng Cập nhật được cung cấp trên Windows.


Đối với người dùng Windows 7, Windows 8 ... có thể theo liên kết cập nhật để cập nhật bản vá: Windows Server 2003 SP2 x64,Windows Server 2003 SP2 x86,Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86,Windows 8 x64


Lưu ý: Sau khi tải xuống các bản vá lỗi trên, bạn chỉ cần tiến hành cài đặt như phần mềm thông thường và khởi động lại máy tính.


Người dùng nên cập nhật ngay lập tức các chương trình Antivius. Đối với các máy tính không có phần mềm diệt vi-rút, bạn cần phải cài đặt và sử dụng phần mềm chống vi rút được cấp phép. Và đặc biệt, mỗi người nên cẩn thận khi nhận email có đính kèm và liên kết lạ được gửi trong email, mạng xã hội, công cụ chat ...


Không chỉ vậy, khi mở file đính kèm ngay cả khi nhận được Từ địa chỉ quen thuộc cũng nên rất cẩn thận. Sử dụng các công cụ phát hiện phần mềm độc hại trực tuyến hoặc được cấp phép trên máy tính của bạn với các tệp này trước khi mở chúng.


Cục Thông tin Bảo mật không mở các liên kết với các thẻ .hta hoặc các liên kết không có cấu trúc, các liên kết rút gọn và các bản sao lưu dữ liệu quan trọng.


Bkav ra mắt công cụ quét Wanna Cry miễn phí tại www.Bkav.com.vn/Tool/CheckWanCry.exe để kiểm tra!


Công cụ này có thể kiểm tra xem máy tính có bị nhiễm vi rút Wanna Cry hay không và nếu máy tính có chứa lỗ hổng EternalBlue - lỗ hổng mà Wanna Cry khai thác để lây nhiễm vào máy tính.


Đọc thêm: Bkav phát hành công cụ kiểm tra miễn phí cho Wanna Cry








Ransomware là gì?


Ransomware - Bạn phải nghe tên này nhiều lần rồi. Ransomware, spyware, phần mềm tống tiền là tất cả 1. Đây là tên chung của một dạng phần mềm độc hại - Phần mềm độc hại, "hiệu ứng" là ngăn người dùng truy cập và sử dụng hệ thống. Hệ thống máy tính của họ (chủ yếu được phát hiện trên hệ điều hành Windows). Biến thể phần mềm độc hại thường gửi tin nhắn đến nạn nhân rằng họ phải trả một khoản tiền phong nha cho tài khoản của tin tặc nếu họ muốn truy xuất dữ liệu, thông tin cá nhân của họ hoặc chỉ cần truy cập vào máy. tính khí của họ. Hầu hết các phần mềm Ransomware chiếm đoạt và mã hóa tất cả thông tin của nạn nhân mà nó tìm thấy (thường được gọi là Cryptolocker), trong khi một số Ransomware khác sử dụng TOR để ẩn và ẩn các gói C & C. máy tính (một tên khác là CTB Locker).


Giá mà Ransomware cung cấp cho nạn nhân cũng khác nhau, "ánh sáng" là 20 đô la, "nặng ký" có thể lên tới hàng nghìn đô la (nhưng trung bìnhđô la 500 - 600), cũng có trường hợp chấp nhận thanh toán bằng Bitcoin.





'snotice là mộtphổ biến Ransomwareransomwarecomplaint.


Tuy nhiên, cần lưu ý rằng ngay cả khi bạn trả tiền cho một hacker, tỷ lệ phần trăm người dùng truy xuất dữ liệu, thông tin cá nhân không phải là 100%.


1. Ransomware - Họ đến từ đâu?


Giống như các phần mềm độc hại khác, Ransomware có thể xâm nhập vào máy tính của người dùng khi:


Tìm và sử dụng phần mềm crack.


Nhấp vào quảng cáo.


Truy cập web màu đen, bị hỏng.


Truy cập vào các trang web giả mạo.


Tải xuống và cài đặt phần mềm không phải bản địa.


Spam đính kèm email.


...


2. hoạt động ransomware như thế nào?


Khi nó đã được truy cập và kích hoạt trên máy tính của người dùng, Ransomware sẽ thực hiện các thao tác sau:


Khóa màn hình máy tính, hiển thị thông báo như hình trên.


Mã hóa bất kỳ tập tin mà nó tìm thấy, tất nhiên, với mật khẩu bảo vệ.


Nếu trường hợp 1 xảy ra, người dùng sẽ không thể thực hiện bất kỳ thao tác nào trên máy tính (trừ khi tắt màn hình). Ngoài ra trên màn hình cũng sẽ có hướng dẫn chi tiết và chuyển giao cụ thể, tiền cho tin tặc để lấy thông tin cá nhân. Trường hợp thứ hai (thường tệ hơn) là Ransomware sẽ mã hóa tất cả các tệp văn bản (thường là các tệp Office như * .doc, * .xls ... các tệp email và tệp * .pdf), tệp này sẽ thay đổi định dạng thành một định dạng nhất định, mật khẩu được bảo vệ, bạn không thể thực hiện bất kỳ thao tác nào như sao chép, dán, đổi tên, thay đổi đuôi hoặc xóa.


Ransomware, hoặc Scareware, hoạt động theo cách tương tự như phần mềm bảo mật giả mạo - FakeAV (một loại phần mềm độc hại).


3. Lịch sử và phát triển Ransomware:


Ngày sinh:


Lần đầu tiên, Ransomware được tìm thấy giữa năm 2005 và 2006 ở Nga. Báo cáo TrendMicro đầu tiên vào năm 2006, với biến thểTROJ_CRYZIP.A - một dạng Trojan xâm nhập vào máy tính của người dùng, mã hóa ngay lập tức, nén các tệp hệ thống bằng mật khẩu, Thời gian tạo tệp * .txt với nội dung yêu cầu nạn nhân phải trả 300 đô la để lấy lại dữ liệu cá nhân.


Dần dần phát triển theo thời gian, các cuộc tấn công của Ransomware tiếp tục tập tin văn bản và các hệ thống như * .DOC, * .XL, * .DLL, * .EXE ...


Và cho đến năm 2011, một loại Ransomware khác là SMS Ransomware đã được phát hiện. WaySMS Ransomware hơi khác một chút, là người dùng phải gửi một tin nhắn hoặc gọi số điện thoại của hacker, cho đến khi các thủ tục chuyển giao cho hacker. Biến thể này của Ransomware được phát hiện dưới tên TROJ_RANSOM.QOWA - sẽ liên tục hiển thị các thông báo giả trên màn hình máy tính.


Ngoài ra, có một biến thể khác của Ransomware - nguy hiểm hơn nhiều với mục tiêu của hacker là tấn công Master Boot Record (MBR) của hệ điều hành. Và khi bị tấn công, hệ điều hành - Windows sẽ không thể khởi động được. Cụ thể hơn, các phần mềm độc hại này sẽ sao chép MBR gốc của hệ thống và ghi đè lên nó bằng MBR giả. Khi hoàn tất, quá trình này sẽ khởi động lại máy tính và lần tiếp theo thông điệp của tin tặc (bằng tiếng Nga) sẽ được hiển thị trên màn hình của bạn.


Ra khỏi lãnh thổ Nga:


Họ ban đầu có trụ sở tại Nga, nhưng dựa trên sự phổ biến, số lượng nạn nhân, mục tiêu ... những loại Ransomware này dần dần lan rộng, trước hết là khu vực châu Âu. Đến đầu năm 2012, TrendMicro đã ghi nhận một số vụ tấn công khắp châu Âu (ngay cả ở Hoa Kỳ và Canada). Nó khá giống với TROJ_RANSOM.BOV, một biến thể khác của Ransomware đã lan truyền rất tích cực trong hai khu vực chính của Pháp và Nhật Bản, cùng với cách Ransomware ban đầu.


Thời gian của Reveton hoặc Police Ransomware:


Tại sao nó được gọi là Police Ransomware? Nó rất đơn giản, bởi vì các loại Ransomware này khi nhập vào máy tính của nạn nhân, sẽ hiển thị thông điệp như một đơn vị pháp lý (bạn có thể tham khảo lại Hình 1 ở trên). Với nội dung như:


"Xin chào, bạn đã bị bắt vì vi phạm pháp luật của abc xyz và vi phạm Hiến pháp Hoa Kỳ ... bởi vì nó liên quan đến các hoạt động bất hợp pháp trực tuyến ..." cùng với đó là hình ảnh, huy hiệu của luật . Tất cả các loại Ransomware này đều được gọi ngắn gọn dưới tên Reveton.


Dưới đây là một số câu hỏi để hỏi:


Làm thế nào để họ - Tin tặc biết chính xác nơi các nạn nhân - người dùng máy tính đang ở trong thành phố, vv ... để cung cấp cho họ một nội dung đe dọa. Để trả lời là tin tặc dựa vào tập hợp địa chỉ IP địa lý dựa trên vị trí địa lý. Ví dụ, với các nạn nhân ở Hoa Kỳ, họ sẽ hiển thị tin nhắn kèm theo hình ảnh của FBI, trong khi ở Pháp sẽ là cơ quan Gendarmerie Nationale.





Thông điệp giả mạo của Ransomware ở Pháp, yêu cầu người dùng "trả tiền phạt" 100 Euro


.


Các biến thể Reventon sử dụng nhiều tài khoản, các phương thức thanh toán khác nhau để nhận tiền từ nạn nhân, thường là các hệ thống như UKash, PaySafeCard hoặc MoneyPak. Tin tặc sử dụng các hình thức thanh toán này vì hệ thống thường làm mờ (không hiển thị) tên người nhận thanh toán, vì vậy họ sẽ cảm thấy an toàn khi thực hiện giao dịch qua UKash, PaySafeCard và MoneyPak.


Đến năm 2012, Reventon đã phát triển các hình thức mới, thủ thuật mới. Nghĩa là, họ sử dụng Ghi âm (bằng giọng nói của người dân địa phương) để truyền tải thông tin cho nạn nhân thay vì cách ghi âm cũ.


4. Age of CryptoLocker:


Vào cuối năm 2013, Trend Micro đã nhận được các báo cáo đầu tiên về một loại Ransomware hoàn toàn mới. Các biến thể này bên cạnh mã hóa tất cả dữ liệu của nạn nhân và khóa toàn bộ hệ thống máy tính của họ. Dựa trên hành động của Ransomware, được gọi là CryptoLocker - nó được đặc trưng bởi thực tế là nếu phần mềm độc hại bị xóa, người dùng sẽ vẫn phải hoàn tất quy trình chuyển, nếu không dữ liệu của họ sẽ bị mất. .





Thông báo cryptolocker quen thuộc


Bên cạnh đó, "trắng trợn" của hacker chỉ ra rằng người dùng dữ liệu đã được mã hóa với RSA-2048 nhưng báo cáo của TrendMicro cho thấy thuật toán mã hóa của cryptolocker một lần nữa được AES +RSA,





Hy vọng những thông tin trên đã giúp bạn hiểu một số cơ chế hoạt động của Ransomware, phần mềm gián điệp, phần mềm tống tiền.


(Theo QuanTriMang.com)

Không có nhận xét nào:

Đăng nhận xét