Giữa tháng 5 năm 2017, giới an ninh mạng và truyền thông toàn cầu lao đao vì sự xuất hiện của ransomware Wanna Cry (còn được gọi là Wanna Crypt, Wanna Cryt0r).
Cách thức hoạt động của ransomware Wanna Crypt (Wanna Cry) và các biến thể của mã độc tống tiền này rất đơn giản. Nó khai thác một lỗ hổng trên hệ điều hành Windows được nắm giữ bởi Cơ quan An ninh Quốc gia Mỹ (NSA) và sử dụng chính những công cụ của NSA để lây lan mã độc Wanna Cry.
Người dùng Windows XP, Windows 8 và Windows Server 2003 giờ có thể tải bản vá từ Microsoft Update Catalog và được khuyến khích nên cập nhật hệ thống sớm nhất có thể, bởi số lượng bị máy tính tấn công đang ngày càng tăng.
Bạn có thể tải bản vá này của Microsoft tại đây.
Khi trạng thái các cổng là LISTENING, WannaCry cũng như các phần mềm độc hại khác có thể dễ dàng tấn công máy tính của bạn và đòi tiền chuộc. Để kiểm tra các cổng này có đang mở:
Bước 1: Mở cửa sổ Command Prompt .
Bước 2: Nhập lệnh dưới đây vào cửa sổ Command Prompt: netstat -na
Bước 3: Nhấn Enter .
Nếu trạng thái các cổng 135, 445 và 139 là LISTENING , bạn có thể áp dụng 1 trong 3 phương pháp dưới đây để đóng các cổng lại.
- Đóng các cổng 445, 135, 138, 139 thông qua Firewall:
Bước 1: Mở Control Panel .
Bước 2: Tìm và click chọn Windows Firewall .
Bước 3: Tiếp theo click chọn Advanced Settings .
Bước 4: Click chọn Inbound Rule .
Bước 5: Ở khung bên phải, tìm và click chọn New rule .
Bước 6: Chọn Port .
Bước 7: Click chọn Next .
Bước 8: Chọn Specific local ports .
Bước 9: Nhập 135, 137, 138, 139, 445 .
Bước 10: Click chọn Next .
Bước 11: Chọn Block the connection .
Bước 12: Click chọn Next .
Bước 13: Đánh tích chọn 3 hộp checkbox rồi click chọn Next .
Bước 14: Tại khung Name , nhập là Close the port .
Bước 15: Click chọn Finish.
Kích đúp chuột vào rule mà bạn vừa tạo để xác minh lại các cổng.
- Đóng các cổng 445, 135, 138, 139 thông qua Command Line:
Mở Comamnd Prompt, sau đó nhập các dòng lệnh dưới đây vào để đóng các cổng:
netsh advfirewall set allprofile state on
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135"
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=138 name="Block_TCP-138"
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=139 name="Block_TCP-139"
- Đóng các cổng 445, 135, 138, 139 bằng cách tinh chỉnh Registry
Ngoài các phương pháp trên bạn còn có thể sử dụng phương pháp tinh chỉnh Registry để ngăn chặn WannaCry.
Bước 1: Nhấn tổ hợp phím Windows + R để mở cửa sổ Run.
Bước 2: Nhập regedit vào cửa sổ Run rồi nhấn Enter.
Bước 3: Trên cửa sổ Registry Editor bạn điều hướng theo key:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT\Parameters
Lưu ý:
Nếu sử dụng Windows 10 Creators Update bạn có thể dán trực tiếp key trên vào thanh địa chỉ rồi nhấn Enter.
Bước 4: Tại key Parameters , kích chuột phải vào khoảng trống bất kỳ ở khung bên phải, chọn New.
Bước 5: Chọn DWORD (32-bit) Value hoặc QWORD (64-bit) Value .
Bước 6: Đặt tên cho value bạn vừa tạo là SMBDeviceEnabled .
Bước 7: Kích đúp chuột vào SMBDeviceEnabled .
Bước 8: Thay đổi giá trị trong khung Value Data là 0 .
Lưu ý:
Registry Editor là cơ sở dữ liệu "nhạy cảm" của Windows, do đó bạn nên tiến hành sao lưu Registry Editor trước khi tiến hành tinh chỉnh để tránh trường hợp xấu xảy ra.
Ngoài ra bạn có thể tham khảo thêm một số cách để đóng cổng 445 trên Windows để chặn virus WannaCry và các các cổng mạng khác nữa.
1. Mở cửa sổ Windows Services bằng cách nhấn tổ hợp phím Windows + R để mở cửa sổ Run, sau đó nhập services.msc vào đó rồi nhấn Enter.
2. Tìm và kích đúp chuột vào service có tên Server .
3. Trên cửa sổ Server Properties (Local Computer), thiết lập mục Startup type là Disable .
4. Click chọn nút Stop .
5. Click chọn Apply => OK .
Để tăng cường thêm lớp bảo vệ máy tính Windows, ngăn chặn WannaCry , thực hiện lại các bước để đóng từng cổng TCP một.
Cách thức hoạt động của ransomware Wanna Crypt (Wanna Cry) và các biến thể của mã độc tống tiền này rất đơn giản. Nó khai thác một lỗ hổng trên hệ điều hành Windows được nắm giữ bởi Cơ quan An ninh Quốc gia Mỹ (NSA) và sử dụng chính những công cụ của NSA để lây lan mã độc Wanna Cry.
Người dùng Windows XP, Windows 8 và Windows Server 2003 giờ có thể tải bản vá từ Microsoft Update Catalog và được khuyến khích nên cập nhật hệ thống sớm nhất có thể, bởi số lượng bị máy tính tấn công đang ngày càng tăng.
Bạn có thể tải bản vá này của Microsoft tại đây.
 |
| Giao diện của Wanna Cry có 1 dòng rất đặc biệt: "We will have free events for uses who are so poor that they couldn't pay in 6 months." |
Một số cách chặn Wanna Cry
Cách 1: Đóng Các Cổng 445, 135, 138 Để Chặn Ransomware WannaCry
Trên các phiên bản Windows 10, 8.1, 8 và 7 và trên các phiên bản cũ hơn như Windows Vista, XP hay Windows 2000, việc đóng các cổng 445, 135, 138, 139 là cần thiết để ngăn chặn các cuộc tấn công của malware (các phần mềm độc hại), đặc biệt là WannaCry.Khi trạng thái các cổng là LISTENING, WannaCry cũng như các phần mềm độc hại khác có thể dễ dàng tấn công máy tính của bạn và đòi tiền chuộc. Để kiểm tra các cổng này có đang mở:
Bước 1: Mở cửa sổ Command Prompt .
Bước 2: Nhập lệnh dưới đây vào cửa sổ Command Prompt: netstat -na
Bước 3: Nhấn Enter .
Nếu trạng thái các cổng 135, 445 và 139 là LISTENING , bạn có thể áp dụng 1 trong 3 phương pháp dưới đây để đóng các cổng lại.
- Đóng các cổng 445, 135, 138, 139 thông qua Firewall:
Bước 1: Mở Control Panel .
Bước 2: Tìm và click chọn Windows Firewall .
Bước 3: Tiếp theo click chọn Advanced Settings .
Bước 4: Click chọn Inbound Rule .
Bước 5: Ở khung bên phải, tìm và click chọn New rule .
Bước 6: Chọn Port .
Bước 7: Click chọn Next .
Bước 8: Chọn Specific local ports .
Bước 9: Nhập 135, 137, 138, 139, 445 .
Bước 10: Click chọn Next .
Bước 11: Chọn Block the connection .
Bước 12: Click chọn Next .
Bước 13: Đánh tích chọn 3 hộp checkbox rồi click chọn Next .
Bước 14: Tại khung Name , nhập là Close the port .
Bước 15: Click chọn Finish.
Kích đúp chuột vào rule mà bạn vừa tạo để xác minh lại các cổng.
- Đóng các cổng 445, 135, 138, 139 thông qua Command Line:
Mở Comamnd Prompt, sau đó nhập các dòng lệnh dưới đây vào để đóng các cổng:
netsh advfirewall set allprofile state on
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135"
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=138 name="Block_TCP-138"
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=139 name="Block_TCP-139"
- Đóng các cổng 445, 135, 138, 139 bằng cách tinh chỉnh Registry
Ngoài các phương pháp trên bạn còn có thể sử dụng phương pháp tinh chỉnh Registry để ngăn chặn WannaCry.
Bước 1: Nhấn tổ hợp phím Windows + R để mở cửa sổ Run.
Bước 2: Nhập regedit vào cửa sổ Run rồi nhấn Enter.
Bước 3: Trên cửa sổ Registry Editor bạn điều hướng theo key:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT\Parameters
Lưu ý:
Nếu sử dụng Windows 10 Creators Update bạn có thể dán trực tiếp key trên vào thanh địa chỉ rồi nhấn Enter.
Bước 4: Tại key Parameters , kích chuột phải vào khoảng trống bất kỳ ở khung bên phải, chọn New.
Bước 5: Chọn DWORD (32-bit) Value hoặc QWORD (64-bit) Value .
Bước 6: Đặt tên cho value bạn vừa tạo là SMBDeviceEnabled .
Bước 7: Kích đúp chuột vào SMBDeviceEnabled .
Bước 8: Thay đổi giá trị trong khung Value Data là 0 .
Lưu ý:
Registry Editor là cơ sở dữ liệu "nhạy cảm" của Windows, do đó bạn nên tiến hành sao lưu Registry Editor trước khi tiến hành tinh chỉnh để tránh trường hợp xấu xảy ra.
Ngoài ra bạn có thể tham khảo thêm một số cách để đóng cổng 445 trên Windows để chặn virus WannaCry và các các cổng mạng khác nữa.
Cách 2: VÔ HIỆU HÓA DỊCH VỤ MÁY CHỦ (SERVER SERVICE) ĐỂ BẢO VỆ MÁY TÍNH WINDOWS KHỎI CÁC CUỘC TẤN CÔNG MẠNG (CYBERATTACK)
Ngoài việc vô hiệu hóa các cổng TCP, nếu đang sử dụng laptop hoặc máy tính Windows 7 việc vô hiệu hóa máy chủ (server) cũng khá quan trọng.1. Mở cửa sổ Windows Services bằng cách nhấn tổ hợp phím Windows + R để mở cửa sổ Run, sau đó nhập services.msc vào đó rồi nhấn Enter.
2. Tìm và kích đúp chuột vào service có tên Server .
3. Trên cửa sổ Server Properties (Local Computer), thiết lập mục Startup type là Disable .
4. Click chọn nút Stop .
5. Click chọn Apply => OK .
Để tăng cường thêm lớp bảo vệ máy tính Windows, ngăn chặn WannaCry , thực hiện lại các bước để đóng từng cổng TCP một.
