Chủ động phòng, chống, ngăn ngừa mã độc WANNACRY và DOUBLEPULSAR

16/05/2017

Thời gian gần đây xuất hiện 02 mã độc vô cùng nguy hiểm tấn công vào lỗ hổng bảo mật của Windows là DOUBLEPULSAR và WANNACRY. Ngày 16/4/2017 Tổ ứng dụng CNTT Sở Y tế đã ban hành văn bản khẩn cấp về việc cảnh báo các đơn vị y tế trong ngành chủ động phòng, chống ngăn ngừa các mã độc này, cụ thể như sau:

1. Mã độc DOUBLEPULSAR:

Là một trong số các công cụ hacking của NSA bị Shadow Brokers phát tán vào cuối tuần trước, đã được hacker sử dụng trong tự nhiên, và lây nhiễm mã độc lên 30.625 máy tính trên toàn thế giới. Khi mã độc được thực thi, nó sẽ tạo ra file: Doublepulsar-1.3.1.exe

Mã độc mở ra một backdoor trên máy tính bị nhiễm và kết nối đến một địa điểm từ xa. Nó kết nối với kẻ tấn công sử dụng một hoặc các giao thức sau:

- RDP

- SMB

Mã độc DOUBLEPULSAR có thể thực hiện các hành động sau:

- Kiểm tra sự hiện diện của bản thân nó.

- Inject một DLL vào tiến trình người dùng và gọi đến hàm được chỉ định.

- Thực thi shellcode từ kẻ tấn công.

- Thả shellcode vào một tập tin trên đĩa.

- Tự gỡ cài đặt chính nó.

2. Mã độc WANNACRY:

Bắt đầu gây ảnh hưởng đến các máy tính trên toàn thế giới từ ngày 12/5/2017. Đến nay, WannaCry đang là nỗi khiếp sợ cho hàng triệu người dùng máy tính khi đã gây ảnh hưởng tới 10.000 tổ chức, 200.000 cá nhân trong khoảng 150 quốc gia trên thế giới chỉ sau hơn 2 ngày xuất hiện. Sau khi xâm nhập vào các máy tính, mã độc tống tiền mã hóa ổ đĩa cứng của máy tính, sau đó cố gắng khai thác lỗ hổng SMB để lây lan sang các máy tính ngẫu nhiên trên Internet, và các máy tính trên cùng mạng LAN

Do được mã hóa theo thuật toán RSA 2048-bit rất phức tạp, tính đến thời điểm hiện tại, gần như không có một cách nào để giải mã các file đã bị WannaCry mã hóa. Cách duy nhất để người dùng lấy lại dữ liệu là trả tiền cho hacker từ 300 tới 600 Euro bằng bitcoin, tuy nhiên biện pháp này vẫn không đảm bảo do hacker hoàn toàn có thể "trở mặt".

Hiện có rất nhiều quốc gia đang bị nhiễm mã độc DOUBLEPULSAR và WANNACRY trong đó có Việt Nam hiện đang có số lượng các máy tính bị nhiễm mã độc này rất lớn.

Trước tình hình trên, Tổ ứng dụng CNTT Sở Y tế đề nghị Giám đốc các đơn vị y tế trong ngành lập tức chỉ đạo bộ phận CNTT của đơn vị mình thực hiện kiểm tra các máy chủ, máy tính cá nhân; có cơ chế sao lưu dữ liệu đối với những dữ liệu quan trọng (tại các rate, ổ cứng cắm ngoài …); cài đặt phần mềm diệt virus bản quyền (kapersky, avast, bkav …) và có giải pháp đảm bảo không bị nhiễm 02 mã độc này, cụ thể như sau:

1. Đối với mã độc DOUBLEPULSAR: Thực hiện các nội dung tại Hướng dẫn phát hiện mã độc và công cụ check theo tài liệu đính kèm.

          2. Đối với mã độc WANNACRY:

- Kiểm tra, rà soát các máy tính, máy chủ sử dụng hệ điều hành windows, cập nhật ngay bản vá cho phiên bản bị ảnh hưởng (chi tiết tại Phụ lục: Danh sách bản vá lỗ hổng gửi kèm). Đối với máy tính cá nhân cấu hình đủ mạnh đề nghị sử dụng windows 10 bản quyền.

- Đóng cổng 445, 138, 137, 139 chỉ mở các cổng dịch vụ cần thiết. Với các cổng quản trị cần giới hạn truy cập, chặn truy cập từ bên ngoài (làm theo hướng dẫn tại địa chỉ: https://www.youtube.com/watch?v=1jUM5LBzuAM).

- Sử dụng công cụ kiểm tra lỗ hổng mà mã độc WannaCry (tải và làm theo hướng dẫn tại địa chỉ: http://sohoa.vnexpress.net/tin-tuc/doi-song-so/bao-mat/cong-cu-kiem-tra-wannacry-mien-phi-3585097-p2.html). Hoặc tải và sử dụng ứng dụng Malware Scan do BKAV phát triển để kiểm tra máy tính chứa lỗ hổng EternalBlue - lỗ hổng mà WannaCry khai thác để xâm nhập.

- Phổ biến tới toàn thể cán bộ, CC, VC khi nhận được những email có file đính kèm ghi vấn cần cẩn trọng trong việc mở file. Tuyệt đối không mở file đính kèm được gửi từ các địa chỉ email không rõ nguồn gốc.

- Thường xuyên tiến hành cập nhật hệ thống, theo dõi, giám sát, kiểm tra, rà soát hệ thống để có phương án xử lý kịp thời khi phát hiện có tấn công, đảm bảo hệ thống hoạt động ổn định và an toàn bảo mật.

Trong trường hợp phát hiện máy tính bị nhiễm các mã độc trên, ngay lập tức người dùng phải cô lập vùng/máy đã phát hiện (tắt máy tính, ngắt kết nối mạng Internet tổng của đơn vị và cách ly máy tính đó với mạng LAN của đơn vị). Sau đó, quản trị viên cần kiểm tra và thực hiện gấp các bước đã được hướng dẫn trước đây tại văn bản số 80/VNCERT-ĐPƯC, ngày 09/3/2016 và văn bản 123/VNCERT-ĐPƯC, ngày 24/4/2017, tải văn bản tại hai địa chỉ đã đăng là:

http://www.vncert.gov.vn/baiviet.php?id=24  http://vncert.gov.vn/baiviet.php?id=52 để phòng tránh các cuộc tấn công qui mô lớn và nguy hiểm khác; Đồng thời báo cáo tình hình về Đầu mối điều phối ứng cứu sự cố quốc gia (Trung tâm VNCERT) theo địa chỉ email: ir@vncert.gov.vn, hotline: 0869100319; và báo cáo về Tổ ứng dụng CNTT Sở Y tế để tổng hợp, giải quyết.

Trên đây là những nội dung liên quan đến 02 mã độc gây ảnh hưởng vô cùng nghiêm trọng tới an toàn an ninh thông tin, bảo mật mạng hết sức quan trọng và cách thức phòng, tránh cần phải triển khai ngay tại các đơn vị y tế trong ngành. Để tránh tình trạng tổn thất nghiêm trọng, Tổ ứng dụng CNTT Sở Y tế, đề nghị Giám đốc các đơn vị y tế trong ngành chỉ đạo, quán triệt sát sao bộ phận CNTT và toàn thể cán bộ, CC, VC tại đơn vị triển khai thực hiện./.

Nguồn: Ban Biên tập Cổng TTGTĐT Sở Y tế 

Các tin đã đưa ngày: