Tronvuong.com Hướng Dẫn Cách Phòng Chống Virus(mã độc) Tống Tiền Wannacry Trên Windows - TronVuong.com - Mẹ Tròn, Con Vuông

728x90 Adsense

Tin nổi bật

Tronvuong.com Hướng Dẫn Cách Phòng Chống Virus(mã độc) Tống Tiền Wannacry Trên Windows

Một nhóm hacker tên là Shadow Broker đã hack vào hệ thống của NSA và kéo ra một mớ dữ liệu của một tổ chức do NSA quản lý gọi là Equation Group. Trong mớ dữ liệu này có chứa rất nhiều các exploit 0-days đuợc NSA sử dụng để tấn công, do thám và đánh cắp dữ liệu của rất nhiều người dùng, tổ chức, chính phủ ở khắp nơi trên thế giới để phục vụ cho hoạt động tình báo. Đây là loại virus MÃ HÓA DỮ LIỆU để tống tiền - virus sẽ mã hóa toàn bộ dữ liệu trong máy người nhiễm và CHỈ CÓ KẺ VIẾT RA CON VIRUS MỚI BIẾT CÁCH GIẢI MÃ, khi đã dính thì 100% MẤT TẤT CẢ DỮ LIỆU TRONG MÁY (dù có trả tiền thì chắc hacker cũng không giải mã dữ liệu cho người trả tiền) 





Trong đó có một 0-days đặc biệt nguy hiểm mới được public đợt tháng 4 vừa rồi nhắm vào tất cả các phiên bản từ XP đến Windows 10. Lỗi này nhắm tới dịch vụ SMB (file sharing) của Windows cho phép attacker thực hiện remote execution, nói một cách nôm na, attacker có thể điều khiển máy tính từ xa, chẳng hạn như gọi lên một cmd với quyền SYSTEM, và thao tác ở đó mà người dùng không hề hay biết. WannaCry tận dụng exploit này,khi nó lây nhiễm vào được một máy, nó sethực hiện scan các máy khác trong cùng LAN, và thực hiện exploit. Một khi exploitdc rối,no đã có quyền kiểm soát và thao tác trên máy mới, nó sẽ tự động copy bản thân nó sang máy mới kiểm soát được và chạy -> tiếp tục thực hiện đến với tất cả các máy còn lại.

Điểm nguy hiểm nhất dẫn đến việc có thể bị tấn công từ ngoài LAN chính là việc các máy không bật Firewall, chặn port 445 của smb hoặc disable File sharing service. Attacker có thể tạo một hệ thống tự động scan theo dải ip public để tìm các máy mở port 445 đê thực hiện exploit. Hoặc attacker có thể dùng email phising đánh lừa người dùng bấm vào link, hoặc mở file đính kèm chứa một dropper, dropper này download code exploit về và chạy để tạo ra một backdoor, từ đó attacker ung dung tiến vào, hoặc đơn giản hơn nó down luôn WannaCry về và chạy.


Điểm khác biệt khiến WannaCry nguy hiểm chính là việc nó dùng exploit để mở rộng phạm vi lây nhiễm, Và cũng cần nhấn mạnh là exploit này có thể tạo ra một backdoor với quyền SYSTEM ( tương đương với root trong Linux) nên nó có toàn quyền đối với hệ thống, từ việc disable AV, disable Firewall, sửa hoặc xoá file hệ thống, vô hiệu hoá hoàn toàn các cơ chế bảo vệ. Chỉ cần một node bị nhiễm là tất cả các máy trong cùng mạng nếu chưa được update sẽ dính theo. Lại càng nguy hiểm hơn ở VN khí người dùng xài Win lậu, không update, disable Firewall, và các bản win cũ như XP (MS đã ngừng support cho XP, tuy nhiên lần này vẫn phải tung một bản vá để sửa lỗi này cho XP)


Khắc Phục Bằng Những Cách Như Sau :

A. Kiểm tra port 445

Mở CMD quyền Admin và gõ netstat -an | findstr 445 Nếu gõ không hiện ra cái gì thì là OK còn nếu có chữ LISTENNING thì phải block port ngay.

B. Tắt SMB (Mở Powershell lên và oánh các lệnh sau)
Mở Start-> Windows PowerShell-> Phải chuột vào Windows Powershell chọn Run as administrator
Copy từng dòng Paste vào. Nếu nó hiện lỗi gì thì bỏ qua sang dòng khác
Remove-WindowsFeature FS-SMB1
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled
Set-SmbServerConfiguration -EnableSMB2Protocol $false
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force

B. Chặn port 445/137/138/139 trên Firewall
 Máy nào cài Antivirus mà có tường lửa riêng thì phải cấu hình trên tường lửa riêng của Anivirus Còn máy nào ko xài Antivirus hoặc Windows Defener thì làm như sau
B1: Mở Start search cụm từ Firewall và chọn Windows Firewall with Advanced security
B2: Inbound Rules-> New Rule-> Port
B3: Chọn UDP-> Specific local ports nhập dòng này vào 445, 137, 138, 139
B4: Block the connection
B5: Tick cả 3 cái
B6: Đặt tên tùy ý-> finish
B7: Kiểm tra lại xem bật firewall chưa, chưa thì bật lên

C. Tắt Sever service B1: Run-> Services.msc B2: Tìm tới Services Server. Phải chuột chọn Stop B3: Click đúp vào nó. Startup type sửa thành Disabled. Apply->OK Sau khi làm xong tất cả RESTART LẠI MÁY. CẤM SHUTDOWN

 Virus này khi lây nhiễm vào máy nạn nhân, ngoài mã hóa tất cả dữ liệu, còn chiếm quyền tất cả các tài khoản cá nhân như facebook, gmail, skype... VÀ SẼ TIẾP TỤC GỞI LINK LÂY NHIỄM CHO DANH SÁCH BẠN BÈ CỦA NẠN NHÂN. Để phòng tránh, mọi người nên cài đặt và cập nhật các chương trình diệt virus mạnh (Bitdefender, KIS...); KHÔNG BẤM, MỞ CÁC LINK LẠ TỪ BẠN BÈ GỞI QUA FACE, GMAIL; tạm thời không vào các trang 18+; không tải Crack game....

Thanks You!
Tronvuong.com Hướng Dẫn Cách Phòng Chống Virus(mã độc) Tống Tiền Wannacry Trên Windows Reviewed by Mẹ Tròn Con Vuông on 07:38:00 Rating: 5 Một nhóm hacker tên là Shadow Broker đã hack vào hệ thống của NSA và kéo ra một mớ dữ liệu của một tổ chức do NSA quản lý gọi là Equation Gr...
Next
This is the most recent post
Bài đăng Cũ hơn

Không có nhận xét nào: