THÀNH VIÊN NHÓM

STT HỌ VÀ TÊN MSSV MỨC ĐỘ HOÀN THÀNH

1 Đoàn Thị Kim Huyền K214020081 100%

2 Nguyễn Ngọc Phương Nguyên K214020089 100%

3 Phan Ngọc Khánh Trân K214020104 100%

4 Nguyễn Tú Uyên K214020108 100%

5 Phạm Thị Phương Uyên K214020109 100%

1
 CONTENTS
DANH MỤC HÌNH ẢNH .................................................................................................. 3
DANH MỤC TỪ VIẾT TẮT ............................................................................................. 4
CHƯƠNG 1: GIỚI THIỆU ............................................................................................... 5
1. Khái niệm ................................................................................................................ 5
2. Cơ chế hoạt động: ................................................................................................... 5
3. Sơ lược vụ việc: ...................................................................................................... 6
CHƯƠNG 2: PHÂN TÍCH VỤ VIỆC .............................................................................. 6
1. Những đối tượng nào liên quan đến sự cố: ............................................................. 6
2. Vụ việc xảy ra ở đâu, thời điểm nào? ..................................................................... 6
3. Vụ việc gây ra những thiệt hại nào? ....................................................................... 6
4. Diễn biến của vụ việc? ............................................................................................ 7
5. Nguyên nhân dẫn đến sự cố? ................................................................................ 11
CHƯƠNG 3: KẾT LUẬN ................................................................................................ 13
1. Kết luận: ................................................................................................................ 13
2. Giải pháp: .............................................................................................................. 13
REFERENCES ................................................................................................................. 15

2
 DANH MỤC HÌNH ẢNH
Hình 1.1: Màn hình thông tin về tiền chuộc của Wanna.Cry ............................................... 5
Hình 2.1 Bản đồ xuất hiện của ransomware WannaCry (nguồn: AFP) ............................... 9

3
 DANH MỤC TỪ VIẾT TẮT

STT TỪ VIẾT TẮT Ý NGHĨA

1 NSA Cơ quan An ninh Quốc gia Mỹ

2 NHS Dịch vụ Y tế Quốc gia

4
CHƯƠNG 1: GIỚI THIỆU
1. Khái niệm
WannaCry là một loại mã độc tống tiền (ransomware), với các tên gọi khác nhau như
WannaDecryptor 2.0 hay WCry. Phần mềm độc hại này mã hóa dữ liệu của máy tính và
ngăn cản người dùng truy cập dữ liệu trên đó cho đến khi tin tặc nhận được tiền chuộc. Các
chuyên gia cho rằng, mã độc này nguy hiểm vì, nó hỗ trợ tin tặc “giữ” dữ liệu của người
dùng làm “con tin” để tống tiền các cá nhân hoặc tổ chức/doanh nghiệp. Việc làm này được
cho là hiệu quả hơn việc đánh cắp hoặc xóa đi dữ liệu trên máy tính.
2. Cơ chế hoạt động:
Khi được cài đặt vào máy tính, WannaCry sẽ tìm kiếm các tập tin (thông thường là các
tập tin văn bản) trong ổ cứng và mã hóa chúng, sau đó để lại cho chủ sở hữu một thông báo
yêu cầu trả tiền chuộc nếu muốn giải mã dữ liệu. Mã độc WannaCry khai thác lỗ hổng của
hệ điều hành Windows mà NSA đã nắm giữ. Tội phạm mạng đã sử dụng chính những công
cụ của NSA để phát tán và lây lan mã độc.
Khi bị nhiễm mã độc WannaCry, người dùng sẽ khó phát hiện, cho đến khi nhận được
thông báo cho biết máy tính đã bị khóa và các tập tin đã bị mã hóa. Để khôi phục dữ liệu,
người dùng cần phải trả một khoản tiền ảo Bitcoin trị giá khoảng 300 USD cho kẻ tấn công.
Sau 3 ngày chưa thanh toán, mức tiền chuộc sẽ tăng lên gấp đôi và sau thời hạn 7 ngày, dữ
liệu của người dùng sẽ bị mất. Màn hình của máy tính bị nhiễm WannaCry sẽ hiển thị đầy
đủ thông tin để người dùng thanh toán, chạy đồng hồ đếm ngược thời gian và được thể hiện
bằng 28 ngôn ngữ khác nhau.

Hình 1.1: Màn hình thông tin về tiền chuộc của Wanna.Cry

5
3. Sơ lược vụ việc:
Vào tháng 5 năm 2017, một cuộc tấn công không gian mạng quy mô lớn sử dụng nó
được đưa ra, tính tới ngày 15 tháng 5 (3 ngày sau khi nó được biết đến) gây lây nhiễm trên
230.000 máy tính ở 150 quốc gia, yêu cầu thanh toán tiền chuộc từ 300 tới 600 Euro bằng
bitcoin với 20 ngôn ngữ (bao gồm tiếng Thái và tiếng Trung Quốc). Hiện thời người ta biết
tới 5 tài khoản bitcoin của họ, đến nay chỉ có không hơn 130 người chịu trả tiền, thu nhập
tối đa chỉ khoảng 30.000 Euro.
Cuộc tấn công này đã ảnh hưởng đến Telefonica và một số công ty lớn khác ở Tây Ban
Nha, cũng như các bộ phận của Dịch vụ Y tế Quốc gia (NHS) của Anh, FedEx và Deutsche
Bahn. Các mục tiêu khác ở ít nhất 99 quốc gia cũng được báo cáo là đã bị tấn công vào
cùng một thời điểm,. Hơn 1.000 máy tính tại Bộ Nội vụ Nga, Bộ Khẩn cấp Nga và công ty
viễn thông của Nga MegaFon, được báo cáo là bị dính mã độc này.
WannaCry được cho là sử dụng khai thác lỗ hổng EternalBlue, được NSA phát triển để
tấn công máy tính chạy hệ điều hành Microsoft Windows. Mặc dù một bản vá để loại bỏ
các lỗ hổng này đã được ban hành vào ngày 14 tháng 3 năm 2017, sự chậm trễ trong việc
cập nhật bảo mật làm cho một số người dùng và các tổ chức dễ bị tấn công.
CHƯƠNG 2: PHÂN TÍCH VỤ VIỆC
1. Những đối tượng nào liên quan đến sự cố:
Đối tượng được nhắm đến và chịu thiệt hại lớn nhất trong cuộc tấn công này là bệnh
viên, tổ chức y tế, từ thiện, tập đoàn ở các nước như Anh, Mỹ, Nga, Ấn Độ… Toàn bộ dữ
liệu ở các tổ chức, đơn vị này đã bị mất, gây ảnh hưởng nghiêm trọng không chỉ về kinh tế
mà còn đến tính mạng, an ninh của người dân. Cuộc tấn công này đã ảnh hưởng đến
Telefonica và một số công ty lớn khác ở Tây Ban Nha, cũng như các bộ phận của NHS của
Anh, FedEx và Deutsche Bahn. Các mục tiêu khác ở ít nhất 99 quốc gia cũng được báo cáo
là đã bị tấn công vào cùng một thời điểm.
2. Vụ việc xảy ra ở đâu, thời điểm nào?
Vào tháng 5 năm 2017, một cuộc tấn công không gian mạng quy mô lớn sử dụng nó
được đưa ra.
3. Vụ việc gây ra những thiệt hại nào?
Tính tới ngày 15 tháng 5 (3 ngày sau khi nó được biết đến) gây lây nhiễm trên 230.000
máy tính ở 150 quốc gia, yêu cầu thanh toán tiền chuộc từ 300 tới 600 Euro bằng bitcoin
với 20 ngôn ngữ (bao gồm tiếng Thái và tiếng Trung Quốc).
Cuộc tấn công mã độc tống tiền ảnh hưởng đến nhiều bệnh viện NHS ở Anh. Vào ngày
12 tháng 5, một số dịch vụ NHS đã phải từ chối những trường hợp khẩn cấp không trầm

6
trọng lắm, và một số xe cứu thương phải đi nơi khác. Vào năm 2016, hàng ngàn máy tính
trong 42 ủy thác NHS riêng biệt ở Anh được báo cáo vẫn đang chạy Windows XP. Nissan
Motor Manufacturing UK, Tyne and Wear, một trong những nhà máy sản xuất ô tô hiệu
quả nhất của Châu Âu đã ngừng sản xuất sau khi ransomware này nhiễm vào một số hệ
thống của họ. Renault cũng ngừng sản xuất tại một số địa điểm trong một nỗ lực để ngăn
chặn sự lây lan của ransomware. Hơn 1.000 máy tính tại Bộ Nội vụ Nga, Bộ Khẩn cấp Nga
và công ty viễn thông của Nga MegaFon, cũng bị nhiễm.
Ở Anh, vào ngày 13 tháng năm 2017 vụ tấn công WannaCry trở thành một đề tài chính
trị tranh cãi ở Anh Quốc, với những cáo buộc là Đảng Bảo thủ (đảng cầm quyền) tài trợ
quá ít cho NHS như một phần của các biện pháp thắt lưng buộc bụng của chính phủ, đặc
biệt là từ chối trả thêm để giữ bảo vệ hệ thống lỗi thời Windows XP từ các cuộc tấn công
như vậy. "Bộ trưởng Y tế" của phe đối lập Jon Ashworth cáo buộc Bộ trưởng Y tế Jeremy
Hunt từ chối hành động về một lưu ý quan trọng từ Microsoft, Trung tâm Quốc gia Cyber
Security (NCSC) và Cơ quan Tội phạm Quốc gia hai tháng trước đây. Trên thực tế, mã độc
tống tiền đã tấn công các bệnh viện đều đặn từ một khoảng thời gian gần đây. Một thăm dò
FoI của RES công bố vào tháng 2 cho thấy 88 trong số 260 bệnh viện NHS bị tấn công bởi
mã độc tống tiền từ giữa 2015 cho tới cuối năm 2016. Imperial College Healthcare bị tấn
công 19 lần trong 12 tháng.
Viện Nghiên cứu hậu quả mạng "Cyber Consequences Unit," một tổ chức phi lợi nhuận
của Mỹ, ước tính tổn thất của vụ tấn công mạng quy mô toàn cầu hiện nay có thể lên tới
hàng trăm triệu USD, nhưng sẽ không vượt quá con số 1 tỷ USD. Nhưng điều đáng nói là
thiệt hại của mã độc Wanna Cry không chỉ là về tiền. Trong trường hợp các hệ thống bệnh
viện tại Anh bị đình trệ, tê liệt vì không thể truy xuất dữ liệu có thể làm ảnh hưởng trực tiếp
hoặc gián tiếp đến sức khỏe hay thậm chí là tính mạng con người. Nguy hiểm hơn là khi
các hệ thống điều khiển tự động, bí mật an ninh quốc gia của lĩnh vực quân sự bị mất dữ
liệu, đặc biệt là khi nó được công khai và sử dụng vào các mục đích xấu thì hậu quả còn
khôn lường hơn.
4. Diễn biến của vụ việc?
Ngày 12/05/2017: Vào khoảng 8h sáng, các chuyên gia bảo mật bắt đầu phát hiện sự
lan truyền của phần mềm độc hại WannaCry. Cuộc tấn công được phát tán qua email lừa
đảo hoặc các trang web giả mạo, khiến các hệ thống máy tính chạy hệ điều hành Windows
bị lây nhiễm và mã hóa các tập tin trên ổ cứng. Điều đáng nói là WannaCry tấn công một
lỗ hổng bảo mật được NSA của Mỹ phát hiện và sử dụng, nhưng sau đó bị rò rỉ và được sử
dụng để tấn công.
Ngay sau khi WannaCry bắt đầu tấn công vào các hệ thống máy tính trên toàn cầu,
MalwareTech (tên thật là Marcus Hutchins) - một chuyên gia bảo mật máy tính người Anh
đã phát hiện ra một cách tình cờ một giải pháp để chặn sự lây lan của WannaCry. Hutchins

7
đã bắt đầu nghiên cứu các mẫu mã của mã độc này để tìm kiếm các điểm yếu và cách để
chặn sự lan truyền của nó. Cuối cùng, Hutchins đã phát hiện ra một tên địa chỉ bị báo cáo
trước đó là liên quan đến WannaCry, nhưng địa chỉ này chưa được đăng ký, do đó anh đã
quyết định đăng ký nó.
Bằng cách đăng ký địa chỉ này, Hutchins đã ngăn chặn được một phần của sự lây lan
của WannaCry. Khi WannaCry tấn công vào một hệ thống máy tính, nó sẽ cố gắng kết nối
đến tên miền này. Nếu kết nối thành công, nó sẽ ngừng hoạt động và không tấn công tiếp
tục. Điều này được gọi là "kill switch" hoặc "tắt máy".
Việc Hutchins phát hiện và khai thác thành công kill switch này đã giúp đưa ra giải
pháp tạm thời để ngăn chặn sự lan truyền của WannaCry, và giúp chính quyền và các
chuyên gia bảo mật toàn cầu có thêm thời gian để tìm ra các giải pháp bảo mật để ngăn
chặn sự tấn công này.
Ngày 13/05/2017: Vào khoảng 24 giờ sau khi làn sóng WannaCry nổi lên, tình hình về
“phần mềm mã độc tống tiền” tiếp tục diễn ra khá căng thẳng. Nó tấn công vào hàng ngàn
hệ thống máy tính ở hơn 150 quốc gia và gây ra thiệt hại cho toàn cầu.
Tại châu Âu, các công ty và tổ chức (Bệnh viện Anh Quốc, Tổng công ty điện lực Pháp,
Ngân hàng Dầu khí Liên bang Nga, FedEx và Renault,...) tiếp tục bị tấn công và bị mã hóa
dữ liệu bởi WannaCry. Một số hệ thống y tế cũng bị ảnh hưởng, dẫn đến sự cố trong việc
cấp cứu bệnh nhân.
Tại châu Á, các quốc gia như Trung Quốc, Hàn Quốc và Nhật Bản, Việt Nam,... cũng
đang phải đối mặt với các cuộc tấn công WannaCry. Tuy nhiên, các chính phủ và tổ chức
bảo mật ở đây đã có những phản ứng nhanh chóng và các biện pháp phòng ngừa đúng hạn,
giúp ngăn chặn sự lây lan của WannaCry.
Ngày 14/05/2017: Tình hình về WannaCry đã có một số diễn biến tích cực. Dường như
sự tấn công của WannaCry đã bị giảm thiểu do các biện pháp phòng ngừa và các giải pháp
bảo mật đã được triển khai.
Tuy nhiên, vẫn còn một số tổ chức và công ty bị ảnh hưởng bởi WannaCry. Ở Anh, các
bệnh viện và cơ sở y tế tiếp tục gặp khó khăn trong việc cung cấp dịch vụ chăm sóc sức
khỏe. Trong một số trường hợp, các cuộc phẫu thuật và cuộc hẹn khám bệnh đã phải bị
hoãn lại.
Ở các quốc gia khác, các cuộc tấn công WannaCry đã được giảm thiểu đáng kể nhờ các
biện pháp phòng ngừa và các giải pháp bảo mật đã được triển khai. Tuy nhiên, các chuyên
gia bảo mật vẫn cảnh báo rằng WannaCry vẫn còn tồn tại và có thể lây lan nhanh chóng
nếu không có biện pháp phòng ngừa và các giải pháp bảo mật đầy đủ.

8
 Với sự giảm thiểu của WannaCry, các chính phủ và tổ chức bảo mật trên toàn cầu đang
tập trung vào việc phát triển các giải pháp bảo mật mới để ngăn chặn các cuộc tấn công
tương tự trong tương lai bằng cách cập nhật các bản vá bảo mật cho hệ điều hành Windows.
Microsoft cũng đã phát hành các bản vá bảo mật cho các phiên bản Windows không còn
được hỗ trợ, bao gồm Windows XP và Windows Server 2003. Trong khi đó, nhiều tổ chức
đã phải đóng cửa hệ thống máy tính để đảm bảo an toàn.
Ngày 15/05/2017:
Tính đến ngày 15-5, Interpol (International Criminal Police Organization) ước tính đã
có khoảng 220.000 máy tính ở 150 quốc gia bị nhiễm virus WannaCry, trong đó Nga là
quốc gia bị tấn công nặng nhất, với hơn 1.000 máy tính bị tấn công. Tại Đức, virus
WannaCry đã hiển thị trên màn hình của Trung tâm quản lý đường sắt một thông báo đòi
tiền chuộc, đồng thời vô hiệu hóa quyền điều hành, gây ra những xáo trộn lớn về giờ giấc
đi và đến của nhiều đoàn tàu cùng các máy bán vé tự động.

Hình 2.1 Bản đồ xuất hiện của ransomware WannaCry (nguồn: AFP)
Tại Nga, tác hại của virus WannaCry được cho là cũng không kém phần tồi tệ, nhất là
với mạng máy tính của Bộ Nội vụ và mạng điện thoại lớn thứ hai của nước Nga là Megafon.
Ở Tây Ban Nha, virus WannaCry làm tê liệt mạng điện thoại Telefonica, công ty điện lực
Iberdrola và nhà cung cấp gas Natural. Ngay cả công ty chuyển phát nhanh FedEx cũng xác
nhận đã bị WannaCry tấn công.
Interpol cảnh báo, tình hình có thể sẽ còn tồi tệ hơn sau kỳ nghỉ cuối tuần. Ảnh hưởng
của vụ tấn công vi rút đã làm trì trệ, thậm chí tê liệt hoạt động của một số hệ thống cơ quan

9
nhà nước, giới doanh nghiệp và máy tính cá nhân. Tính đến ngày 17-5, mặc dù chính phủ
các nước khuyến cáo nạn nhân không nên trả tiền cho bọn tin tặc, nhưng đã có tổng cộng
238 nạn nhân chịu chi trả tổng số tiền 72.144 USD để được nhận mật mã mở khóa mã độc.
Song, cùng thời điểm này, Microsoft đã phát hành một bản vá bảo mật để khắc phục lỗ
hổng EternalBlue trên các phiên bản Windows còn được hỗ trợ. Các chuyên gia bảo mật
khuyến khích các tổ chức và cá nhân nhanh chóng cập nhật bản vá để ngăn chặn WannaCry
tấn công. Tuy nhiên, một số hệ thống máy tính vẫn bị lây nhiễm và tiếp tục gặp khó khăn
vì mã hóa các tập tin quan trọng.
Ngày 19/05/2017: tình hình về WannaCry đã có những diễn biến mới:
Các chuyên gia bảo mật đã phát hiện ra một phiên bản mới của WannaCry. Biến thể
này có tên gọi là WannaCry 2.0 hoặc WannaCry 2.0D. Các biến thể này là những phiên bản
khác nhau của mã độc WannaCry, được tùy chỉnh và sửa đổi để tránh các biện pháp phòng
ngừa và các giải pháp bảo mật đã được cập nhật. Các biến thể này vẫn có các tính năng
chính giống như WannaCry gốc, như khai thác lỗ hổng EternalBlue của Microsoft, mã hóa
dữ liệu trên máy tính của nạn nhân và yêu cầu tiền chuộc để giải mã. Tuy nhiên, các biến
thể này cũng có thể có những tính năng mới hoặc khác biệt so với phiên bản gốc, làm cho
chúng khó phát hiện và ngăn chặn hơn.
Tuy nhiên, những tin tức tích cực là có những tổ chức và doanh nghiệp đã khắc phục
được tình trạng bị tấn công của mình và khôi phục lại hệ thống. Các nhà cung cấp dịch vụ
bảo mật và công nghệ cũng tiếp tục đưa ra các cập nhật mới nhằm ngăn chặn sự tấn công
của WannaCry.
Cùng thời điểm đó, các chính phủ trên toàn thế giới đang nỗ lực tìm ra các nhóm tội
phạm liên quan đến WannaCry để truy bắt và đưa ra trước pháp luật.
Vụ tấn công WannaCry được xem là kết thúc vào cuối tháng 5/2017, sau khi các bản
vá bảo mật đã được phát hành để khắc phục lỗ hổng EternalBlue trên hệ điều hành
Windows. Tuy nhiên, sau đó vẫn còn một số hệ thống máy tính bị lây nhiễm và khó khăn
trong việc phục hồi dữ liệu.
Sau khi WannaCry bị kiểm soát, các chuyên gia bảo mật tiếp tục nghiên cứu và phân
tích để tìm hiểu nguyên nhân và hệ quả của vụ tấn công này, cũng như đưa ra các giải pháp
phòng chống tương tự trong tương lai. WannaCry cũng đã trở thành một mẫu điển hình cho
các cuộc tấn công ransomware sử dụng các lỗ hổng bảo mật trong hệ thống máy tính để tấn
công và yêu cầu tiền chuộc.
Cuộc tấn công toàn cầu WannaCry - Một trải nghiệm khó quên từ người trong cuộc:
Robert Gern - nhân chứng sống của cuộc tấn công mã độc

10
 Robert Gern là một nhân viên an ninh mạng của công ty Deutsche Bahn, một trong
những đối tác của NHS (National Health Service) bị tấn công trong cuộc tấn công
ransomware WannaCry vào tháng 5 năm 2017. Ông là một trong những nhân chứng sống
của cuộc tấn công này và đã chứng kiến sự tàn phá của WannaCry trực tiếp.
WannaCry tấn công vào máy tính của ông thông qua một lỗ hổng bảo mật trên hệ điều
hành Windows, được công bố bởi nhóm Shadow Brokers vào tháng 4 năm 2017. Lỗ hổng
này cho phép mã độc WannaCry lây nhiễm vào hệ thống một cách tự động mà không cần
sự can thiệp của người dùng.
Khi máy tính của Robert Gern bị tấn công, WannaCry đã mã hóa các tệp dữ liệu trên
máy tính và yêu cầu khoản tiền chuộc để giải mã chúng. Nếu không trả tiền, các tệp dữ liệu
này sẽ bị mất mãi mãi. Điều này gây ra sự cố hỗn loạn và ảnh hưởng đến hoạt động của
công ty.
Ông cũng cho biết, vào sáng ngày 12/05/2017, sau khi phát hiện ra máy tính của mình
bị nhiễm WannaCry, Robert Gern đã ngay lập tức ngắt kết nối Internet để ngăn chặn sự lan
truyền của mã độc và báo cáo cho các đồng nghiệp và chính quyền.
Ông và đồng nghiệp đã phải làm việc trong suốt cả cuối tuần để cố gắng khắc phục tình
trạng này. Họ đã phải tự tay cài đặt các bản vá bảo mật để bảo vệ các hệ thống của công ty
khỏi WannaCry và cảnh báo cho các đối tác khác của công ty như NHS và Bảo hiểm Allianz
để họ cũng nhanh chóng đưa ra các biện pháp bảo vệ.
Robert Gern cho biết rằng đây là một trải nghiệm khó quên và cảm giác rất đau đớn khi
thấy hàng trăm máy tính của công ty bị mã hóa và mất dữ liệu. Tuy nhiên, anh cũng cho
rằng sự kiện này đã giúp ông và các đồng nghiệp của mình nhận ra tầm quan trọng của việc
bảo vệ an ninh mạng và luôn chuẩn bị sẵn sàng cho các tình huống khẩn cấp như vậy.
5. Nguyên nhân dẫn đến sự cố?
Một số chuyên gia cho rằng nguyên nhân bắt nguồn từ Cơ quan An ninh Nội địa Mỹ
(NSA). Cụ thể, NSA đã phát triển một công cụ cho phép khai thác lỗ hổng trong hệ thống
Microsoft, được đặt tên là EternalBlue.
Giữa năm 2016, hệ thống máy chủ của NSA bị đột nhập bởi nhóm hacker Shadow
Brokers. Nhóm này đã đánh cắp thành công hàng trăm công cụ hack của cơ quan này, trong
đó có EternalBlue.
Ban đầu, Shadow Brokers công bố những hình ảnh về công cụ được cho là do NSA
phát triển sau đó. Công cụ có sẵn một cổng hậu dựa trên những lỗ hổng chưa được vá của
giao thức Server Message Block (SMB), có khả năng vượt qua tường lửa, chương trình diệt
virus, xóa bỏ các mục trong event log thường được dùng để điều tra các vụ xâm nhập máy
tính và mạng, tấn công email client trên Windows có tên là WorldTouch và chiếm quyền

11
quản trị máy tính, thu nhận mật khẩu máy tính chạy Windows của nạn nhân và gửi về máy
chủ.
Sau khi đánh cắp thành công, nhóm này yêu cầu đòi tiền chuộc từ NSA, với số tiền lên
tới 10.000 bitcoin (khoảng 8,2 triệu USD). Tuy nhiên, không hiểu lý do vì sao, sau khi công
bố các hình ảnh trên, nhóm tuyên bố dừng hoạt động.
Trong một thời gian, nhóm âm thầm hoạt động, với dự định sẽ bán đấu giá chúng trên
web đen. Tuy nhiên sau đó, Shadow Brokers bất ngờ phát tán WannaCry - ransomware
được cho là khai thác một phần bộ mã EternalBlue.
Wanna Cry hay còn được gọi dưới cái tên WannaCrypt, cũng một loại ransomware điển
hình khi có cùng mục đích xâm nhập vào máy tính của người dùng, sau đó mã hoá dữ liệu
và đòi tiền chuộc.
Mã độc tống tiền này chủ yếu khai thác vào lỗ hổng của giao thức SMB mà các tổ chức
cá nhân chưa vá lỗ hổng kịp thời, tập trung vào Win2k8 R2 và Win XP.
Để nói một cách dễ hiểu hơn, cách thức lây nhiễm của WannaCry có thể bao gồm:
- Bạn vô tình hoặc cố ý click vào 1 đường link không rõ nguồn gốc, hoặc mở 1 email
lạ.
- Chạy các chương trình, phần mềm không rõ nguồn gốc chứa mã virus WannaCry.
- Đặc biệt, virus tự quét (scan địa chỉ IP) các máy tính trong cùng mạng nội bộ (tiếng
Anh gọi là LAN) trong đó bao gồm máy tính của bạn để phát hiện lỗ hổng bảo mật
và lây nhiễm vào máy tính của bạn ngay cả khi bạn không thực hiện các hành động
ở trên, miễn là máy tính của bạn đang bật và có kết nối mạng nội bộ với máy tính
đã nhiễm virus này.
WannaCry sẽ tự động mã hóa riêng để mã hóa các dữ liệu, nếu nạn nhân không đủ tiền
chuộc theo đúng thời gian yêu cầu, dữ liệu có thể biến mất hoặc bị thao túng mãi mãi.
Vì vậy có thể nói rằng nguyên nhân những kẻ tung WannaCry để tấn công chỉ nhằm
mục đích duy nhất là trục lợi. Ghi nhận của các nhà điều tra là, chủ nhân của mỗi máy tính
bị tấn công nhận được yêu cầu trả phí 300 USD hoặc nhiều hơn để được nhận mật mã để
mở khóa dữ liệu.
Theo các chuyên gia, vụ tấn công mạng nói trên cho thấy cách tiếp cận sai lầm của Mỹ
trong việc khai thác các lỗ hổng an ninh mạng cho mục đích tấn công, thay vì phòng vệ.
Việc làm này có thể gây mất an ninh mạng do các tin tặc cũng có thể lợi dụng và khai thác
các lỗ hổng.

12
CHƯƠNG 3: KẾT LUẬN
1. Kết luận:
Mức độ nghiêm trọng của vụ tấn công mạng WannaCry đã cho thấy cần một nỗ lực
chung. Các cuộc khủng hoảng an ninh mạng đang diễn ra ngày một nghiêm trọng hơn, và
đòi hỏi một cách ứng phó mạnh mẽ hơn. Các chính phủ và các công ty cần đầu tư nhiều
thời gian và tiền bạc hơn để đảm bảo sự an toàn của mình trước tội phạm mạng.
2. Giải pháp:
Theo Cục An toàn thông tin, đối với cá nhân, cần cập nhật ngay các phiên bản hệ điều
hành Windows đang sử dụng. Riêng các máy tính sử dụng Windows XP, sử dụng bản cập
nhật mới nhất dành riêng cho sự việc này tại: https://www.microsoft.com/en-
us/download/details.aspx?id=55245&WT.mc_id=rss_windows_allproducts hoặc tìm kiếm
theo từ khóa bản cập nhật KB4012598 trên trang chủ của Microsoft. Cập nhật và sử dụng
ngay các chương trình Antivirus có bản quyền.
Ngoài ra, các cá nhân cẩn trọng khi nhận được email có đính kèm và các đường link lạ
trên các mạng xã hội, công cụ chat; thận trọng khi mở các file đính kèm, không mở các
đường dẫn có đuôi .hta hoặc đường dẫn có cấu trúc không rõ ràng, các đường dẫn rút gọn
link.
Đối với tổ chức, doanh nghiệp, kiểm tra ngay máy chủ và tạm thời khóa (block) dịch
vụ đang sử dụng các cổng 445/137/138/139; tiến hành các biện pháp cập nhật sớm, phù hợp
theo từng đặc thù cho máy chủ Windows. Tạo các bản snapshot đối với các máy chủ ảo hóa
đề phòng việc bị tấn công; có biện pháp cập nhật các máy trạm đang sử dụng hệ điều hành
Windows. Đồng thời, cập nhật cơ sở dữ liệu cho các máy chủ Antivirus Endpoint đang sử
dụng.
Đối với hệ thống chưa sử dụng các công cụ này thì cần triển khai sử dụng các phần
mềm Endpoint có bản quyền và cập nhật mới nhất cho các máy trạm. Tận dụng các giải
pháp bảo đảm an toàn thông tin đang có sẵn trong tổ chức như Firewall, IDS/IPS, SIEM…
để theo dõi, giám sát và bảo vệ hệ thống trong thời điểm nhạy cảm này. Cập nhật các bản
cập nhật từ các hãng bảo mật đối với các giải pháp đang có sẵn…
Trong khi đó, ngày 14-5, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) cho
biết, trung tâm đã phát lệnh điều phối gửi các cơ quan, doanh nghiệp nhà nước theo dõi,
ngăn chặn kết nối đến các máy chủ điều khiển mã độc WannaCry (hoặc được biết với tên
gọi WannaCrypt, WannaCrypt0r 2.0…) đang tấn công vào Việt Nam.
VNCERT cũng yêu cầu các đơn vị cập nhật vào các hệ thống bảo vệ như: IDS/IPS,
Firewall… những thông tin nhận dạng về loại mã độc tống tiền mới này, gồm 33 địa chỉ IP
các máy chủ điều khiển mã độc (C&C Server); 10 tệp tin và 22 mã băm (Hash SHA-256).
Nếu phát hiện mã độc WannaCry, cần nhanh chóng cô lập vùng, máy đã phát hiện.

13
 VNCERT còn yêu cầu các cơ quan, đơn vị, doanh nghiệp tiến hành kiểm tra và thực
hiện gấp các bước đã được hướng dẫn tại Công văn 80/VNCERT-ĐPƯC (ngày 9-3-2016)
cảnh báo hình thức lây nhiễm mới của mã độc mã hóa tài liệu (Ransomware) và Công văn
123/VNCERT-ĐPƯC (ngày 24-4-2017) cảnh báo các phương thức tấn công khai thác hệ
thống mới của nhóm tin tặc Shadow Brokens...
Tóm lại, để phòng tránh WannaCry, bạn cần phải:
• Cập nhật ngay các phiên bản hệ điều hành Windows đang sử dụng.
• Cập nhật ngay các chương trình Anti-vius đang sử dụng.
• Cẩn trọng khi nhận được email có đính kèm và các đường link lạ, trên các mạng xã
hội.
• Xóa thông tin thẻ trên các website thanh toán/ mua sắm trực tuyến,…
• Không mở các link có đuôi HTA hoặc đường dẫn có cấu trúc không rõ ràng, các
đường dẫn rút gọn link.
• Thực hiện biện pháp lưu trữ dữ liệu quan trọng.

14
REFERENCES
1. Khang N. (2017, May 23). Vụ mã độc WannaCry tấn công toàn cầu: Hiểm họa từ
kho vũ khí của NSA - Báo Công an Nhân dân điện tử. Báo Công an Nhân Dân Điện
Tử. https://cand.com.vn/Khoa-hoc-Ky-thuat-hinh-su/Vu-ma-doc-WannaCry-tan-
cong-toan-cau-Hiem-hoa-tu-kho-vu-khi-cua-NSA-i433855/
2. Tin, T. C. a. T. T. (n.d.). Trang chủ antoanthongtin.vn. An Toan Thong Tin.
https://antoanthongtin.vn/hacker-malware/ma-doc-wannacry-co-che-hoat-dong-va-
cach-phong-chong-102273
3. Ransomware WannaCry là gì? Nó thật sự đáng sợ ra sao? (n.d.). Trend Micro.
https://trendmicro.ctydtp.vn/ransomware-wannacry-la-gi-ma-doc-nay-that-su-
dang-so-ra-sao.html
4. VnExpress. (n.d.). WannaCry do ai phát tán. vnexpress.net.
https://vnexpress.net/wannacry-do-ai-phat-tan-3585112.html
5. Lỗ hổng an ninh của NSA gây ra vụ tấn công mạng quy mô toàn cầu. (n.d.). Trang
Tin Điện Tử Đảng Bộ Thành Phố Hồ Chí Minh. https://www.hcmcpv.org.vn/tin-
tuc/lo-hong-an-ninh-cua-nsa-gay-ra-vu-tan-cong-mang-quy-mo-toan-c-7-
1491833354
6. Những người đóng góp vào các dự án Wikimedia. (2023). Vụ tấn công của
WannaCry. vi.wikipedia.org.
https://vi.wikipedia.org/wiki/V%E1%BB%A5_t%E1%BA%A5n_c%C3%B4ng_c
%E1%BB%A7a_WannaCry
7. Cuộc tấn công toàn cầu WannaCry - trải nghiệm khó quên từ người trong cuộc –
Báo Lao động https://laodong.vn/lao-dong-cuoi-tuan/cuoc-tan-cong-toan-
cau-wannacry-trai-nghiem-kho-quen-tu-nguoi-trong-cuoc-512866.ldo

15