Mã độc tống tiền WannaCry xuất hiện biến thể 2.0, sức tàn phá gấp hàng nghìn lần bản gốc

Không ngoài dự đoán, WannaCry 2.0 đã sớm xuất hiện trên thị trường nhanh hơn người ta tưởng rất nhiều sau khi khi những kẻ đứng sau vá thành công điểm yếu chí mạng của con ransomware này.

WannaCry đang trở thành chủ đề bàn tán sôi nổi nhất của các trung tâm an ninh mạng trên thế giới bởi mức độ lây lan khủng khiếp và tác oai tác quái khi mã hóa toàn bộ file dữ liệu của người dùng để tiến hành tống tiền nạn nhân.

Chỉ sau 1 ngày lây lan, nó đã có sức ảnh hưởng tới 200.000 máy tính khác nhau tại trên 100 quốc gia và trở thành cuộc tấn công mạng lớn nhất trong lịch sử các chủng virus đòi tiền chuộc. Tuy nhiên, khó mà tin được, cuộc tấn công này lại bị ngăn chặn bởi 1 việc làm vô tình những cực kì hữu ích của 1 cá nhân làm trong lĩnh vực bảo mật.

Một Blogger ẩn danh, 22 tuổi tại Anh lấy nickname là Malware Tech đã vô tình phát hiện ra “gót chân Achilles” của Wanna Cry và tiến hành vô hiệu hóa nó từ xa.

Cơ chế của con Ransomware này là việc nó sẽ liên lạc với 1 địa chỉ website gồm những ký tự lộn xộn chưa đăng kí sau khi lây nhiễm thành công. Nếu tên miền này được sử dụng, nó sẽ kích hoạt tự hủy bản thân nó ngược lại, nó sẽ tiến hành mã hóa file trong hệ thống máy tính. Điểm chết này được gọi là Công tắc báo tử – Kill Switch của nó.

Bằng việc mua lại hàng loạt những địa chỉ web này, Malware Tech đã ngăn chặn thành công sự lây lan của Wanna Cry. Thế nhưng, những kẻ tin tặc đứng sau con Ransomware này đã sớm nhất ra điểm yếu của nó để tiến hành vá ngay lại và cho ra đời Wanna Cry 2.0.

“Bản thân Kill Switch kia nằm trực tiếp trong lỗ hổng giao thức SMB của hệ điều hành không nằm trên người con Ransomware này do đó, việc tóm được phần Kill-Switch đó không làm giảm các độc tính của nó. Bằng việc thay đổi cơ chế tương tác với SMB, tối ưu lại các mã độc để nó lọt qua dễ dàng mà không bị kẹt “phần đuôi” ở SMB, WannaCry sẽ lại tác oai tác quái trở lại”. Malware Tech chia sẻ.

Đáng nguy hại hơn, Costin Rain, giám đốc nghiên cứu và phân tích toàn cầu của Kaspersky Lab còn cho biết họ đã bất ngờ phát hiện ra các chủng WannaCry với biến thể mới mà không có chức năng Kill-Switch, hay không kết nối với bất cứ 1 website vô chủ nào.

Do đó, việc con ransomware này trở lại có thể được tính bằng từng ngày. Trừ khi, tất cả các lỗ hổng trên hệ điều hành phải được vá. Điều này là rất khó khăn.

Chuyên gia bảo mật của Hacker House, ông Matthew Hickey cho biết: “Các cuộc tấn công như vậy là không thể tránh khỏi và các biến thể của Ransomware là rất nhiều. Biện pháp được cho là an toàn nhất vào lúc này là vá lỗ hổng bảo mật trên hệ điều hành. Và sử dụng các trình diệt virus mạnh để ngăn chặn từ các cổng kết nối.”

WannaCry lây nhiễm không theo các giao thức thông thường đó là tự nhân bản bản thân và lợi dụng sự ngây thơ của người dùng click vào link (có nhưng hạn chế) mà nó lợi dụng trực tiếp lỗ hổng từ giao thức SMB của hệ điều hành để lây nhiễm. Chúng sử dụng 1 cơ chế tự dò và quét IP các hệ thống máy trên Internet và tương tác trực tiếp để truy xuất vào máy. Do đó, trừ khi hệ thống được vá, còn lại khả năng lây nhiễm vẫn là rất cao. Chưa kể, WannaCry sẽ có nhiều biến thể khác để sửa chữa các điểm yếu, nâng cấp độc tính trong tương lai.

Việc tiến hóa từ bản 1.0 lên 2.0 là điều không thể tránh khỏi khi dã tâm của tin tắc nhằm cướp tiền bạc của người sử dụng là rất lớn. Hãy tự bảo vệ mình bằng các cách trong bài viết này.