Phòng chống mã độc cách phòng, chống, xử lý mã độc cho doanh nghiệp

Vì sao các loại mã độc lại khiến cả thế giới chao đảo, các doanh nghiệp lớn cũng phải bật khóc đến vậy? Đó là một loại mã độc nguy hiểm cấp cao, chúng tấn công vào tất cả bộ máy trên thế giới ở nhiều hệ điều hành khác như Android, Windows, thậm chí cả Mac của Apple cũng không tránh né khỏi. Nếu như tháng 5/2017 với mã độc WannaCry đã làm các doanh nghiệp điêu đứng thì đến nay lại thêm một mã độc mới với tên gọi là Petya còn mạnh và nguy hiểm hơn. Một lần nữa cả thế giới bị chúng nhấn chìm trong cuộc tấn công không gian mạng. Vì vậy phòng chống mã độc mà vấn đề cấp bách mà chúng ta cần phải làm ngay từ bây giờ.

Các loại mã độc hại được gọi chung là Ransomware –  là một phần mềm tống tiền người dùng. Chúng đánh cắp mọi thông tin dữ liệu quan trọng, đóng băng mọi hoạt động của máy tính, ngăn chặn mọi sự truy cập mạng, hay gửi những hộp thoại thông báo làm phiền người dùng,… mục tiêu của chúng là buộc người dùng phải bỏ ra khoản tiền lớn 300$ để chuộc lại nếu không mọi dữ liệu đánh cắp sẽ được công khai. Mới đây nhất là cuộc tấn công không gian mạng WannaCry, không dừng lại ở đó một loại mã độc mới cải trang là đứa con thứ 2 của nhà  Ransomeware là Petya làm tê liệt hệ thống mạng. Trong vòng 2 tháng xảy ra cuộc tấn công liên tục khiến cho cục An ninh mạng toàn cầu không kịp trở tay và có nhận định sai về mã độc mới này.

2/. Làm sao để nhận biết WannaCry và Petya?

Chúng ta đều biết WannaCry là một mã độc hại của Ransomware vào đầu tháng 5 năm 2017 và được một chàng trai IT 22 tuổi tại Anh Quốc với tên là Marcus Hutchins tìm ra cách ngăn chặn Virus này. Đến gần cuối tháng 6/2017 xuất hiện mã độc hại mới được nhận định là tương tự WannaCry và cách làm của nó cũng tập trung tấn công vào hệ điều hành Windows. Nhưng biến thể Petya không phải là ransomware, mà thay vào đó là một cái gạt nước được cải trang thành ransomware. Một trò tiêu xảo mới của Hacker đánh lừa người dùng.
Với WannaCry thì nó chiếm dụng, vô hiệu hóa dữ liệu thông tin còn ngược lại phiên bản Petya lại phá hủy hết mọi hệ thống và dữ liệu. Khi cả 2 loại virus này mã hóa thành công thì nạn nhân sẽ nhận được với một màn hình thông báo về mã hóa và yêu cầu một khoản tiền chuộc, trả bằng Bitcoin, để lấy dữ liệu.

3/. Cách tiếp cận và đặc tính của hai loại mã độc Wannacry – Petya.

Cả hai loại mã độc này đều được khai thác trên EternalBlue, lợi dụng một lỗ hổng SMB để nhanh chóng truyền thông tin qua mạng. Do trước cuộc tấn công của WannaCry nên lỗ hổng SMB này được vá bởi Microsoft trong MS 17-010 nên việc sử dụng khai thác này cung cấp cả hai loại phần mềm độc hại với khả năng sâu, giúp kẻ tấn công tối đa hóa thiệt hại.
Khác với mã độc hại WannaCry thì biến thể Petya sử dụng thêm lỗ hổng EternalBomance, cho phép truy cập từ xa trên một số phiên bản Windows nhất định.
Với quy trình xử lý lây nhiễm khác nhau: Đối với WannaCry yêu cầu kết nối với máy chủ Command and Control của người tấn công trước khi nó có thể thực thi. Nếu một kết nối không thể được thiết lập thì nó không thể thực hiện tiếp. Còn với Petya không cần kết nối tới máy chủ mà có thể thực hiện, lây lan và mã hóa thông tin dữ liệu bằng cách thu thập thông tin từ hệ thống bị nhiễm và sử dụng PsExec và WMIC (các công cụ quản trị từ xa) để truy cập vào các hệ thống khác trên mạng.
WannaCry mã hóa dữ liệu tập tin trên máy bị nhiễm bằng cách sử dụng không đối xứng RSA 2048-bit mã hóa. Những kẻ tấn công đã giữ các phím giải mã trên hệ thống máy chủ của người tấn công và có thể cung cấp chúng cho các nạn nhân sau khi tiền chuộc được thanh toán. Phiên bản Petya đã mã hóa không chỉ các tập tin dữ liệu mà còn mã hoá và phá hỏng các Master Boot Record (MBR) và Master File Table (MFT). Khóa cá nhân được sử dụng để mã hóa được tạo ngẫu nhiên, và những kẻ tấn công không có cách nào biết chìa khóa đó là gì. Do đó, ngay cả khi tiền chuộc được trả, kẻ tấn công không có cách nào để cung cấp khóa giải mã chính xác để khôi phục dữ liệu. Đó cũng là câu hỏi của các nạn nhân khi họ đã thanh toán hết mà vẫn không thể chuộc lại được dữ liệu tệp tin bị đánh cắp.

4/. Ý định của mã độc hại này là gì?

Qua phân tích các đặc tính của hai loại mã độc hại này, có thể thấy rằng chúng có ý định tấn công khác nhau. Mục đích của Wanna Cry là lợi ích tài chính. Khi nạn nhân không có bản sao lưu tệp tin và chấp nhận bỏ tiền chuộc thì sẽ khôi phục lại được thông tin dữ liệu quan trọng bị đánh cắp. Còn Mục địch của biến thể Petya lại là phá hủy hệ thống với quy mô rộng, phá vỡ mọi hoạt động trong các doanh nghiệp và các tổ chức chính phủ. Dữ liệu bị nhiễm sẽ rất khó khăn trong việc khôi phục lại tệp tin bị nhiễu.

5/. Phải phòng chống sự tấn công của các mã độc như thế nào?

​Cách phòng chống mã độc hiện nay mà các cá nhân, doanh nghiệp cần phải làm là:

• Luôn áp dụng các bản vá lỗi phần mềm mới nhất và đảm bảo chữ ký chống virus được cập nhập.
• Chặn các cổng SMB (đặc biệt là các cổng 139 và 445) từ các máy chủ bên ngoài để giảm bề mặt tấn công. Đồng thời chặn các cổng UDP (các cổng 135, 137, 138) để ngăn chặn sự di chuyển bên trong mạng.
• Vô hiệu PsExec và WMIC (là công cụ hành chính chính đáng)
• Luôn sao lưu dữ liệu quan trọng một cách thường xuyên, và đảm bảo rằng những bản sao lưu có sẵn ngoại tuyến hạn chế để lưu giữ chúng trên mạng để tránh bị mã hóa và tiêu hủy
• Giải pháp phòng chống Virus cho doanh nghiệp sẽ phân chia nhiệm vụ giữa tài khoản người dùng và tài khoản quản trị và đảm bảo không có tài khoản nào (kể cả Domain Admin) có thể thực hiện lệnh trên tất cả các hệ thống trên mạng.
• Ngoài ra, xác định các dữ liệu quan trọng của bạn, và cô lập và phân đoạn nó từ phần còn lại của mạng.

>>> Xem: Virtual ngfw – Giải pháp phát hiện và ngăn chặn mã độc kịp thời
Cũng như các phần mềm chống virus đang tràn lan trên thị trường thì đối với mã độc cũng không ngoại lệ. Những giải pháp phòng chống mã độc mà Việt Nét cung cấp với các phiên bản bản quyền chính thức có khả năng bảo và an toàn bảo mật cho các dữ liệu cá nhân, công ty. Vì với phiên bản bản quyền thì bạn sẽ luôn được hỗ trợ từ nhà cung cấp hay chính hãng sản xuất 24/7 với đội ngũ nhiệt tình và tận tâm. Không những vậy, bạn còn được cập nhật những tin tức, phiên bản mới nhất mà không phải tải lại nhiều lần mỗi lần có bản mới. Hãy liên hệ ngay với Việt Nét qua website www.vietnetco.vn hoặc hotline của công ty 1-900-6736.