Trang 110

TP Hồ Chiacute Minh ngagravey 16 thaacuteng 5 năm 2017

THOcircNG BAacuteO CỦA CHI HỘI ANTT PHIacuteA NAM VỀ

MAtilde ĐỘC TỐNG TIỀN WANNACRY

(Baacuteo caacuteo được thực hiện dựa trecircn kết quả thực nghiệm của caacutec chuyecircn gia Vnisa phiacutea nam vagrave kiểm định caacutec kết quả khaacutec được cocircng bố trecircn Internet)

1 Sơ lược về ransomware WannaCry

Matilde độc tống tiền ransomware wannacry được ghi nhận vagraveo ngagravey 12052017 được phaacutet

taacuten với nhiều biến thể khaacutec nhau Ban đầu WannaCry bugraveng phaacutet ở Mỹ vagrave Chacircu Acircu trước khi lacircy

lan mạnh sang caacutec Quốc gia Chacircu Aacute đặc biệt lagrave Trung Quốc Theo thống kecirc của Kaspersky cho

đến cuối ngagravey 14052017 đatilde coacute hơn 200 000 maacutey tiacutenh ở 150 quốc gia bị thiệt hại bởi loại matilde

độc nagravey khoảng 110 nạn nhacircn đatilde phải chi trả tiền chuộc cho caacutec tin tặc

Higravenh số 1 Bản đồ phaacuten taacuten WannaCry

Việc phaacutet hiện cơ chế ldquoKill Switchrdquo (ngưng hoạt động khi kết nối được đến một trong

hai tecircn miền wwwiuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[]com

wwwifferfsodp9ifjaposdfjhgosurijfaewrwergweacom ) đatilde phần nagraveo ngăn chặn được lacircy lan của

Trang 210

WannaCry phiecircn bản đầu tiecircn tuy nhiecircn caacutec phiecircn bản sau đatilde khocircng cograven dugraveng cơ chế nagravey vagrave

tiếp tục phaacutet taacuten

Điểm đặc biệt lagravem cho WannaCry cực kỳ nguy hiểm lagrave matilde độc đatilde khai thaacutec lỗ hổng MS17-

010 coacute trecircn tất cả caacutec Hecirc Điều Hagravenh Windows coacute sử dụng giao thức chia sẻ file SMBv1 để tự lacircy

nhiễm Lỗi bảo mật nghiecircm trọng nagravey chỉ mới được Microsoft phaacutet hagravenh caacutec bản vaacute lỗi vagraveo ngagravey

1432017 vagrave coacute rất nhiều maacutey tiacutenh cograven chưa kịp thực hiện update

Từ cocircng cụ khai thaacutec lỗi MS17-010 đầu tiecircn lagrave EternalBlue xuất hiện vagraveo thaacuteng 42017

đến nay đatilde coacute nhiều phiecircn bản matilde khai thaacutec được giới Hackers tinh chỉnh vagrave sử dụng Caacutec matilde

khai thaacutec lỗi nagravey cograven được tiacutech hợp trong caacutec bộ cocircng cụ kiểm thử như thocircng dụng như

Metasploit Empire

Với mỗi nạn nhacircn bị lacircy nhiễm WannaCry sẽ khởi tạo một cặp khoaacute RSA-2048 Mỗi tập

tin được matilde hoaacute bằng khoacutea ngẫu nhiecircn AES-128 Khoacutea private của mỗi nạn nhacircn matilde hoacutea bởi

public key của tin tặc Sau đoacute matilde độc WannaCry sẽ tiến hagravenh matilde hoacutea vagrave xoacutea bỏ tất cả caacutec file

tạm thực thi phần tống tiền với phần mềm Tor vagrave Bitcoin Wallet để nhận tiền chuộc dữ liệu magrave

khocircng bị truy vết

2 Phương phaacutep lacircy nhiễm

Đầu tiecircn WannaCry được phaacutet taacuten qua caacutec E-mail coacute điacutenh kegravem caacutec tập tin rtf hoặc HTA

caacutec file neacuten coacute mật khẩu (theo hatildeng Positive Technology đatilde xuất hiện caacutech thức tiacutech hợp matilde

độc lecircn caacutec Website để tự động tải WannaCry khi maacutey truy cập bị lỗi) Sau khi kiacutech hoạt thagravenh

cocircng vagrave xuất hiện trong mạng nội bộ WannaCry sẽ tiến hagravenh hai nhiệm vụ

- Tiến hagravenh dograve queacutet lỗi MS17-010 của caacutec maacutey lacircn cận vagrave caacutec maacutey ngoagravei Internet (coacute thể

kết nối) để lacircy nhiễm Lỗ hổng nagravey cho pheacutep thực thi matilde từ xa thocircng qua dịch vụ chia sẻ

tập tin SMBv1 trecircn hệ điều hagravenh Windows

- Tiến hagravenh việc matilde hoacutea dữ liệu vagrave kiacutech hoạt cơ chế đogravei tiền chuộc

Caacutec bước thực hiện cụ thể như sau

Giai đoạn 1 (Dropper)

- Kiểm tra Kill-switch Domain (cho version 1 ndash như mocirc tả phần 1)

- Khởi tạo dịch vụ Microsoft Security Center (20) Service mssecsvc20 với tập tin thực

thi mssecsvcexe vagrave chạy dịch vụ nagravey

- Tạo tập tin thực thi taskscheexe để chuẩn bị cho matilde hoacutea

- Dograve queacutet cổng TCP445 trecircn toagraven mạng coacute khả năng kết nối tới maacutey bị lacircy nhiễm vagrave tigravem

caacutech khai thaacutec lỗ hổng MS17-010

- Caacutec Payload được sử dụng lagrave matilde khai thaacutec lỗi MS17-010 vagrave khai thaacutec backdoor

DoublePulsar (nếu maacutey tiacutenh đatilde được nhiễm trước đoacute)

Trang 310

Higravenh số 2 Malware kiểm tra Kill-Switch

Higravenh số 3 Tiến trigravenh taskscheexe

Higravenh số 4 Gửi Payload Base64 đến maacutey khaacutec

Trang 410

Giai đoạn 2 Tiến hagravenh matilde hoaacute tống tiền (Ransomware Component)

- Tiến hagravenh giải neacuten caacutec thocircng tin trong tập tin XIA trước đoacute đatilde được tải về

- Lấy thocircng tin cấu higravenh Tor Bitcoin wallet phục vụ cho tống tiền về sau

- Cấp quyền Full Control cho nhoacutem Everyone trecircn thư mục hiện hagravenh

- Đọc nội dung từ tập tin twnry để lấy caacutec khoaacute AES dugraveng để giải matilde tập tin DLL tập tin

DLL nagravey sẽ được Malware đọc amp thực thi caacutec hagravem đatilde Export sẵn để phục vụ quaacute trigravenh

matilde hoaacute coacute chứa Public Key của tin tặc Key nagravey dugraveng để matilde hoaacute Private key của nạn

nhacircn

- Khởi tạo Mutex cho tất cả tiến trigravenh GlobalMsWinZonesCacheCounterMutexW

- Khởi tạo Thread để bắt đầu matilde hoaacute caacutec tập tin

- Thực hiện tắt caacutec dịch vụ CSDL để tiến hagravenh matilde hoaacute tập tin dữ liệu

o taskkillexe f im MicrosoftExchange

o taskkillexe f im MSExchange

o taskkillexe f im sqlserverexe

o taskkillexe f im sqlwriterexe

o taskkillexe f im mysqldexe

- Xoaacute caacutec Shadow Volumn bằng caacutec lệnh

Cmdexe c vssadmin delete shadows all quiet amp wmic shadowcopy delete amp bcdedit set

default bootstatuspolicy ignoreallfailures amp bcdedit set default recoveryenabled no amp

wbadmin delete catalog -quiet with the command Cmdexe c vssadmin delete shadows all

quiet amp wmic shadowcopy delete amp bcdedit set default bootstatuspolicy ignoreallfailures

amp bcdedit set default recoveryenabled no amp wbadmin delete catalog -quiet

- Coacute tất cả 43 Keys được add thecirc vagraveo Registry

HKLMSOFTWAREWanaCrypt0r

HKLMSYSTEMControlSet001servicesmssecsvc20

HKLMSYSTEMControlSet001servicesnzcoipjcnbtkwjd375

HKLMSYSTEMCurrentControlSetservicesmssecsvc20

HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375

HKLMSYSTEMCurrentControlSetservicesmssecsvc20Type 0x00000010

HKLMSYSTEMCurrentControlSetservicesmssecsvc20Start 0x00000002

HKLMSYSTEMCurrentControlSetservicesmssecsvc20ErrorControl 0x00000001

HKLMSYSTEMCurrentControlSetservicesmssecsvc20ImagePath

CUsersBAOLQDesktop24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea0470348

0b1022cexe -m security

HKLMSYSTEMCurrentControlSetservicesmssecsvc20DisplayName Microsoft Security

Center (20) Service

HKLMSYSTEMCurrentControlSetservicesmssecsvc20WOW64 0x00000001

HKLMSYSTEMCurrentControlSetservicesmssecsvc20ObjectName LocalSystem

HKLMSYSTEMCurrentControlSetservicesmssecsvc20FailureActions 00 00 00 00 01 00 00

00 01 00 00 00 01 00 00 00 14 00 00 00 01 00 00 00 60 EA 00 00

HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375Type 0x00000010

HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375Start 0x00000002

HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375ErrorControl 0x00000001

HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375ImagePath cmdexe c

CProgramDatanzcoipjcnbtkwjd375taskscheexe

Trang 510

HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375DisplayName

nzcoipjcnbtkwjd375

HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375WOW64 0x00000001

HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375ObjectName LocalSystem

Higravenh số 5 Vograveng đời WannaCry

Trang 610

3 Giải phaacutep ngăn chặn

31 Đối với maacutey tiacutenh caacute nhacircn

a) Ngăn chặn lacircy nhiễm vagrave vaacute lỗi

- Caacutech ly tất cả caacutec thiết bị sao lưu ra khỏi maacutey tiacutenh caacute nhacircn

- Tắt chế độ hỗ trợ SMBv1 bằng Windows Features (với Windows 7 trở lecircn) hoặc

PowerShell Command (httpssupportmicrosoftcomvi-vnhelp2696547how-to-

enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-vista-windows-server-

2008-windows-7-windows-server-2008-r2-windows-8-and-windows-server-2012 )

Higravenh số 6 Tắt hỗ trợ SMBv1 bằng Windows Features

- Kiểm tra bản vaacute lỗi bằng Windows Update cho hệ điều hagravenh Windows để cập nhật

caacutec bản vaacute lỗi MS17-010 Bản vaacute nagravey được Microsoft phaacutet hagravenh vagraveo 14032017 đối

với caacutec phiecircn bản được hỗ trợ Tugravey theo phiecircn bản hệ điều hagravenh magrave bản vaacute lỗi coacute tecircn

khaacutec nhau như bảng liệt kecirc becircn dưới

Trang 310

Higravenh số 2 Malware kiểm tra Kill-Switch

Higravenh số 3 Tiến trigravenh taskscheexe

Higravenh số 4 Gửi Payload Base64 đến maacutey khaacutec

Trang 410

Giai đoạn 2 Tiến hagravenh matilde hoaacute tống tiền (Ransomware Component)

- Tiến hagravenh giải neacuten caacutec thocircng tin trong tập tin XIA trước đoacute đatilde được tải về

- Lấy thocircng tin cấu higravenh Tor Bitcoin wallet phục vụ cho tống tiền về sau

- Cấp quyền Full Control cho nhoacutem Everyone trecircn thư mục hiện hagravenh

- Đọc nội dung từ tập tin twnry để lấy caacutec khoaacute AES dugraveng để giải matilde tập tin DLL tập tin

DLL nagravey sẽ được Malware đọc amp thực thi caacutec hagravem đatilde Export sẵn để phục vụ quaacute trigravenh

matilde hoaacute coacute chứa Public Key của tin tặc Key nagravey dugraveng để matilde hoaacute Private key của nạn

nhacircn

- Khởi tạo Mutex cho tất cả tiến trigravenh GlobalMsWinZonesCacheCounterMutexW

- Khởi tạo Thread để bắt đầu matilde hoaacute caacutec tập tin

- Thực hiện tắt caacutec dịch vụ CSDL để tiến hagravenh matilde hoaacute tập tin dữ liệu

o taskkillexe f im MicrosoftExchange

o taskkillexe f im MSExchange

o taskkillexe f im sqlserverexe

o taskkillexe f im sqlwriterexe

o taskkillexe f im mysqldexe

- Xoaacute caacutec Shadow Volumn bằng caacutec lệnh

Cmdexe c vssadmin delete shadows all quiet amp wmic shadowcopy delete amp bcdedit set

default bootstatuspolicy ignoreallfailures amp bcdedit set default recoveryenabled no amp

wbadmin delete catalog -quiet with the command Cmdexe c vssadmin delete shadows all

quiet amp wmic shadowcopy delete amp bcdedit set default bootstatuspolicy ignoreallfailures

amp bcdedit set default recoveryenabled no amp wbadmin delete catalog -quiet

- Coacute tất cả 43 Keys được add thecirc vagraveo Registry

HKLMSOFTWAREWanaCrypt0r

HKLMSYSTEMControlSet001servicesmssecsvc20

HKLMSYSTEMControlSet001servicesnzcoipjcnbtkwjd375

HKLMSYSTEMCurrentControlSetservicesmssecsvc20

HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375

HKLMSYSTEMCurrentControlSetservicesmssecsvc20Type 0x00000010

HKLMSYSTEMCurrentControlSetservicesmssecsvc20Start 0x00000002

HKLMSYSTEMCurrentControlSetservicesmssecsvc20ErrorControl 0x00000001

HKLMSYSTEMCurrentControlSetservicesmssecsvc20ImagePath

CUsersBAOLQDesktop24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea0470348

0b1022cexe -m security

HKLMSYSTEMCurrentControlSetservicesmssecsvc20DisplayName Microsoft Security

Center (20) Service

HKLMSYSTEMCurrentControlSetservicesmssecsvc20WOW64 0x00000001

HKLMSYSTEMCurrentControlSetservicesmssecsvc20ObjectName LocalSystem

HKLMSYSTEMCurrentControlSetservicesmssecsvc20FailureActions 00 00 00 00 01 00 00

00 01 00 00 00 01 00 00 00 14 00 00 00 01 00 00 00 60 EA 00 00

HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375Type 0x00000010

HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375Start 0x00000002

HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375ErrorControl 0x00000001

HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375ImagePath cmdexe c

CProgramDatanzcoipjcnbtkwjd375taskscheexe

Trang 510

HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375DisplayName

nzcoipjcnbtkwjd375

HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375WOW64 0x00000001

HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375ObjectName LocalSystem

Higravenh số 5 Vograveng đời WannaCry

Trang 610

3 Giải phaacutep ngăn chặn

31 Đối với maacutey tiacutenh caacute nhacircn

a) Ngăn chặn lacircy nhiễm vagrave vaacute lỗi

- Caacutech ly tất cả caacutec thiết bị sao lưu ra khỏi maacutey tiacutenh caacute nhacircn

- Tắt chế độ hỗ trợ SMBv1 bằng Windows Features (với Windows 7 trở lecircn) hoặc

PowerShell Command (httpssupportmicrosoftcomvi-vnhelp2696547how-to-

enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-vista-windows-server-

2008-windows-7-windows-server-2008-r2-windows-8-and-windows-server-2012 )

Higravenh số 6 Tắt hỗ trợ SMBv1 bằng Windows Features

- Kiểm tra bản vaacute lỗi bằng Windows Update cho hệ điều hagravenh Windows để cập nhật

caacutec bản vaacute lỗi MS17-010 Bản vaacute nagravey được Microsoft phaacutet hagravenh vagraveo 14032017 đối

với caacutec phiecircn bản được hỗ trợ Tugravey theo phiecircn bản hệ điều hagravenh magrave bản vaacute lỗi coacute tecircn

khaacutec nhau như bảng liệt kecirc becircn dưới

Trang 410

Giai đoạn 2 Tiến hagravenh matilde hoaacute tống tiền (Ransomware Component)

- Tiến hagravenh giải neacuten caacutec thocircng tin trong tập tin XIA trước đoacute đatilde được tải về

- Lấy thocircng tin cấu higravenh Tor Bitcoin wallet phục vụ cho tống tiền về sau

- Cấp quyền Full Control cho nhoacutem Everyone trecircn thư mục hiện hagravenh

- Đọc nội dung từ tập tin twnry để lấy caacutec khoaacute AES dugraveng để giải matilde tập tin DLL tập tin

DLL nagravey sẽ được Malware đọc amp thực thi caacutec hagravem đatilde Export sẵn để phục vụ quaacute trigravenh

matilde hoaacute coacute chứa Public Key của tin tặc Key nagravey dugraveng để matilde hoaacute Private key của nạn

nhacircn

- Khởi tạo Mutex cho tất cả tiến trigravenh GlobalMsWinZonesCacheCounterMutexW

- Khởi tạo Thread để bắt đầu matilde hoaacute caacutec tập tin

- Thực hiện tắt caacutec dịch vụ CSDL để tiến hagravenh matilde hoaacute tập tin dữ liệu

o taskkillexe f im MicrosoftExchange

o taskkillexe f im MSExchange

o taskkillexe f im sqlserverexe

o taskkillexe f im sqlwriterexe

o taskkillexe f im mysqldexe

- Xoaacute caacutec Shadow Volumn bằng caacutec lệnh

Cmdexe c vssadmin delete shadows all quiet amp wmic shadowcopy delete amp bcdedit set

default bootstatuspolicy ignoreallfailures amp bcdedit set default recoveryenabled no amp

wbadmin delete catalog -quiet with the command Cmdexe c vssadmin delete shadows all

quiet amp wmic shadowcopy delete amp bcdedit set default bootstatuspolicy ignoreallfailures

amp bcdedit set default recoveryenabled no amp wbadmin delete catalog -quiet

- Coacute tất cả 43 Keys được add thecirc vagraveo Registry

HKLMSOFTWAREWanaCrypt0r

HKLMSYSTEMControlSet001servicesmssecsvc20

HKLMSYSTEMControlSet001servicesnzcoipjcnbtkwjd375

HKLMSYSTEMCurrentControlSetservicesmssecsvc20

HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375

HKLMSYSTEMCurrentControlSetservicesmssecsvc20Type 0x00000010

HKLMSYSTEMCurrentControlSetservicesmssecsvc20Start 0x00000002

HKLMSYSTEMCurrentControlSetservicesmssecsvc20ErrorControl 0x00000001

HKLMSYSTEMCurrentControlSetservicesmssecsvc20ImagePath

CUsersBAOLQDesktop24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea0470348

0b1022cexe -m security

HKLMSYSTEMCurrentControlSetservicesmssecsvc20DisplayName Microsoft Security

Center (20) Service

HKLMSYSTEMCurrentControlSetservicesmssecsvc20WOW64 0x00000001

HKLMSYSTEMCurrentControlSetservicesmssecsvc20ObjectName LocalSystem

HKLMSYSTEMCurrentControlSetservicesmssecsvc20FailureActions 00 00 00 00 01 00 00

00 01 00 00 00 01 00 00 00 14 00 00 00 01 00 00 00 60 EA 00 00

HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375Type 0x00000010

HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375Start 0x00000002

HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375ErrorControl 0x00000001

HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375ImagePath cmdexe c

CProgramDatanzcoipjcnbtkwjd375taskscheexe

Trang 510

HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375DisplayName

nzcoipjcnbtkwjd375

HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375WOW64 0x00000001

HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375ObjectName LocalSystem

Higravenh số 5 Vograveng đời WannaCry

Trang 610

3 Giải phaacutep ngăn chặn

31 Đối với maacutey tiacutenh caacute nhacircn

a) Ngăn chặn lacircy nhiễm vagrave vaacute lỗi

- Caacutech ly tất cả caacutec thiết bị sao lưu ra khỏi maacutey tiacutenh caacute nhacircn

- Tắt chế độ hỗ trợ SMBv1 bằng Windows Features (với Windows 7 trở lecircn) hoặc

PowerShell Command (httpssupportmicrosoftcomvi-vnhelp2696547how-to-

enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-vista-windows-server-

2008-windows-7-windows-server-2008-r2-windows-8-and-windows-server-2012 )

Higravenh số 6 Tắt hỗ trợ SMBv1 bằng Windows Features

- Kiểm tra bản vaacute lỗi bằng Windows Update cho hệ điều hagravenh Windows để cập nhật

caacutec bản vaacute lỗi MS17-010 Bản vaacute nagravey được Microsoft phaacutet hagravenh vagraveo 14032017 đối

với caacutec phiecircn bản được hỗ trợ Tugravey theo phiecircn bản hệ điều hagravenh magrave bản vaacute lỗi coacute tecircn

khaacutec nhau như bảng liệt kecirc becircn dưới

Trang 510

HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375DisplayName

nzcoipjcnbtkwjd375

HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375WOW64 0x00000001

HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375ObjectName LocalSystem

Higravenh số 5 Vograveng đời WannaCry

Trang 610

3 Giải phaacutep ngăn chặn

31 Đối với maacutey tiacutenh caacute nhacircn

a) Ngăn chặn lacircy nhiễm vagrave vaacute lỗi

- Caacutech ly tất cả caacutec thiết bị sao lưu ra khỏi maacutey tiacutenh caacute nhacircn

- Tắt chế độ hỗ trợ SMBv1 bằng Windows Features (với Windows 7 trở lecircn) hoặc

PowerShell Command (httpssupportmicrosoftcomvi-vnhelp2696547how-to-

enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-vista-windows-server-

2008-windows-7-windows-server-2008-r2-windows-8-and-windows-server-2012 )

Higravenh số 6 Tắt hỗ trợ SMBv1 bằng Windows Features

- Kiểm tra bản vaacute lỗi bằng Windows Update cho hệ điều hagravenh Windows để cập nhật

caacutec bản vaacute lỗi MS17-010 Bản vaacute nagravey được Microsoft phaacutet hagravenh vagraveo 14032017 đối

với caacutec phiecircn bản được hỗ trợ Tugravey theo phiecircn bản hệ điều hagravenh magrave bản vaacute lỗi coacute tecircn

khaacutec nhau như bảng liệt kecirc becircn dưới

Trang 610

3 Giải phaacutep ngăn chặn

31 Đối với maacutey tiacutenh caacute nhacircn

a) Ngăn chặn lacircy nhiễm vagrave vaacute lỗi

- Caacutech ly tất cả caacutec thiết bị sao lưu ra khỏi maacutey tiacutenh caacute nhacircn

- Tắt chế độ hỗ trợ SMBv1 bằng Windows Features (với Windows 7 trở lecircn) hoặc

PowerShell Command (httpssupportmicrosoftcomvi-vnhelp2696547how-to-

enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-vista-windows-server-

2008-windows-7-windows-server-2008-r2-windows-8-and-windows-server-2012 )

Higravenh số 6 Tắt hỗ trợ SMBv1 bằng Windows Features

- Kiểm tra bản vaacute lỗi bằng Windows Update cho hệ điều hagravenh Windows để cập nhật

caacutec bản vaacute lỗi MS17-010 Bản vaacute nagravey được Microsoft phaacutet hagravenh vagraveo 14032017 đối

với caacutec phiecircn bản được hỗ trợ Tugravey theo phiecircn bản hệ điều hagravenh magrave bản vaacute lỗi coacute tecircn

khaacutec nhau như bảng liệt kecirc becircn dưới

Trang 710

Higravenh số 7 Danh saacutech caacutec bản vaacute lỗi coacute vaacute lỗi MS17-010

- Đối với những hệ điều hagravenh Microsoft đatilde thocirci hỗ trợ (XP Vista Server 2003hellip)

người sử dụng coacute thể download bản vaacute lỗi tại link

httpwwwcatalogupdatemicrosoftcomSearchaspxq=KB4012598 do sự quaacute tải

của Microsoft server necircn việc download bản vaacute coacute thể gặp khoacute khăn Vigrave vậy việc lagravem

đầu tiecircn vẫn lagrave tắt chế độ hỗ trợ SMBv1 như ở trecircn

b) Ngăn chặn thực thi matilde độc

- Cập nhật Windows Defender của Windows để giới hạn caacutec tập tin được thực thi

- Cagravei đặt caacutec phần mềm Antivirus coacute cập nhật gần nhất

- Tạo Mutex MsWinZonesCacheCounterMutexA amp

MsWinZonesCacheCounterMutexA0 để ngăn chặn Malware chạy (hai phiecircn bản

đầu tiecircn của Malware sẽ khocircng thực thi khi phaacutet hiện đatilde coacute Mutex -

httpswwwminerva-labscompostimmune-yourself-from-wannacry-ransomware-

with-minervas-free-vaccinator )

32 Đối với hệ thống mạng doanh nghiệp

- Caacutech ly caacutec thiết bị (hệ thống) sao lưu ra khỏi hệ thống mạng doanh nghiệp lagrave việc

lagravem đacircu tiecircn nhất Sau đoacute người quản trị hệ thống necircn sử dụng hệ thống tường lửa

sẵn coacute để khoacutea tất cả caacutec truy cập sử dụng TCP445 137 139 UDP137 138

- Tạm thời disable dịch vụ SMBv1 cho đến khi cập nhật caacutec bản vaacute lỗi cho MS17-010

đầy đủ

Trang 810

- Sử dụng cocircng cụ MSBA (download MSBA tại đacircy httpswwwmicrosoftcomen-

usdownloaddetailsaspxid=7558) hoặc cocircng cụ khaacutec tương tự để kiểm tra lại tigravenh

trạng cập nhật của caacutec bản vaacute lỗi của caacutec maacutey tiacutenh trong toagraven hệ thống Sau đoacute sử

dụng Windows Update để tiến hagravenh cập nhật caacutec bản vaacute lỗi

- Cuối cugraveng cập nhật phần mềm AV vagrave tiến hagravenh queacutet toagraven bộ hệ thống

Higravenh số 8 Giao diện MSBA

- Nếu coacute điều kiện coacute thể kiacutech hoạt chế độ Kill-Switch bằng caacutech giả lập hoặc cho

pheacutep kết nối đến 2 tecircn miền đatilde necircu trong phần 1 của baacuteo caacuteo nagravey

33 Caacutec khuyến caacuteo chung cho người sử dụng

- Khocircng mở caacutec tập tin điacutenh kegravem trong Email coacute nội dung gacircy sự tograve mograve coacute phần mở

rộng rtf caacutec file neacuten coacute mật khẩu kegravem theo

- Cập nhật phiecircn bản Office mới nhất để hạn chế rủi ro tấn cocircng bằng cơ chế xử lyacute

HTA của Microsoft Word

- Khocircng click vagraveo caacutec đường link lạ khocircng rotilde nguồn gốc

- Cập nhật bản mới nhất của phần mềm diệt Virus

- Luocircn cập nhật tất cả caacutec bản vaacute lỗi bảo mật từ Microsoft

- Bật Windows Firewall

Trang 910

4 Thocircng tin liecircn hệ khi gặp sự cố về an toagraven bảo mật thocircng tin

Trung tacircm Ứng cứu Khẩn cấp Maacutey tiacutenh Việt Nam (VNCERT)

- Địa chỉ Tầng 5 Togravea nhagrave 115 Trần Duy Hưng - Phường Trung Hoagrave - Quận Cầu

Giấy Hagrave Nội

- Điện thoại 84436404421 36404424 Fax 84436404425

- Email officevncertvn

Sở Thocircng tin amp Truyền thocircng TPHCM

- Địa chỉ 59 Lyacute Tự Trọng P Bến Ngheacute Quận 1 TPHCM

- Điện thoại 08 3520 2727 Fax (08)35202424 - (08) 39309498

Email stttttphcmgovvn

Chi hội An toagraven Thocircng tin phiacutea Nam (VNISA phiacutea Nam) - Hotline 0906 911 050

- Địa chỉ Tầng 9 Togravea nhagrave Saigon Paragon 03 Nguyễn Lương Bằng PTacircn Phuacute

Quận 7 TPHCM

- Điện thoại 84-8-73 030 309 Fax 84-8-54 108 801

- Email infovnisahcmorgvn

Trang 1010

5 Tagravei liệu tham khảo

wwwthehackernewscom

wwwsecuritylabru

httpswwwendgamecomblogwcrywanacry-ransomware-technical-analysis

httpsgistgithubcomrain-1989428fa5504f378b993ee6efbc0b168

httpskrebsonsecuritycom201705global-wana-ransomware-outbreak-earned-

perpetrators-26000-so-far

httpsblogstechnetmicrosoftcommmpc20170512wannacrypt-ransomware-

worm-targets-out-of-date-systems

httpsblogstechnetmicrosoftcommsrc20170512customer-guidance-for-

wannacrypt-attacks

httpssupportmicrosoftcomen-ushelp2696547how-to-enable-and-disable-

smbv1-smbv2-and-smbv3-in-windows-vista-windows-server-2008-windows-7-

windows-server-2008-r2-windows-8-and-windows-server-2012

httpstechnetmicrosoftcomen-uslibrarysecurityms17-010aspx