Người dùng Windows cần thận trọng trước loại malware mới đầy nguy hiểm này

 Một phần mềm độc hại mới đang nhắm mục tiêu đến những thiết bị Windows có cơ chế bảo mật lỏng lẻo.

Theo TechRadar, một loại mã độc mới có tên Bandook đang nhắm mục tiêu đến các thiết bị Windows, chúng ẩn nấp tinh vi trong các email lừa đảo và sử dụng các phương thức đầy “thâm độc” để xâm nhập và kiểm soát máy tính.

Các chuyên gia an ninh mạng từ FortiGuard Labs của hãng Fortinet đã phát hiện ra một phiên bản chưa từng được xác định trước đây của trojan truy cập từ xa khét tiếng mang tên Bandook. Mã độc này lần đầu tiên được phát hiện vào năm 2007 và được mô tả là đa năng đến đáng sợ. Mục đích lớn nhất của nó là cung cấp cho những kẻ tấn công quyền truy cập từ xa vào các thiết bị của nạn nhân.

Malware nguy hiểm Bandook đang tấn công người dùng Windows.

Phiên bản mới nhất của Bandook hiện được phát tán theo hình thức email lừa đảo. Kẻ tấn công sẽ gửi tệp PDF độc hại có nhúng liên kết đến một tệp nén .7z được bảo vệ bằng mật khẩu. Sau khi nạn nhân giải nén dữ liệu bằng mật khẩu có trong tệp PDF, mã độc sẽ lây nhiễm vào tệp msinfo32.exe, đây là ứng dụng hợp pháp của Windows dùng để thu thập thông tin hệ thống.

Bandook sau đó sẽ thay đổi Registry để duy trì hoạt động và liên lạc với máy chủ C2 (command-and-control) để nhận thêm các thành phần độc hại khác, cho phép kẻ tấn công kiểm soát hoàn toàn máy tính.

Tên gọi Bandook dường như được bắt nguồn từ tiếng Hindi, có nghĩa là "súng". Loại malware này đã liên tục xuất hiện và biến mất trong nhiều năm. Vào năm 2020, các nhà nghiên cứu của Checkpoint đã phát hiện hàng chục biến thể của loại malware phổ biến này.

Các nhà nghiên cứu cho rằng Bandook không phải do một cá nhân hay tổ chức riêng biệt phát triển, mà có thể là một phần của các hạ tầng tấn công mạng được bán bởi bên thứ ba cho các chính phủ và tội phạm mạng trên toàn thế giới.

Nguồn: https://arttimes.vn/cong-nghe/nguoi-dung-windows-can-than-trong-truoc-loai-malware-moi-day-nguy-hiem-nay-c61a40658.html

Cảnh báo chiến dịch phát tán mã độc mã hóa dữ liệu tống tiền W32.WeakPass nhắm vào các Server tại Việt Nam

Cảnh báo chiến dịch phát tán mã độc mã hóa dữ liệu ...

Chiều 14/2, Hệ thống giám sát virus của Bkav phát hiện một chiến dịch tấn công có chủ đích của các hacker nước ngoài nhằm vào các Server Public của Việt Nam. Đặc biệt, trong chiến dịch này, hacker chỉ tấn công các máy chủ, khác với các mã độc mã hóa dữ liệu trước đây thường nhắm vào các máy trạm.

Các địa chỉ phát động tấn công của hacker xuất phát từ Nga, châu Âu và châu Mỹ. Rất nhiều cơ quan, tổ chức tại Việt Nam đã bị xâm nhập máy chủ, dữ liệu trên server bị mã hóa toàn bộ, bao gồm: các file văn bản, file tài liệu, file cơ sở dữ liệu, file thực thi… Nạn nhân muốn lấy lại dữ liệu phải trả tiền chuộc cho hacker. Đến cuối buổi chiều 14/2, số nạn nhân đã lên đến hàng trăm cơ quan, tổ chức.

Bkav đã cập nhật mẫu nhận diện mã độc mã hóa dữ liệu W32.WeakPass vào các phiên bản phần mềm diệt virus Bkav, bao gồm cả bản miễn phí.

Để phòng chống triệt để loại tấn công này, quản trị viên cần lên kế hoạch rà soát ngay toàn bộ các máy chủ đang quản lý, đặc biệt là các máy chủ thuộc dạng public ra ngoài Internet, cần đặt mật khẩu mạnh, đồng thời tắt dịch vụ remote desktop cho máy chủ nếu không thực sự cần thiết. Trong trường hợp vẫn cần phải duy trì, cần giới hạn quyền truy cập, cấu hình chỉ cho các IP cố định, biết trước được phép remote vào.

Bkav phát hành công cụ miễn phí giúp các quản trị viên kiểm tra độ an toàn của server trước tấn công bruteforce mật khẩu dịch vụ remote desktop tại http://tools.whitehat.vn/online/84. Quản trị viên nhập địa chỉ IP của server để quét trực tiếp. Thời gian quét có thể lên tới 5 phút.

Hướng dẫn chi tiết cách cấu hình remote desktop an toàn để phòng chống kiểu tấn công này có tại https://whitehat.vn/threads/huong-dan-cau-hinh-remote-desktop-an-toan-ngan-chan-ma-doc-ma-hoa-du-lieu-w32-weakpass.11988/.

Nguồn: Bkav

Bảo vệ máy tính theo cách chuyên nghiệp 265k/năm

Call 0919 90 47 47 (Thầy Lâm)

Virus phá hủy toàn bộ dữ liệu các ổ đĩa tái xuất

Nguồn tin từ Công ty An ninh mạng Bkav cho biết, trong khoảng 20 ngày gần đây, Hệ thống giám sát virus của Bkav phát hiện loại virus được lập trình để xóa toàn bộ dữ liệu trong các ổ đĩa, trừ ổ cài hệ điều hành Windows.

Ảnh minh họa

Virus được nhận diện với tên W32.Delfile.Worm. Thời điểm virus xóa dữ liệu được hacker định trước vào các ngày 1, 10, 21 và 29 hàng tháng.

Khi lây vào máy tính, virus sẽ tự sao chép vào thư mục cố định là C:\Windows\System32 và ghi 1 key vào registry. Vào các ngày định trước, virus sẽ thực thi việc xóa dữ liệu mỗi khi máy tính khởi động. Những ngày còn lại, virus làm ẩn file và tạo ra các bản sao của chính nó, ngụy trang giống như thư mục thật, khiến người dùng không thể nhận biết máy tính đã bị nhiễm virus.

Từng hoành hành vào những năm 90, virus phá hủy dữ liệu đã gây nhiều tổn thất cho người dùng. Với xu hướng tập trung nhiều dữ liệu quan trọng trên máy tính như hiện nay, W32.Delfile.Worm sẽ gây ra những hậu quả khôn lường khi lây lan trên diện rộng.

Để phòng tránh virus này, người dùng nên sử dụng phần mềm diệt virus có bản quyền và quét virus thường xuyên. Nên sao lưu dữ liệu quan trọng ra các thiết bị lưu trữ khác để đảm bảo an toàn khi máy tính xảy ra sự cố.

Theo BKAV, trong tháng 8 đã có 2.309 dòng virus máy tính mới xuất hiện tại Việt Nam, trong đó 2.302 dòng có xuất xứ từ nước ngoài và chỉ có 7 dòng xuất xứ từ Việt Nam. Các virus này đã lây nhiễm trên 5.954.000 lượt máy tính. Virus lây nhiều nhất trong tháng qua là W32.AutoRunUSB.Worm đã lây nhiễm trên 261.000 lượt máy tính.

Nguồn: "Cục Công nghệ thông tin - Bộ Tư pháp"

Những con virus máy tính nguy hiểm nhất thời đại

Đã 20 năm trôi qua kể từ ngày virus máy tính đầu tiên xuất hiện, đã có nhiều virus mới ra đời nhưng điển hình trong số này chỉ có 14 loại virus nguy hiểm nhất và gây ra thiệt hại ở mức cao nhất.

Virus máy tính là gì?

Virus máy tính là một chương trình phần mềm có khả năng tự sao chép chính nó từ đối tượng lây nhiễm này sang đối tượng lây nhiễm khác (đối tượng lây nhiễm có thể là các file chương trình, các file văn bản…). Sau khi lây nhiễm vào máy, virus có thể làm máy tính hoạt động chậm, làm hỏng các file bị lây nhiễm, làm mất dữ liệu, gây lỗi hệ thống…

1. Virus CIH (1998)

Thiệt hại ước tính: 20-80 triệu USD trên toàn thế giới (không tính dữ liệu PC bị phá huỷ).

Có nguồn gốc từ Đài Loan (6/1998), CIH được nhận dạng là một trong những virus nguy hiểm và có sức tàn phá lớn nhất thời đại. Virus này tấn công vào các file thực thi của hệ điều hành Windows 95,98 và ME; có khả năng cư trú trên bộ nhớ máy tính để lây nhiễm và các file thực thi khác.

CIH nguy hiểm ở chỗ chỉ sau một thời gian ngắn hoạt động, nó có thể ghi đè dữ liệu trên ổ cứng máy tính, biến dữ liệu thành một mớ vô dụng. CIH cũng có khả năngghi đè thông tin BIOS, ngăn không cho máy tính khởi động. Bởi khả năng lây nhiễm vào các file thực thi nên CIH có thể được phát tán rộng rãi.

CIH còn được biết đến với một cái tên khác là virus Chernobyl do thời điểm kích hoạt trùng với ngày xảy ra vụ nổ nhà máy nguyên tử Chernobyl.

Ngày nay, virus CIH đã không còn nguy hiểm do các nền tảng hệ điều hành mới như Windows 2000, XP và NT đã được cải tiến.

2. Virus Melissa (1999)

Thiệt hại ước tính: 300-600 triệu USD

Ngày thứ sáu, 26/3/1999, virus W97M/Melissa đã lây nhiễm ở mức độ toàn cầu. Các thông kê cho thấy loại virus dạng kịch bản macro trong Word này đã lây nhiễm vào 15/20 chiếc máy tính doanh nghiệp trên toàn cầu. Melissa phát tán nhanh đến nỗi Intel, Microsoft và một số hãng phần mềm khác sử dụng Outlook đã buộc phải đóng toàn bộ hệ thống e-mail để hạn chế thiệt hại.

Melissa sử dụng Microsoft Outlook để gửi mail đính kèm (trong file Word) phiên bản virus tới 50 địa chỉ e-mail trong danh sách liên lạc người dùng. Thông điệp của e-mail có câu: ""Here is that document you asked for...don't show anyone else. ;-)"".Khi nhấn vào file .DOC đính kèm, virus sẽ bắt đầu lây nhiễm vào máy tính và lặp lại chu trình phát tán như trên.

3. Virus ILOVEYOU (2000)

Thiệt hại ước tính: 10-15 triệu USD

Còn được biết đến với cái tên Loveletter và The Love Bug, loại virus này là một dạng kịch bản Visual Basic với một cái tên rất mỹ miều: lời hứa tình yêu.

Ngày 3/5/2000, sâu ILOVEYOU lần đầu tiên được phát hiện tại Hong Kong, sau đó nhanh chóng phát tán qua e-mail với dòng tiêu đề "ILOVEYOU" cùng file đính kèm: Love-Letter-For-You.TXT.vbs. Cũng giống Melisa, virus ILOVEYOU tự động gửi thư tới các địa chỉ liên lạc trong Microsoft Outlook.

Virus ILOVEYOU ghi đè các tệp tin nhạc, ảnh và một số định dạng khác với bản copy của chính nó. Nguy hiểm hơn, virus còn tìm kiếm tên và mật khẩu người dùng và gửi chúng tới e-mail tác giả.

Tác giả của virus đã không bị kết án do Philippines không có đạo luật chống tội phạm máy tính với thời điểm đó.

4. Virus Code Red (2001)

Thiệt hại ước tính: 2,6 triệu USD

Code Red là một dạng sâu máy tính lây nhiễm trên hệ thống máy chủ mạng, bắt đầu từ ngày 13/7/2001. Đây là loại virus cực kỳ độc hại bởi đích ngắm của chúng là các máy tính chạy phần mềm máy chủ Web Internet Information Server (IIS).

Sâu Code Red có khả năng khai thác một lỗ hổng trong IIS. Điều khôi hài là Microsoft đã ban hành miếng vá lỗ hổng này từ giữa tháng 6 trước đó.

Code Red còn có tên là Bady, được thiết kế với mục đích phá huỷ ở mức lớn nhất có thể. Khi đã lây nhiễm vào máy tính, website lưu trữ trên máy chủ bị ảnh hưởng sẽ hiển thị thông điệp: ""HELLO! Welcome to http://www.worm.com! Hacked By Chinese!". Sau đó, virus sẽ tìm kiếm các máy chủ bị lỗi và tiếp tục lây nhiễm. 20 ngày tiếp theo đó, virus sẽ kích hoạt các cuộc tấn công từ chối dịch vụ (DoS) vào những địa chỉ IP nhất định, bao gồm cả máy chủ của Nhà Trắng. Chỉ chưa đến một tuần, virus đã lây nhiễm vào khoảng 400.000 máy chủ trên toàn thế giới. Ước tính có tới 1 triệu máy tính bị virus này tấn công.

5. Virus SQL Slammer (2003)

Thiệt hại ước tính: Bởi SQL Slammer được kích hoạt vào thứ bảy (ngày nghỉ) nên thiệt hại ước tính (về tiền) không cao. Tuy nhiên, virus cũng đã "hạ gục" 500.000 máy chủ trên toàn thế giới, và là nhân tố gây nên "cơn bão" dữ liệu ồ ạt, khiến toàn bộ mạng Internet của Hàn Quốc bị sập trong 12 tiếng.

SQL Slammer còn được biết đến với cái tên Sapphire, được kích hoạt vào ngày 25/1/2003. SQL Slammer có tác động rất xấu tới toàn bộ giao vận Internet toàn thế giới. Điều thú vị là loại virus này không tìm kiếm các máy PC đầu cuối mà chỉ hướng tới máy chủ. SQL Slammer là một gói dữ liệu đơn lẻ và tự gửi tới các địa chỉ IP. Nếu địa chỉ IP là một máy tính chạy bản SQL Server Desktop Engine (Microsoft) chưa được vá lỗi, thì chiếc máy chủ đó sẽ ngay lập tức bị nhiễm virus và trở thành công cụ tấn công các địa chỉ IP khác.

Với phương thức lây nhiễm trên, Slammer có thể tấn công 75.000 máy tính chỉ trong... 10 phút, làm tắc nghẽn toàn bộ mạng Internet, khiến các router phải ngừng hoạt động.

6. Virus Blaster (2003)

Thiệt hại ước tính: 2-10 tỷ USD, hàng trăm nghìn máy tính bị lây nhiễm.

Mùa hè năm 2003 là thời gian khó khăn đối với mạng máy tính doanh nghiệp do sự xuất hiện gần như nối tiếp nhau trong thời gian khá ngắn của sâu Blaster và Sobig. Blaster còn được biết đến với cái tên Lovsan hay MSBlast, là quả "bom tấn" nổ ra trước. Virus này được phát hiện vào ngày 11/8 và đã nhanh chóng lây nhiễm trên quy mô toàn cầu chỉ trong ... 2 ngày.

Được phát tán qua mạng và giao vận Internet, Blaster khai thác một lỗ hổng trongWindows 2000 và Windows XP; và khi được kích hoạt, sâu sẽ cho hiển thị một hộp thông báo "chết người" rằng máy tính sẽ bị tắt sau ít phút.

Được che giấu trong mã nguồn tệp tin MSBLAST.EXE là dòng thông điệp tác giả: "Bill Gates, tại sao ông lại khiến cho điều này xảy ra. Hãy ngừng kiếm tiền và sửa chữa phần mềm của ông đi".

Blaster còn chứa đoạn mã kích hoạt tấn công DoS vào website windowsupdate.com của Microsoft vào ngày 15/4.

7. Virus Sobig.F (2003)

Thiệt hại ước tính: 5-10 tỷ USD; hơn 1 triệu máy tính bị lây nhiễm.

Sobig xuất hiện ngay sau "cơn bão" Blaster", biến tháng 8/2003 trở thành tháng "tồi tệ" nhất cho người dùng máy tính doanh nghiệp và gia đình. Phiên bản nguy hiểm nhất của virus này là Sobig.F, phát tán rộng rãi vào ngày 19/8 và đã lập kỷ lục mới (sau đó bị MyDoom qua mặt) là tạo ra hơn 1 triệu bản copy của sâu chỉ trong 24 giờ đầu tiên.

Virus lây nhiễm vào máy tính thông qua tệp tin đính kèm e-mail, chẳng hạn như: application.pif, thank_you.pif... Khi được kích hoạt, sâu này sẽ tự gửi vào các địa chỉ e-mail lưu trữ trên máy tính nạn nhân.

Ngày 10/9/2003, Sobig đã tự "phân huỷ" và không còn là mối đe doạ nữa. Microsoft đã treo giải thưởng 250.000USD cho những ai cung cấp thông tin dẫn tới việc bắt giữ tác giả sâu Sobig, thế nhưng cho tới nay, vẫn chưa có ai làm được điều này.

8. Virus Bagle (2004)

Thiệt hại ước tính: Hàng chục triệu USD.

Bagle là một điển hình cho loại sâu máy tính có cơ chế hoạt động tinh vi, xuất hiện vào ngày 18/1/2004. Mã độc hại của sâu lây nhiễm vào hệ thống thông qua e-mail, và sau đó sẽ tìm kiếm địa chỉ e-mail trên ổ cứng máy tính để phát tán.

Sự nguy hiểm của Balge (và 60-100 biến thể sâu) là ở chỗ khi lây nhiễm vào máy tính, sâu sẽ mở một cổng sau (backdoor) tại cổng TCP để tin tặc điều khiển từ xa (truy cập, đánh cắp dữ liệu...).

Phiên bản Bagle.B được thiết kế để ngừng toàn bộ sự hoạt động của Bagle sau ngày 28/1/2004; tuy nhiên cho tới tận nay, các biến thể rời rạc của virus này vẫn còn phát tán trên mạng.

9. Virus MyDoom (2004)

Thiệt hại ước tính: Làm cho mạng Internet toàn cầu chậm mất 10%; tăng thời gian tải xuống (load) trang web lên 50%.

Chỉ mất vài giờ (26/1/2004), "làn sóng" MyDoom đã có mặt trên toàn thế giới bằng phương thức phát tán truyền thống: qua e-mail.

MyDoom còn có tên là Norvarg, có khả năng tự lây nhiễm theo một phương thức đặc biệt: tự gửi bản sao của sâu trong một e-mail có tên "Mail Transaction Failed" (một dạng thông báo phản hồi thông thường của máy chủ Mail khi phát sinh lỗi trong quá trình chuyển mail). Khi nhấn vào file đính kèm, sâu sẽ phát tán vào các địa chỉ mail tìm thấy trên máy tính nạn nhân. MyDoom cũng lây nhiễm qua thư mục chia sẻ của các tài khoản mạng ngang hàng Kazaa.

Khả năng nhân bản của MyDoom hiệu quả đến nỗi các hãng bảo mật thống kê rằng cứ mỗi 10 e-mail được gửi đi có một e-mail "dính" sâu. MyDoom được lập trình ngừng hoạt động vào ngày 12/2/204.

10. Virus Sasser (2004)

Thiệt hại ước tính: Hàng triệu USD.

Sasser bắt đầu lây nhiễm vào ngày 30/4/2004, và đủ mạnh để đánh sập liên lạc qua vệ tinh của một số hãng thông tấn Pháp. Sasser cũng chính là nguyên nhân kiến cho vài chuyến bay của hãng hàng không Delta phải hoãn lại vì máy tính bị trục trặc.

Không giống các loại sâu trước đó, Sasser không phát tán qua e-mail và không cần sự tương tác của người dùng để lây nhiễm. Thay vào đó, sâu khai thác một lỗ hổng bảo mật trong bản Windows 2000 và Windows XP chưa được nâng cấp để tấn công vào hệ thống. Khi đã nhân bản thành công, sâu sẽ tiến hành quét các hệ thống máy tính khác và tự gửi bản sao tới. Các hệ thống nhiễm Sasser liên tục gặp trục trặc và mất ổn định.

11. Virus Conficker

Đây là một loại sâu máy tính được lập trình để tấn công các hệ điều hành Microsoftvào năm 2008. Conficker rất khó bị phát hiện và nó có thể lây nhiễm qua thư điện tử, USB, ổ cứng ngoài hay thậm chí điện thoại thông minh. Sau khi lây nhiễm, sâu sẽ kết nối máy tính với một botnet được kiểm soát bởi người tạo ra sâu. Botnet này sau đó có thể được sử dụng để thực hiện tấn công từ chối dịch vụ (DoS) hay thu thập các thông tin tài chính quan trọng.

12. Virus Storm Worm

Storm Worm là một loại virus có chức năng như sâu Conficker, lây nhiễm vào các máy tính và ép chúng tham gia vào một botnet. Nó bắt đầu phát tán vào năm 2006 qua một bức thư điện tử có tiêu đề “230 người chết khi một cơn bão quét qua châu Âu” và sau đó được thay bằng nhiều tiêu đề gác như ‘Tin xấu’ hay Chiến tranh Thế giới thứ ba đã bắt đầu. Virus này đã lây nhiễm rất nhanh với khoảng 10 triệu máy tính trở thành nạn nhân của nó.

13. Virus Stuxnet

Đây không phải là sâu máy tính được tạo ra để đánh cắp thông tin thẻ tín dụng, mật khẩu hay những thứ thông thường khác. Nó là một vũ khí mạng được Mỹ và Israel hợp tác phát triển để phá hủy nhà máy hạt nhân của Iran cũng như làm chậm hay phá hủy chương trình phát triển vũ khí hạt nhân của Tehran.

Iran đã phát hiện thấy sâu Stuxnet trong hệ thống kiểm soát nhà máy hạt nhân của nước này vào năm 2010, nhưng họ tin rằng nó đã xuất hiện trước đó 1 năm. Nó phá hoại bằng cách làm tăng tốc độ của các máy li tâm hạt nhân và dần dần phá hủy chúng, trong khi phản hồi thông tin về trung tâm tâm kiểm soát rằng mọi việc vẫn hoạt động bình thường. Stuxnet đã phá hủy 1/5 máy ly tâm tại nhà máy hạt nhân Natanz của Iran.

Sau khi tấn công nhà máy hạt nhân Natanz, Stuxnet đã nhanh chóng phát tán trên mạng internet và lây nhiễm các máy tính trên toàn thế giới. Mã nguồn của nó có thể được tải xuống và chỉnh sửa bởi bất kỳ ai có kiến thức về lập trình. Nó được sử dụng để tấn công các hệ thống điều khiển các công trình lớn như hồ trữ nước, nhà máy điện, nhà máy hạt nhân.

14. Virus Wannacry

Mới đây nhất là con virus cực kỳ nguy hiểm có tên là Wannacry.

WannaCry là một dạng phần mềm "tống tiền" theo phương thức khóa các dữ liệu trên máy tính của người dùng, sau đó mã hóa chúng khiến người sử dụng không thể truy cập các dữ liệu đó được nữa.

Wannacry có thể xâm nhập vào máy tính của người dùng, sau đó tìm kiếm kết nối thêm với các máy tính khác để lan truyền mã độc càng nhiều càng tốt.

Với WannaCry, phần mềm này mã hóa dữ liệu của người dùng, yêu cầu người dùng phải trả tiền chuộc bằng tiền ảo Bitcoin để có thể truy cập trở lại các dữ liệu đã bị mã hóa.

Tuy nhiên, các chuyên gia an ninh cảnh báo, ngay cả khi người dùng chấp nhận trả tiền chuộc, chưa chắc họ đã có thể truy cập trở lại các dữ liệu của mình. Một số phần mềm tống tiền sẽ tiếp tục mã hóa dữ liệu thêm vài ngày để đòi thêm tiền chuộc hoặc nếu không các dữ liệu sẽ bị xóa.

WannaCry không chỉ là một phần mềm virus tống tiền, nó còn được coi là một loại "sâu" máy tính. Hay nói cách khác, nó có thể xâm nhập vào máy tính của người dùng, sau đó tìm kiếm kết nối thêm với các máy tính khác để lan truyền mã độc càng nhiều càng tốt.

Phần mềm tống tiền này luôn thay đổi để có nhiều cách đột nhập vào hệ thống máy tính hoặc để đối phó với các phần mềm an ninh.

Nguồn: Tổng hợp

Lời khuyên: 
"Mỗi máy tính nên cài đặt duy nhất một chương trình diệt virus bản quyền"

Công cụ kiểm tra mã độc Wanna Cry

Ngày 15-5, nhiều công ty an ninh mạng đã phát hành công cụ miễn phí giúp người dùng kiểm tra máy tính của mình có bị lỗ hổng bảo mật đang bị Wanna Cry tấn công hay không.

Nội dung thông báo của mã độc Wanna Cry. - Ảnh: The Register

Công ty Bkav cung cấp công cụ miễn phí (trên website của Bkav) giúp người sử dụng quét xem máy tính có đang bị nhiễm Wanna Crypt không. Quan trọng hơn, công cụ này có thể kiểm tra và cảnh báo nếu máy tính có chứa lỗ hổng EternalBlue - lỗ hổng mà Wanna Crypt đang khai thác để xâm nhập máy tính.

Công ty an ninh mạng Vnist cũng phát triển công cụ miễn phí (trên website vnist.vn) cho phép dò quét lỗ hổng MS17-010 trong các dải mạng để phát hiện các máy tính chưa được khắc phục, cập nhật bản vá.

Việc này giúp các quản trị có thể nhanh chóng kiểm tra sự an toàn của các máy tính trong hệ thống mạng đối với lỗ hổng MS17-010, từ đó có phương án cập nhật bản vá hoặc phòng chống tốt hơn.

Trước đó, mã độc tống tiền Wanna Crypt chỉ trong vài giờ đã lây nhiễm hơn 100 nghìn máy tính trên thế giới. Ghi nhận bước đầu từ hệ thống giám sát virus của Bkav từ sáng 13-5 đã có những trường hợp lây nhiễm mã độc này tại Việt Nam.

Con số lây nhiễm được dự báo sẽ tăng mạnh trong tuần này với số lượng lớn máy tính được bật lên khi mọi người đi làm trở lại.

Wanna Crypt có khả năng quét toàn bộ các máy tính trong cùng mạng để tìm kiếm và lây trực tiếp vào các máy có chứa lỗ hổng EternalBlue mà không cần người dùng phải thao tác trực tiếp với tập tin đính kèm hay đường dẫn độc hại.

Vì vậy, chỉ cần một máy tính trong cơ quan, doanh nghiệp bị nhiễm mã độc, toàn bộ các máy tính khác trong mạng sẽ có nguy cơ bị mã độc tấn công, mã hoá dữ liệu.

Theo nhận định của các chuyên gia Bkav, Wanna Crypt có thể xếp vào mức nguy hiểm cao nhất vì vừa lây lan nhanh vừa có tính phá hoại nặng nề.

Kiểu lây nhiễm của mã độc tuy không mới, nhưng cho thấy xu hướng tận dụng các lỗ hổng mới để tấn công, kiếm tiền sẽ còn được hacker sử dụng nhiều trong thời gian tới, đặc biệt là các lỗ hổng của hệ điều hành.

Sau khi quét bằng tool, nếu phát hiện máy tính có lỗ hổng, người dùng cần sao chép toàn bộ dữ liệu quan trọng trên máy, cập nhật bản vá cho hệ điều hành bằng cách vào Windows Update → Check for updates để kiểm tra các bản vá mới nhất.

Để phòng ngừa nguy cơ lây nhiễm mã độc, các chuyên gia khuyến cáo người dùng mở các tập tin văn bản nhận từ Internet trong môi trường cách ly Safe Run và cài phần mềm diệt virus thường trực trên máy tính để được bảo vệ tự động.

Nguồn:  TT Online

Làm sao để biết được máy tính của bạn có đang bị hacker "tấn công" hay không?

Virus máy tính là một chương trình hoặc một đoạn mã nào đó được nạp vào máy tính của bạn. Khi các chương trình này được thực hiện, virus sẽ nhân lên và ảnh hưởng đến các tập tin máy tính, tập tin dữ liệu và ổ đĩa cứng.

Phần 1: Dấu hiệu nhận biết máy tính của bạn bị hackẻ tấn công

Làm thế nào để biết được máy tính của bạn có đang bị hack hay không? Dấu hiệu nào giúp bạn nhận biết được điều này?

1. Virus máy tính là gì?

Virus máy tính là một chương trình hoặc một đoạn mã nào đó được nạp vào máy tính của bạn. Khi các chương trình này được thực hiện, virus sẽ nhân lên và ảnh hưởng đến các tập tin máy tính, tập tin dữ liệu và ổ đĩa cứng. Nếu bị nhiễm virus, máy tính sẽ ngày một chậm dần và bắt đầu hiển thị và thực hiện các nhiệm vụ khác thường.

2. Hacker là gì?

Hacker là người đánh cắp thông tin từ hệ thống máy tính của bạn dưới sự trợ giúp của virus đã lây nhiễm trên hệ thống.

3. Dấu hiệu nhận biết máy tính của bạn bị tấn công

3.1. Cài đặt các chương trình mới

Nếu nhìn thấy bất kỳ một chương trình mới nào được cài đặt trên máy tính hoặc các file mới xuất hiện trên máy tính của bạn, tốt hơn hết là bạn nên gỡ bỏ các chương trình hoặc xóa bỏ các file đó đi.

Đó có thể là dấu hiệu giúp bạn nhận biết rằng máy tính của bạn đang bị hack. Hầu hết các chương trình được cài đặt trên máy tính của bạn sau khi bị hack bởi Trojians, Spyware, Malware và Backdoors.

3.2. Mật khẩu bị thay đổi

Nếu một hacker tấn công máy tính hoặc tấn công các tài khoản online của bạn, việc đầu tiên mà kẻ tấn công đó thực hiện là thay đổi mật khẩu tài khoản của bạn.

Nếu mật khẩu trên máy tính của bạn bị đổi thì có thể chắc chắn rằng 100% máy tính của bạn đang bị hack.

3.3. Virus email tự động gửi

Nếu tài khoản online của bạn bị hack, các hacker sẽ sử dụng tài khoản đó để gửi các email virus cho bạn bè và người thân của bạn để “lan truyền” virus.

3.4. Tốc độ kết nối Internet

Nếu máy tính của bạn bị hack, bạn có thể nhận thấy rằng tốc độ kết nối Internet của bạn ngày càng chậm dần.

Lí do khá đơn giản, phần lớn các hacker sẽ cố gắng sử dụng hệ thống mạng của bạn để lây nhiễm virus sang các máy tính khác.

3.5. Các chương trình không rõ nguồn gốc yêu cầu truy cập

Một máy tính bị nhiễm virus sẽ bắt đầu thực hiện các hành vi khác nhau. Nếu để ý kỹ một chút, bạn sẽ nhìn thấy các chương trình không rõ nguồn gốc đang cố truy cập vào máy tính của bạn.

Nếu thấy xuất hiện các chương trình không rõ nguồn gốc đang yêu cầu truy cập Internet, bạn nên chặn các chương trình này lại và tiến hành gỡ bỏ các chương trình đó để “diệt tận gốc” virus.

3.6. Các chương trình bảo mật trên máy tính của bạn bị gỡ bỏ

Nếu máy tính của bạn bị virus hack, sau đó virus sẽ cố gắng gỡ bỏ các chương trình bảo mật trên máy tính của bạn. Mục đích chính của việc gỡ bỏ các chương trình bảo mật là để virus “toàn quyền” kiểm soát hệ thống của bạn.

4. Làm sao để bảo vệ máy tính của bạn không bị hacker "tấn công"?

4.1. Hãy coi chừng mạng WiFi công cộng

Thông thường nhiều người có thói quen sử dụng mạng Wifi công cộng để truy cập mạng Internet. Lợi dụng sơ hở này mà các hacker có thể tạo ra những mạng Wifi giả để người dùng kết nối, sau đó hacker truy cập hệ thống của người dùng, và lấy cắp các thông tin quan trọng.

Lời khuyên cho bạn là trước khi sử dụng một mạng Wifi công cộng bất kỳ, bạn nên kiểm tra kỹ xem mạng Wifi có an toàn hay không?

4.2 . Ngắt kết nối Wifi

Nếu không có nhu cầu sử dụng Wifi nữa, tốt hơn hết là bạn nên tắt Wifi đi. Điều này giúp bảo vệ thiết bị của bạn không tự động kết nối vào bất kỳ một mạng Wifi nào khác khi bạn không để ý và để ngăn chặn các cuộc xâm nhập không mong đợi vào hệ thống mạng của bạn. Bởi ngay cả khi máy tính tắt, kết nối internet vẫn dễ bị tổn thương.

4.3. Thường xuyên thay đổi mật khẩu và chọn mật khẩu càng phức tạp càng tốt

Để không bị quên hoặc phải nhớ quá nhiều mật khẩu một lúc, nhiều người dùng thường lựa chọn cách sử dụng cùng một mật khẩu cho tất cả các tài khoản và cũng như e-mail của họ. Tuy nhiên đây là một trong những sai lầm nghiêm trọng.

Trên thực tế, chỉ cần một tài khoản của người dùng bị hacker tấn công, thì hacker sẽ cố gắng sử dụng mật khẩu này trên các ứng dụng khác của thiết bị. Do đó bạn nên dùng mật khẩu phức tạp với chữ hoa, chữ thường và cả số.

Ngoài ra bạn cũng nên thường xuyên thay đổi mật khẩu các tài khoản online của mình để đảm bảo tính bảo mật, mức độ an toàn của các tài khoản tốt hơn.

Với các mạng xã hội như Facebook, Twitter hay Gmail, tốt hơn hết là bạn nên thiết lập kích hoạt bảo mật 2 lớp để bảo vệ tài khoản của bạn an toàn hơn.

4.4. Sử dụng phần mềm diệt virus hiệu quả

Khi virus tìm mọi cách để xâm nhập vào máy tính của bạn, một phần mềm hay chương trình diệt virus hiệu quả sẽ có thể ngăn chúng không gây hại. Theo kinh nghiệm, người dùng nên mua bản quyền phần mềm diệt virus bởi vì phần mềm trả tiền hoạt động hiệu quả hơn phần mềm miễn phí. Bởi nguyên tắc của phần mềm trả tiền là luôn luôn được cập nhật.

Phần 2: Những hacker "mũ trắng" nổi tiếng nhất mọi thời đại

Chắc hẳn khi nghe đến từ "hacker" trong số chúng ta ai cũng nghĩ rằng họ là những người xấu, hay xâm nhập "trái phép" vào hệ thống của người khác. Tuy nhiên, không phải hacker nào cũng là người xấu như bạn nghĩ.

Thế giới hacker hiện nay tạm chia thành 2 nửa: hacker “mũ trắng” và hacker “mũ đen”. Đúng như nghĩa bóng ám chỉ, “mũ đen” đại diện cho phần “xấu” - là lực lượng tin tặc chuyên xâm nhập và tấn công trái phép các hệ thống máy tính để gây hại và trục lợi. “Mũ trắng” đại diện cho phần còn lại – là những chuyên gia bảo vệ hệ thống, hoặc là những nhà nghiên cứu bảo mật độc lập “lương thiện”.

Tuy vậy, ranh giới giữa hai khái niệm trên là khá mỏng manh. Trước nhu cầu tìm tòi, khám phá, và sức lôi kéo của đồng tiền, hacker “mũ trắng” rất có thể sẽ thay đổi mục tiêu sống của mình, và chuyển từ chiến tuyến này sang chiến tuyến khác. Nói điều đó để thấy rằng không có gì là phân biệt rạch ròi, có thể người tốt rồi sẽ biến thành người xấu nếu họ không kiên định và không chiến thắng bản thân mình trước những dụ dỗ.

Thế nhưng, vẫn có những hacker “mũ trắng” mà công việc của họ đủ đảm bảo cho danh tiếng của mình. Họ biết kết hợp giữa niềm đam mê nghiên cứu, khám phá và chiến đấu để chống lại những thế lực thế giới ngầm luôn tìm cách phá hoại.

1. Tim Berners-Lee

Không chỉ nổi tiếng với phát minh World Wide Web, Berners-Lee còn được biết đến là một trong những thành viên của nhóm hacker "mũ trắng". Khi còn là sinh viên trường đại học Oxford, Berners-Lee đã bị cấm sử dụng máy tính ở trường sau khi ông và một người bạn bị bắt vì tấn công và truy cập vào khu vực cấm.

Sau khi học xong đại học, Berners-Lee còn thực hiện một số cuộc tấn công khác, trong đó bao gồm HTML.

2. Steve Wozniak

Steve Wozniak được biết đến là một hacker mũ trắng bởi ông là người đã tạo ra thiết bị kỳ diệu Blue Box.

Câu chuyện bắt đầu khi Wozniak đọc được bài báo có nội dung "Bí mật của chiếc hộp xanh nhỏ bé", nói về Blue Box. Nó mô tả những kẻ trộm cước viễn thông xâm nhập vào hệ thống và gọi điện đường dài miễn phí bằng cách dùng bản sao mô phỏng âm thanh truyền tín hiệu trên hệ thống mạng AT&T. Sau đó họ bán các hộp màu xanh cho bạn bè cùng lớp đại học của họ ở trường đại học.

Và tất nhiên phần cuối câu chuyện chắc bạn cũng đoán ra. Từ chiếc hộp kỳ diệu Blue Box đó họ đã phát hiện ra những thứ còn giá trị hơn nó

3. Kevin Mitnick

Mitnick được biết đến là một hacker mũ đen. Sau khi kết thúc khoảng thời gian tấn công vào các công ty có tầm cỡ “lớn nhất” trên thế giới, giờ đây ông đã từ bỏ “các mặt tối” và chuyển sang công việc của một nhà văn, một nhà tư vấn.

Trong một bài viết trên TakeDown.com có nói rằng tham vọng trở thành “hacker” của Mitnick được ông ấp ủ từ rất sớm và ông đã đạt được những thành công cực kỳ lớn.

“ Vào năm1982, Mitnick bị cáo buộc vì đột nhập vào một máy tính của North American Air Defense Command ở Colorado Springs, Colo. Ông đã từng thay đổi chương trình một cuộc gọi để đánh lạc hướng một nhân viên đang cố gắng theo dõi cuộc gọi của mình”.

4. Tsutomu Shimomura

Khi còn là một hacker mũ đen, Mitnick đã từng hack hệ thống của chuyên gia bảo mật máy tính Shimimura. Để “trả thù” hành động này của Mitnick, Shimomura đã tận dụng các kỹ năng “hack” của mình để giúp FBI trong việc theo dõi và định vị Mitnick.

Nhờ có sự trợ giúp của Shimomura mà FBI đã thành công trong việc theo dõi và định vị Mitnick. Cuối cùng Mitnick đã bị bắt. Và đến bây giờ cả 2 người họ đang ở trên cùng một “chiến tuyến”.

5. Jeff Moss

Mặc dù Moss được biết đến là một hacker mũ trắng nhưng mọi người biết đến ông nhiều hơn trong thế giới máy tính Dark Tangent.

Moss là người thành lập các hội nghị bảo mật Black Hat, và thu hút hàng ngàn các chuyên gia bảo mật máy tính. Ngoài ra ông cũng thành lập Defcon, hội nghị hàng năm của các hacker.

Mặc dù là giám đốc an ninh và an toàn kinh doanh của ICANN và làm cố vấn cho Bộ An ninh Nội địa Hoa Kỳ nhưng Moss vẫn tiếp tục duy trì các hội nghị bảo mật Black Hat và Defcon.

6. Linus Torvalds

Linus Torvalds được biết đến là tác giả của Linux. Hiện nay Linux đang ở thời điểm phát triển mạnh và được nhiều người dùng lựa chọn, và nó cũng chính là một trong những giải pháp hữu ích để thay thế cho hệ điều hành Windows và Mac.

Từ khi còn là một đứa trẻ, Torvalds đã bắt đầu “hack” các thông tin quan trọng trên máy tính của ông. Vào năm 1991, lấy cảm hứng từ việc sử dụng hệ điều Mimix, Torvalds đã tạo ra phiên bản Linux Kernel đầu tiên. Và không lâu sau, Linux đã trở thành hệ điều hành phổ biến trên toàn thế giới cho đến ngày nay.

Mặc dù Torvalds không phải là người đầu tiên đề xuất phần mềm mã nguồn mở (open-source software), tuy nhiên sức lan tỏa của Linux đã phần nào hỗ trợ cho sự phát triển của phần mềm mã nguồn mở.

Torvalds  là một trong số những người có tầm ảnh hưởng lớn trong thế giới máy tính.

7. Richard Matthew Stallman

Stallman là người đã thành lập dự án GNU. Dự án GNU bao gồm cả hệ điều hành mã nguồn mở và một dự án cộng tác đại chúng.

Theo Stallman, GNU bao gồm các chương trình không phải là phần mềm GNU và các chương trình này đã được phát triển bởi nhiều người khác nhau vì mục đích riêng của họ.

8. Robert Hansen

Nickname trong thế giới bảo mật của Hansen là “Rsnake”, và chẳng có gì lạ khi người ta nghe thấy câu “Rsnake đã tìm thấy…” bởi những phát hiện của hacker này là thường xuyên và rất quan trọng. Trong số đó có công cụ “Slowloris” – dùng để tấn công từ chối dịch vụ băng thông thấp, và “Fierce” – liệt kê DNS để tìm kiếm không gian IP liên tiếp liền kề để tấn công các mục tiêu dễ dàng hơn.

9. Greg Hoglund

Trong 10 năm qua, Hoglund dành thời gian nghiên cứu rootkit và lỗi tràn bộ đệm, là người lập nên trang web Rootkit và là đồng tác giả của các cuốn sách “Rootkits, Subverting the Windows Kernel" và "Exploiting Software". Một trong những kỹ thuật tinh vi nhất của hacker “mũ trắng” này là khai thác lỗ hổng liên quan tới game trực tuyến World of Warcraft. Chi tiết khai thác này được Hoglund mô tả trong cuốn sách “Exploiting online Games" đồng tác giả với nhà nghiên cứu bảo mật Gary McGraw.

10. Dan Kaminsky

Người ta biết đến Kaminsky như một “chiến binh” âm thầm trong thế giới hacker “mũ trắng”. Chính anh là người cùng làm việc với các công ty phần mềm và nhà cung cấp dịch vụ để khắc phục lỗ hổng trong hệ thống DNS năm 2008. Kaminsky đã phát hiện ra lỗ hổng này mà nếu nó bị khai thác, hoặc một kẻ xấu nào đó phát hiện ra thì mạng Internet toàn cầu có thể sẽ sập trên diện rộng. Mặc dù một vài người trách cứ rằng Kaminsky nên công bố lỗ hổng trên ngay sau khi anh phát hiện ra, nhưng đa phần vẫn đánh giá cao tinh thần trách nhiệm và sức làm việc phi thường của anh trong việc khắc phục sự cố trước khi nó được công bố ra bên ngoài.

11. Zane Lackey

Tác giả của cuốn sách “Hacking Exposed: Web 2.0” và là biên tập nội dung cuốn “Hacking VoIP” và “Mobile Application Security” này đã phát hiện các lỗ hổng trong hệ thống di động và VoIP. Lackey đã có những cuộc nói chuyện và trình diễn phương pháp khai thác hệ thống VoIP chi tiết đến nỗi một số giám đốc bảo mật thông tin của nhiều tập đoàn lớn tuyên bố rằng họ sẽ không đầu tư vào VoIP cho tới khi nào các nhà cung cấp dịch vụ khắc phục được vấn đề.

12. Marc Maiffret

Khi còn là thành viên “Chameleon” trong nhóm tin tặc “Rhino9”, Maiffret đã may mắn nhận ra rằng kỹ thuật của anh có thể giúp ích cho việc bảo vệ hệ thống máy tính Windows. Năm 1997, khi mới 17 tuổi, Maiffret đã rời bỏ thế giới ngầm để lập nên hãng bảo mật eEye Digital Security, và cùng làm việc với các nhà nghiên cứu bảo mật Derek Soeder và Barnaby Jack. Ngoài việc khám phá các lỗ hổng liên quan tới Windows, Maiffret còn đóng vai trò tích cực trong việc ngăn chặn sự lan tràn của sâu “Code Red” năm 2001 (chuyên tấn công các hệ thống máy tính Windows).

13. Charlie Miller

Là đồng tác giả của cuốn sách “Mac hacker's handbook”, Millter đã trình diễn khả năng tấn công trình duyệt Safari tại cuộc thi Pwn2Own trong suốt 3 năm qua. Cũng chính anh là người đã phát hiện ra lỗi khai thác iPhone, và là người đầu tiên xâm nhập được vào iPhone năm 2007 và Android năm 2008. Millter cũng là người đầu tiên viết nên các công cụ khai thác lỗ hổng trong Second Life.

14. HD Moore

Nền tảng kiểm thử xâm nhập nguồn mở Metasploit Project do Moore lập nên năm 2003 đã trở thành một trong những khám phá bảo mật quan trọng nhất và có ảnh hưởng lớn nhất trong lĩnh vực nguồn mở. Metasploit Project dùng để phát hiện những điểm yếu mạng lưới, vốn được các tay hacker “trắng”, “đen” và cả dân “nghiệp dư” tập trung khai thác.

15. Joanna Rutkowska

Nhà nghiên cứu bảo mật Ba Lan này đã chỉ ra những cách thức mà phần mềm rootkit có thể được che giấu trong phần mềm và phần cứng hợp pháp. Công cụ “Blue Pill” của hacker áo hồng này dùng để tấn công cơ chế bảo vệ lõi hệ điều hành Vista đã thu hút sự chú ý rất lớn tại hội nghị Black Hat năm 2006.

16. Sherri Sparks

Cũng giống Rutkowska, nhà nghiên cứu bảo mật Sparks chuyên về rootkit và các phần mềm lén lút. Tại các hội nghị Black Hat, Sparks đã trình diễn cách thức các rootkit độc lập có thể tấn công và xâm nhập và hệ thống máy tính một cách dễ dàng.

17. Joe Stewart

Với chuyên môn nghiên cứu và theo dõi phần mềm độc hại và botnet được giới tội phạm tài chính sử dụng, Stewart thường là người đầu tiên phát hiện ra những đoạn mã mới và nguy hiểm, chẳng hạn như Clampi Trojan và Clampi Trojan. Do công việc đặc thù của mình, Stewart có thông tin khá đầy đủ về các băng nhóm tội phạm mạng tại Trung Quốc và vùng Đông Âu.

18. Dino Dai Zovi

Là đồng tác giả của cuốn “Mac Hacker's Handbook” và “The Art of Software Security Testing”, Zovi đã phát hiện và khai thác lỗ hổng bảo mật đa nền tảng trong phần mềm QuickTime chỉ trong một đêm. Zovi xâm nhập thành công vào chiếc MacBook Pro đã được vá lỗi đầy đủ để chiến thắng trong cuộc thi Pwn2Own.

Nguồn: Quản trị mạng