Ransomware Wanna
Cry là virus tấn công máy tính hệ điều hành windows được xây dựng trên một công
cụ đã bị đánh cắp từ NSA, mã độc này có thể lan truyền rất nhanh và mã hóa tệp tin
tài liệu của người dùng máy tính trên toàn thế giới trong vài ngày qua.
Khi máy tính
đã bị chúng tấn công và mã hóa khóa tệp tin tài liệu, lúc này người sử dụng nhận
được cảnh báo sẽ phải trả tiền chuộc để có thể giải mã cứu dữ liệu máy tính của mình.
Trong
vài ngày qua Ransomware wannacry đã tấn công làm các bệnh viện ở Anh phải đóng
cửa và một công ty viễn thông ở Tây Ban Nha cùng nhiều nước khác trên thế giới.
Bài viết này
cứu dữ liệu 116 đưa ra hướng dẫn cần thiết mà bạn nên làm để phòng tránh máy
tính của bạn khỏi đại dịch mã độc tống tiền lớn nhất lịch sử này.
Người sử dụng
máy tính cần cài đặt ngay các bản vá lỗi bảo mật mới nhất do Microsoft phát
hành cho các phiên bản hệ điều hành Windows. Bạn có thể vào web microsoft để xem thông tin về các phiên
bản Windows bị ảnh hưởng và tải về bản vá lỗi EternalBlue ngay lập tức
(MS17-010), tất cả các hệ thống không được cài đặt bản vá lỗi MS17-010 đều có
thể bị ảnh hưởng bất cứ lúc nào. Các máy dùng Windows XP/Vista/8, có thể vào
đây tải bản cập nhật tương ứng.
Cài đặt thêm
phần mềm diệt virus Antivirus để phát hiện và ngăn chặn loại mã độc tống tiền
này như Avast, kaspersky, eset,…
Không nhấn
các đường link lạ trên internet, trong email, link pdf hoặc link file có định dạng
.hta.
Không thực hiện
các giao thức RDP và SMB từ internet.
Cách ly những
máy tính đã bị wanna cry mã hóa khỏi mạng nội bộ vì lại mã độc này có thể lây
truyền qua mạng Lan.
Backup các dữ
liệu quan trọng trên máy tính của bạn và lưu trữ chúng trên các đám mây, usb, ổ
cứng di động cắm ngoài.
Xóa clear
cookies, lịch sử web, phương thức thanh toán bằng internet trên các mạng thanh
toán điện tử.
Không Download,
cài đặt các phần mềm cr@ck phần mềm không tin cậy trên mạng, không truy cập vào
các web S.E.X, web thiếu tin cậy, không lành mạnh trong thời gian này.
Hãy tải và
cài đặt phần mềm chống mã độc WannaCry hoàn toàn miễn phí theo đường link tại đây.
Kiểm tra bật
ngay tắt tường lửa Windows và các phần mềm diệt virus vì wanna cry có thể tấn công
bất kỳ lúc nào.
Kiểm tra port
445. Mở CMD quyền Admin và gõ dòng lệnh netstat -an | findstr 445 . Nếu không
hiện ra cái gì thì là OK còn nếu có chữ LISTENNING thì phải block port ngay.
Tắt SMB. Mở
Powershell lên bằng cách nhấn chuột phải vào biểu tượng Start và nhấn vào mục
Windows Powershell (Admin).
Copy từng dòng lệnh dưới đây vào để chạy, nếu có lỗi
xảy ra thì có thể bỏ qua chuyển sang dòng khác.
Remove-WindowsFeature FS-SMB1
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled
Set-SmbServerConfiguration -EnableSMB2Protocol $false
Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" SMB2 -Type DWORD -Value 0 -Force
Đóng Cổng TCP 445 và port 137/138/139 trên Firewall. Máy nào cài Antivirus mà có tường lửa riêng thì
phải cấu hình trên tường lửa riêng của Anivirus. Nếu máy tính không cài phần mềm
diệt virus Antivirus hoặc Windows Defener thì làm như sau:
Bước 1 : Mở Start
search cụm từ Firewall và chọn Windows Firewall with Advanced settings hoặc vào Start> Control Panel> Windows Firewall và tìm Advanced settings ở phía bên trái
Bước 2 : Chọn Inbound
Rules-> New Rule-> Port
Tiếp theo chọn Port > Next >TCP > Specific local ports và nhập dòng này vào 445, 137, 138, 139 và Next tiếp tục
Bước 3 : Chọn Block the connection > Next
Đánh dấu vào ba cái ô đó và kích Next đặt tên và mô tả tiếp theo nhấn Finish
Bước 4 : Kiểm tra rule bạn đã tạo bằng cách vào Properties> Protocols and Ports> Local Port và xem xem bật firewall chưa nếu chưa thì bật lên
Chặn cổng TCP 445 bằng RegEdit windows 7
Tắt Sever
service. Vào Run (Windows + R) và gõ lệnh Services.msc . Tìm tới Services
Server và nhấn chuột phải chọn Stop. Click đúp vào nó, Startup type sửa thành
Disabled. Apply->OK
- Mở hộp Run làm theo cách sau gõ "regedit" và nhấn Enter tìm đến đường dẫn :
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesNetBTParameters
- Nhấp chuột phải vào vùng trống và chọn New tạo giá trị DWORD (32-bit) hoặc QWORD (64-bit) Giá trị dựa theo hệ điều hành của bạn 32 bit hoặc 64 bit.
- Đổi tên giá trị mới thành SMBDeviceEnabled tiếp theo nhấp chuột phải vào nó và chọn Modify cửa sổ bật lên chọn thay đổi Value data giá trị từ 1 đến 0 Nhấn OK để xác nhận.
Cách làm này rất hiệu quả áp dụng cho mọi người dùng máy tính, bạn chỉ cần làm theo các bước trên là có thể ngăn chặn được virus wannacry. Lưu ý bạn cần vô hiệu hóa dịch vụ Windows Server để tăng cường khả năng bảo vệ các cuộc tấn công mạng ransomware WannaCry.
- Gõ "services.msc" vào Run để mở Windows Services.
- Tìm đến Server và nhấp đúp vào nó
- Cửa sổ pop-up hiện ra chọn Disabled từ danh sách và nhấn OK .
Trịnh Dương
Chúc các bạn
thành công!