Lỗi smb của máy in do wannacry gây ra năm 2024

Bước 2: kiểm tra beacon. Ransomware sẽ gọi một link như sau: hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. Nếu link này có trả về phản hồi, tức là hacker đã kiểm soát tên miền này và muốn ransomware dừng lại, thì file exe sẽ không chạy tiếp. Còn nếu không nhận được phản hồi, ransomware tiếp tục việc tấn công. Anh em có thể thấy hacker chọn một tên miền rất vớ vẩn và không có ý nghĩa để không ai chú ý tới cả.

Liên quan đến tên miền này, có một nhà nghiên cứu trẻ tuổi sau khi xem xét mã nguồn của WCry đã phát hiện ra cơ chế beacon nói trên. Anh ta mua tên miền đó với mục tiêu nghiên cứu xem có bao nhiêu người đã bị dính, nhưng không nhờ đây lại là "kill switch" để tạm ngưng malware trong một thời gian. Sau đó anh này có cẩn thận cảnh báo rằng các biến thể mới sẽ xuất hiện bỏ qua bước kill switch này, và thực tế đã có những con ransomware như vậy ra đời sau vụ WCry.

Ở bước thứ 3, WCry sẽ tận dụng cơ chế SMB. SMB là một giao thức truyền tải file của Windows và nó mặc định được bật trên cả Windows lẫn Windows Server nên cả máy PC hay server đều có thể bị dính. Malware dùng cơ chế này để lây lan sang các máy tính khác trong cùng mạng. Với người dùng cá nhân có thể vụ này không làm lây lan nhiều. nhưng với các hệ thống IT doanh nghiệp vốn thường kết nối các máy với nhau thì ảnh hưởng là rất kinh khủng. Anh em nào chưa tắt SMB thì hãy tắt đi nhé.

Lỗ hổng bảo mật SMB này còn được biết tên gọi khác là EternalBlue, nó là một phần trong số các tool hacking của cơ qua an ninh Mỹ NSA đã bị lộ ra ngoài vào khoảng tháng trước bởi một nhóm hacker tự gọi mình là "The Shadow Brokers".

Ở những bước kế tiếp, ransomware chuẩn bị một loạt thứ cho việc vận hành của mình, bao gồm tạo ra một dịch vụ chạy nền, chuẩn bị file Tor và file ví Bitcoin nhằm phục vụ cho việc giao dịch của nạn nhân với hacker. Nó cũng chuẩn bị một file key mã hóa dạng public key. Key này sẽ khớp với private key mà chỉ có hacker đang nắm giữ, cũng là chìa khóa để giải mã các file bị mã hóa.

Chuẩn bị đâu đó xong xuôi thì nó bắt đầu chạy tiến trình mã hóa hầu hết các file trong hệ thống, chủ yếu là file cá nhân và những file quan trọng với các phần mềm. Ransomware cũng như virus, nó cũng tự cho phép mình chạy lên cùng với Windows và tạo ra các bản backup để lỡ có bị xóa thì vẫn còn anh em song sinh sống dậy.

Hacker cũng không quên tắt các process về cơ sở dữ liệu, cụ thể là SQL Server và MySQL, để những website, phần mềm nào đang kết nối với server sẽ không thể hoạt động được. Cái này chủ yếu ảnh hưởng tới doanh nghiệp nhiều hơn chứ còn máy tính cá nhân thì thường chẳng ai dùng làm database server cả. Bằng cách này hacker có thể gây tác động nhiều hơn tới doanh nghiệp và buộc họ trả tiền sớm hơn với mong muốn các app và hệ thống của mình có thể tiếp tục vận hành.

Petya có điểm giống với mã độc tống tiền WannaCry từng làm cả thế giới chao đảo hơn 1 tháng trước, đó là khả năng lây lan nhanh qua mạng nội bộ LAN bằng cách lợi dụng lỗ hổng của SMB v1, vì thế chúng ta cần vô hiệu hoá giao thức này.

14h chiều ngày 27/6/2017 theo giờ Việt Nam, mã độc tống tiền "thế hệ mới" Petya đã bùng phát và gây ra sự gián đoạn nghiêm trọng tại nhiều quốc gia lớn ở châu Âu như Ukraine, Tây Ban Nha, Israel, Anh, Hà Lan và Hoa Kỳ, trong đó ảnh hưởng nặng nề nhất bởi Petya là Ukraine.

Hiện tại, một loạt các ngành tại Châu Âu gồm cả khối chính phủ, vận tải, nhà ga, sân bay, ngành năng lượng, hóa dầu, ngân hàng bao gồm cả hệ thống ATM... đều báo cáo đã bị lây nhiễm bởi mã độc này.

Petya có điểm tương tự với mã độc tống tiền WannaCry từng làm cả thế giới chao đảo hơn 1 tháng trước, đó là khả năng lây lan nhanh qua mạng nội bộ LAN giữa các máy tính với nhau bằng cách lợi dụng lỗ hổng EternalBlue của giao thức truyền tin nội bộ Server Message Block phiên bản 1 (SMB v1).

Trước đó Petya có khả năng tấn công qua lỗ hổng MS17-010, hơn thế Petya còn có thể lây nhiễm vào máy tính đã vá lỗ hổng này thông qua công cụ WMIC (công cụ có sẵn trong Windows cho phép truy cập và thiết lập cấu hình trên các máy Windows); bên cạnh đó cũng khai thác lỗ hổng CVE 2017-0199, lỗ hổng trong Microsoft Office hay trong WordPad cho phép tin tặc chiếm quyền điều khiển hệ thống.

Về cách thức tổng thể để phòng chống Petya thì chúng ta có thể xem ở đây, còn bài viết này sẽ hướng dẫn cụ thể cách vô hiệu hoá SMB để ngăn chặn sự lây lan của các dạng mã độc như Petya hay WannaCry.

Hướng dẫn khóa SMB để ngăn chặn dạng virus Petya, WannaCry

*Nguồn: blogchiasekienthuc.com, taimienphi.vn

Hướng dẫn chặn các cổng SMB sử dụng

Bước 1: Truy cập vào Control Panel bằng cách mở hộp thoại Run (Windows + R) => nhập lệnh control => nhấn Enter => để kiểm View by là Large icons => chọn Administrative Tools.

Hướng dẫn chặn các cổng SMB sử dụng: Truy cập vào Control Panel, để kiểm View by là Large icons (1) => chọn Administrative Tools (2).

Bước 2: Nhấn đúp chuột vào dòng tính năng Windows Firewall with Advanced Security.

Hướng dẫn chặn các cổng SMB sử dụng: Nhấn đúp chuột vào dòng tính năng Windows Firewall with Advanced Security.

Bước 3: Một cửa sổ hiện ra => nhấn vào Inbound Rules => chọn New Rule...

Hướng dẫn chặn các cổng SMB sử dụng: Nhấn vào Inbound Rules => chọn New Rule...

Bước 4: Tích vào dòng Port => nhấn Next để đi tiếp.

Hướng dẫn chặn các cổng SMB sử dụng: Tích vào dòng Port => nhấn Next để đi tiếp.

Bước 5: Tích chọn UDP => tích tiếp vào lựa chọn Speccific local ports => nhập các port mà bạn muốn chặn vào, sau đó nhấn Next. Ở đây chúng ta sẽ block các cổng 445, 137, 138, 139.

Hướng dẫn chặn các cổng SMB sử dụng: Tích chọn UDP (1) => tích tiếp vào lựa chọn Speccific local ports (2) => nhập các port mà bạn muốn chặn vào, sau đó nhấn Next (3). Ở đây chúng ta sẽ block các cổng 445, 137, 138, 139.

Bước 6: Tích vào dòng Block the connection => nhấn Next. Ở cửa sổ tiếp theo bạn hãy tích chọn hết các dạng Domain, Private, Public => nhấn Next.

Hướng dẫn chặn các cổng SMB sử dụng: Tích vào dòng Block the connection => nhấn Next.

Hướng dẫn chặn các cổng SMB sử dụng: Hãy tích chọn hết các dạng Domain, Private, Public => nhấn Next.

Bước 7: Bước cuối cùng chúng ta đặt tên cho Rule vừa tạo => nhấn Finish để kết thúc.

Hướng dẫn chặn các cổng SMB sử dụng: Bước cuối cùng chúng ta đặt tên cho Rule vừa tạo => nhấn Finish để kết thúc.

Bước 8: Giờ chúng ta lặp lại các bước trên một lần nữa chỉ có điều ở bước 5 thay vì tích chọn UDP thì hãy chọn là TCP, còn lại hoàn toàn tương tự.

Ngoài cách trên, chúng ta còn một cách khá nhanh để chặn cổng mà SMB sử dụng, đó là dùng cửa sổ gõ lệnh Command Prompt dưới quyền Administrator. Ví dụ để chặn cổng 445 với giao thức TCP thì chúng ta nhập lệnh sau:

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"

Hướng dẫn tắt SMB v1

Bước 1: Vào Control Panel, chọn Uninstall a program.

Hướng dẫn chặn các cổng SMB sử dụng: Vào Control Panel, xếp kiểu Category và chọn Uninstall a program.

Bước 2: Tiếp tục nhấn vào Turn Windows features on or off => một cửa sổ mới xuất hiện, bạn hãy bỏ tích ở dòng SMB 1.0/CIFS File Sharing Support => nhấn OK để đồng ý.

Hướng dẫn chặn các cổng SMB sử dụng: Tiếp tục nhấn vào Turn Windows features on or off => một cửa sổ mới xuất hiện, bạn hãy bỏ tích ở dòng SMB 1.0/CIFS File Sharing Support => nhấn OK để đồng ý.

Ngoài cách trên, chúng ta cũng có thể tắt SMB v1 bằng nhập lệnh trong Command Prompt: dism /online /norestart /disable-feature /featurename:SMB1Protocol.