ĐE DỌA TRONG KHÔNG GIAN

MẠNG VÀ TOÀN CẦU HÓA

WANNACRYPT
GROUP 15
 OUR TEAM

Khánh Trân Phương Uyên Kim Huyền

Phương Nguyên Tú Uyên

 NỘI DUNG

01 02 03
WANNACRY LÀ GÌ? CƠ CHẾ HOẠT ĐÔNG TOÀN CẢNH VỤ VIỆC

Khái niệm về công cụ Cơ chế hoạt động của Chi tiết về sự cố

WannaCry công cụ WannaCry WannaCry -
WannaCrypt
WANNACRY
LÀ GÌ?
KHÁI NIỆM
WannaCry là một loại mã độc tống tiền
(ransomware), với các tên gọi khác nhau như
WannaDecryptor 2.0 hay WCry. Phần mềm độc hại
này mã hóa dữ liệu của máy tính và ngăn cản
người dùng truy cập dữ liệu trên đó cho đến khi
tin tặc nhận được tiền chuộc.

Read More >>

WANNACRY
LÀ GÌ?
KHÁI NIỆM
WannaCry là một loại mã độc tống tiền
(ransomware), với các tên gọi khác nhau như
WannaDecryptor 2.0 hay WCry. Phần mềm độc hại
này mã hóa dữ liệu của máy tính và ngăn cản
người dùng truy cập dữ liệu trên đó cho đến khi
tin tặc nhận được tiền chuộc.

Read More >>


CƠ CHẾ
HOẠT ĐỘNG
Khi được cài đặt vào máy tính,
WannaCry sẽ tìm kiếm các
tập tin trong ổ cứng và mã
hóa chúng, sau đó để lại cho
chủ sở hữu một thông báo yêu
cầu trả tiền chuộc nếu muốn
giải mã dữ liệu.
XÂM NHẬP
Tìm kiếm các tập tin trong ổ cứng
và mã hóa chúng
PHÁT TÁN
Sử dụng công cụ của NSA để phát
tán và lây lan mã độc
TỐNG TIỀN
Người dùng cần trả tiền chuộc trong
tối đa 7 ngày để khôi phục dữ liệu

CƠ CHẾ
HOẠT ĐỘNG
Mã độc WannaCry khai thác
lỗ hổng của hệ điều hành
Windows mà Cơ quan An
ninh Quốc gia Mỹ (NSA) đã
nắm giữ. Tội phạm mạng đã
sử dụng chính những công cụ
của NSA để phát tán và lây
lan mã độc.
XÂM NHẬP
Tìm kiếm các tập tin trong ổ cứng
và mã hóa chúng
PHÁT TÁN
Sử dụng công cụ của NSA để phát
tán và lây lan mã độc
TỐNG TIỀN
Người dùng cần trả tiền chuộc trong
tối đa 7 ngày để khôi phục dữ liệu
 XÂM NHẬP
CƠ CHẾ Tìm kiếm các tập tin trong ổ cứng
và mã hóa chúng
HOẠT ĐỘNG
PHÁT TÁN
Để khôi phục dữ liệu, người
Sử dụng công cụ của NSA để phát
dùng cần phải trả một khoản
tán và lây lan mã độc
tiền ảo Bitcoin trị giá khoảng
300 USD cho kẻ tấn công.
Sau 3 ngày chưa thanh toán,
mức tiền chuộc sẽ tăng lên TỐNG TIỀN
gấp đôi và sau thời hạn 7 Người dùng cần trả tiền chuộc trong
ngày, dữ liệu của người dùng tối đa 7 ngày để khôi phục dữ liệu
sẽ bị mất.
Màn hình thông tin về tiền
chuộc của WannaCry
TOÀN CẢNH
VỤ VIỆC
• THỜI GIAN
12/05/2017
• THIỆT HẠI
Sập hơn 300.000 máy tính tại 150 quốc gia trong
vòng 24h đầu tiên
• ĐỐI TƯỢNG NHẮM ĐẾN
Bệnh viên, tổ chức y tế, từ thiện, tập đoàn ở các
nước như Anh, Mỹ, Nga, Ấn Độ…

WannaCry được cho rằng đã khai thác lỗ hổng EternalBlue, được NSA phát triển để tấn công máy tính chạy hệ điều
hành Microsoft Windows. Tuy bản vá để loại bỏ các lỗ hổng này đã được phát hành, nhưng sự chậm trễ trong việc
cập nhật bảo mật đã làm cho một số người dùng và các tổ chức dễ bị tấn công.

*Số liệu được cập nhật bởi MalWareTech

 DIỄN BIẾN CHI TIẾT
12/05/2017

MalwareTech (tên thật

là Marcus Hutchins)
phát hiện ra giải pháp
để chặn sự lây lan của
WannaCry

Vào lúc 8h sáng, các chuyên gia Hutchins thành công ngăn
bảo mật bắt đầu phát hiện sự lan chặn được một phần của sự
truyền của WannaCry. Cuộc tấn lây lan của WannaCry
công được phát tán qua email lừa
đảo hoặc các trang web giả mạo.
 DIỄN BIẾN CHI TIẾT
13/05/2017
Chính phủ và tổ chức bảo
Sau 24h, mã độc tấn công mật ở các nước châu Á đã
vào hàng ngàn hệ thống có những biện pháp phòng
máy tính ở hơn 150 quốc ngừa nhanh chóng, giúp
gia và gây ra thiệt hại cho ngăn chặn sự lây lan của
toàn cầu. WannaCry.

Một số hệ thống y tế tại

châu Âu bị ảnh hưởng dẫn
đến sự cố trong việc cấp
cứu bệnh nhân.
 DIỄN BIẾN CHI TIẾT
14/05/2017

Chính phủ và tổ chức

bảo mật trên toàn cầu
tập trung vào việc phát
triển các giải pháp bảo
mật mới.

Tình hình về WannaCry đã có Microsoft phát hành các

một số diễn biến tích cực. Sự bản vá bảo mật cho các
tấn công của mã độc đã bị phiên bản Windows không
giảm thiểu do các biện pháp còn được hỗ trợ, bao gồm
phòng ngừa và các giải pháp Windows XP và Windows
bảo mật đã được triển khai. Server 2003.
 DIỄN BIẾN CHI TIẾT
Khoảng 220.000 máy tính ở 150 quốc gia bị nhiễm virus WannaCry, trong đó Nga là
quốc gia bị tấn công nặng nhất, với hơn 1.000 máy tính bị tấn công. Tại Đức, virus
WannaCry đã hiển thị trên màn hình của Trung tâm quản lý đường sắt một thông báo
15/05
đòi tiền chuộc, đồng thời vô hiệu hóa quyền điều hành, gây ra những xáo trộn lớn về
2017 giờ giấc đi và đến của nhiều đoàn tàu cùng các máy bán vé tự động.

Có tổng cộng 238 nạn nhân chịu chi trả tổng số tiền 72.144 USD để được nhận mật
17/05 mã mở khóa mã độc.
2017
Các chuyên gia bảo mật đã phát hiện ra một phiên bản mới của WannaCry. Biến thể
này có tên gọi là WannaCry 2.0 hoặc WannaCry 2.0D.
19/05 Các biến thể này vẫn có các tính năng chính giống như WannaCry gốc, như khai thác
2017 lỗ hổng EternalBlue của Microsoft, mã hóa dữ liệu trên máy tính của nạn nhân và
yêu cầu tiền chuộc để giải mã. Các biến thể này khó phát hiện và ngăn chặn hơn.

Vụ tấn công WannaCry được xem là kết thúc vào cuối tháng 5/2017, sau khi các bản
05/2017 vá bảo mật đã được phát hành để khắc phục lỗ hổng EternalBlue trên hệ điều hành
Windows.
 NGUYÊN NHÂN
• Nguyên nhân bắt nguồn từ Cơ quan An ninh Nội địa Mỹ
(NSA). Cụ thể, NSA đã phát triển một công cụ cho phép khai
thác lỗ hổng trong hệ thống Microsoft, được đặt tên là
EternalBlue.

• Giữa năm 2016, hệ thống máy chủ của NSA bị đột nhập bởi
nhóm hacker Shadow Brokers. Nhóm này đã đánh cắp
thành công EternalBlue.

• Sau khi đánh cắp thành công, nhóm này yêu cầu đòi tiền
chuộc từ NSA, với số tiền lên tới 10.000 bitcoin (khoảng 8,2
triệu USD)
• Tuy nhiên sau đó, Shadow Brokers bất ngờ phát tán
WannaCry - ransomware được cho là khai thác một phần
bộ mã EternalBlue
 NGUYÊN NHÂN
Mã độc tống tiền này chủ yếu khai thác vào lỗ hổng của giao thức SMB mà các tổ
chức cá nhân chưa vá lỗ hổng kịp thời, tập trung vào Win2k8 R2 và Win XP

Chạy các chương trình, phần

mềm không rõ nguồn gốc chứa
mã virus WannaCry

Virus tự quét (scan địa chỉ IP) các

máy tính trong cùng mạng nội bộ

CÁCH THỨC
Bạn vô tình hoặc cố ý click vào (LAN) để phát hiện lỗ hổng bảo mật
1 đường link không rõ nguồn và lây nhiễm vào máy tính của bạn
gốc, hoặc mở 1 email lạ
LÂY NHIỄM
NGUYÊN NHÂN
WannaCry sẽ tự động mã hóa riêng để mã hóa các
dữ liệu, nếu nạn nhân không đủ tiền chuộc theo đúng
thời gian yêu cầu, dữ liệu có thể biến mất hoặc bị
thao túng mãi mãi.

→ Vì vậy có thể nói rằng nguyên nhân những kẻ tung

WannaCry để tấn công chỉ nhằm mục đích duy nhất
là trục lợi.
 GIẢI PHÁP

Cẩn trọng khi nhận Xóa thông tin thẻ trên

được email có đính kèm các website thanh toán/
và các đường link lạ, mua sắm trực tuyến,…
trên các mạng xã hội.
Không mở các link có đuôi
Cập nhật ngay các
HTA hoặc đường dẫn có
chương trình Anti-
cấu trúc không rõ ràng, các
vius đang sử dụng.
đường dẫn rút gọn link.

Cập nhật ngay các

Thực hiện biện pháp lưu
phiên bản hệ điều hành
trữ dữ liệu quan trọng.
Windows đang sử dụng.