Đã 18 tháng kể từ khi Ransomware WannaCry lây nhiễm và tấn công máy tính người dùng, với hàng nghìn máy tính bị nhiễm mã độc trên 99 quốc gia khác nhau, mới đây các nhà nghiên cứu bảo mật tiếp tục cảnh báo WannaCry vẫn đang ẩn nấp trên máy tính nạn nhân.
Khi bị mã độc WannaCry tấn công trong lần đầu tiên, nhà nghiên cứu bảo mật Marcus Hutchins của Kryptos Logicn đã đăng ký tên miền Kill Switch, hoạt động như công cụ để kill các thành phần của mã độc.
Cảnh báo WannaCry vẫn đang ẩn nấp trên máy tính nạn nhân
Nếu lây nhiễm có thể kết nối với miền Kill Switch, thành phần của ransomware sẽ không được kích hoạt. Tuy nhiên đáng nói là việc lây nhiễm vẫn sẽ tiếp tục hoạt động âm thầm trên nền background, trong khi người dùng thường xuyên kết nối với miền Kill Switch để quét và kiểm tra xem mã độc còn tồn tại hay không.
Theo nội dung tweet mà Jamie Hankins, Trưởng phòng nghiên cứu bảo mật và các mối đe dọa của Kryptos Logic đăng hôm thứ 6 tuần trước, dữ liệu rò rỉ số lượng kết nối và địa chỉ IP duy nhất tiếp tục kết nối với Kill Switch. Mặc dù Kill Switch được lưu trữ bởi Cloudflare để mang lại khả năng sẵn sàng và mức bảo vệ cao khỏi các cuộc tấn công DdoS. Trả lời với BleepingCompute, Hankins cho biết họ vẫn có quyền truy cập vào các số liệu thống kê về miền này.
Theo Hankins, miền WannaCry kill switch nhận được hơn 17 triệu beacon hoặc các kết nối trong vòng 1 tuần. Các kết nối này đến từ hơn 630 nghìn địa chỉ IP duy nhất của 194 quốc gia khác nhau chỉ trong 1 tuần.
Biểu đồ dưới đây cho thấy các quốc gia hàng đầu vẫn đang bị WannaCry đe dọa, trong đó Trung Quốc, Indonesia và Việt Nam là ba quốc gia hàng đầu. Nhà nghiên cứu bảo mật cũng cho biết thêm Vương quốc Anh chiếm khoảng 0.15% và Hoa Kỳ là 1.35% tổng số kết nối trong 1 ngày. Tuy nhiên những con số này có thể bị chênh lệch bởi tỷ lệ DHCP trong khoảng thời gian dài hơn.
Ngoài ra Hankins còn chia sẻ thêm biểu đồ minh họa số lượng beacon trong vòng 1 tuần. Số lượng kết nối sẽ dần ít đi vào những ngày cuối tuần, điều này đơn giản là bởi vì trong những ngày thường, số lượng người dùng và nhân viên văn phòng sử dụng máy tính nhiều hơn.
Việc số lượng lớn các máy tính vẫn đang bị nhiễm mã độc này đang là một bài toán khó. Người dùng được khuyến cáo nên dừng các hoạt động Internet, như vậy miền Kill Switch không thể truy cập và ransomware cũng sẽ không thể khởi động, cũng như sử dụng dịch vụ TellTale để tra cứu và đảm bảo địa chỉ IP của mình không bị nhiễm nhiễm WannaCry, để biết địa chỉ IP của mình, bạn tham khảo cách xem địa chỉ IP tại đây.
Dịch vụ TellTale của Kryptos Logic
Hồi tháng 4 vừa qua, Kryptos Logic đã phát hành dịch vụ có tên TellTale, cho phép các tổ chức giám sát phạm vi địa chỉ IP của mình để phát hiện các mã độc đã biết. bằng cách sử dụng dịch vụ này, các tổ chức sẽ nhận được thông báo nếu máy tính của họ bị phát hiện nhiễm mã độc ransomware WannaCry cũng như các mối đe dọa khác đã biết được theo dõi bởi Kryptos Logic, truy câp TellTale tại đây.
https://thuthuat.taimienphi.vn/canh-bao-wannacry-van-dang-an-nap-tren-may-tinh-nan-nhan-43214n.aspx
Với số lượng lớn các máy tính của các tổ chức đang bị ảnh hưởng bởi WannCry cũng như các phần mềm độc hại khác, TellTale chắc chắn sẽ là công cụ hữu ích để phát hiện tận gốc các phần mềm độc hại này. Ngoài ra, còn có nhiều cách kiểm tra WannaCry xem máy tính bị nhiễm mã độc hay chưa mà các bạn có thể tham khảo trên Taimienphi.vn