Cách Nhận Biết Máy Tính Bị Nhiễm Wanna Cry

Công cụ kiểm tra máy tính bị nhiễm WannaCry

Phát hiện nguy cơ nhiễm mã độc WannaCry chỉ trong 30 giây với công cụ chuyên nghiệp của chúng tôi. Đánh giá mức độ rủi ro và nhận hướng dẫn khắc phục ngay lập tức.

Kiểm tra nguy cơ nhiễm WannaCry

Kết quả đánh giá nguy cơ WannaCry

Mức độ nguy hiểm:
Khuyến nghị hành động:
Chi tiết đánh giá:

    Hướng dẫn toàn diện: Cách nhận biết máy tính bị nhiễm WannaCry

    WannaCry (còn gọi là WannaCrypt) là một loại mã độc tống tiền (ransomware) đã gây ra cuộc tấn công mạng toàn cầu lớn nhất lịch sử vào tháng 5/2017, ảnh hưởng đến hơn 200,000 máy tính tại 150 quốc gia. Mặc dù đã được vá lỗi từ lâu, WannaCry vẫn tiếp tục hoành hành do nhiều hệ thống chưa được cập nhật.

    Cảnh báo khẩn cấp:

    Nếu phát hiện bất kỳ dấu hiệu nào dưới đây, ngay lập tức ngắt kết nối mạng và liên hệ chuyên gia bảo mật. WannaCry có thể mã hóa toàn bộ dữ liệu chỉ trong vài giờ.

    1. 7 dấu hiệu chính máy tính bị nhiễm WannaCry

    1. Các file bị đổi đuôi thành .wncry, .wcry, .wanna, hoặc .wnry
      • Đây là dấu hiệu rõ ràng nhất của WannaCry
      • Các file quan trọng như tài liệu Word (.docx), Excel (.xlsx), ảnh (.jpg), và database (.mdb) sẽ bị mã hóa
      • Thư mục chứa file bị mã hóa thường xuất hiện file README.txt hoặc README.hta
    2. Xuất hiện thông báo đòi tiền chuộc
      • Thông báo thường có tiêu đề “Oops, your files have been encrypted!”
      • Yêu cầu thanh toán bằng Bitcoin (thường 300-600 USD)
      • Có đồng hồ đếm ngược (thường 3-7 ngày) đe dọa xóa khóa giải mã
      • Giao diện thường màu đỏ/đen với logo hình khóa
    3. Máy tính chạy chậm bất thường
      • Quá trình mã hóa file tiêu tốn nhiều tài nguyên CPU (thường 80-100%)
      • Ổ cứng hoạt động liên tục dù không chạy chương trình nặng
      • Các ứng dụng mở chậm hoặc bị treo
    4. Kết nối mạng bất thường
      • WannaCry quét mạng nội bộ qua cổng 445 (SMB)
      • Lưu lượng mạng tăng đột biến mà không rõ nguyên nhân
      • Các thiết bị khác trong mạng cũng bị nhiễm
    5. Các dịch vụ hệ thống bị vô hiệu hóa
      • Windows Update bị tắt không rõ lý do
      • Windows Defender/Firewall bị vô hiệu hóa
      • Không thể mở Task Manager (Ctrl+Alt+Del)
    6. Xuất hiện các tiến trình lạ trong Task Manager
      • Tiến trình “mssecsvc.exe” hoặc “tasksche.exe” (giả mạo)
      • Các tiến trình có tên ngẫu nhiên (vd: “4a2d1e.exe”)
      • Tiến trình “tor.exe” (dùng để kết nối mạng ẩn danh)
    7. Registry hệ thống bị sửa đổi
      • Khóa registry HKEY_LOCAL_MACHINE\SOFTWARE\WanaCrypt0r được tạo mới
      • Giá trị @WanaDecryptor@ xuất hiện trong registry
      • Các cài đặt bảo mật hệ thống bị thay đổi

    2. So sánh WannaCry với các loại ransomware khác

    Đặc điểm WannaCry NotPetya Locky Cerber
    Năm xuất hiện 2017 2017 2016 2016
    Phương thức lây lan EternalBlue (SMB) EternalBlue + Mimikatz Email lừa đảo Email + Exploit kit
    Tốc độ mã hóa Nhanh (giây) Cực nhanh Trung bình Chậm (phút)
    Mức độ phá hủy Mã hóa file Phá hủy MBR Mã hóa file Mã hóa + đánh cắp dữ liệu
    Tiền chuộc $300-$600 Không thể khôi phục $500-$1000 $500-$2000
    Khả năng khôi phục Có (nếu có bản vá) Không thể Có (công cụ giải mã) Hạn chế

    3. Cách kiểm tra chi tiết máy tính có bị nhiễm WannaCry

    3.1 Kiểm tra bằng Command Prompt

    1. Mở Command Prompt với quyền admin (nhấn Win + X → Command Prompt (Admin))
    2. Chạy lệnh sau để kiểm tra cổng 445: 
      netstat -ano | findstr "445"
      Nếu thấy kết quả như “TCP 0.0.0.0:445” → cổng đang mở (nguy cơ cao)
    3. Kiểm tra các tiến trình đáng ngờ: 
      tasklist | findstr "mssecsvc tasksche tor"
    4. Kiểm tra các kết nối mạng lạ: 
      netstat -ano | findstr "ESTABLISHED"

    3.2 Kiểm tra bằng Windows Event Viewer

    1. Mở Event Viewer (nhấn Win + R → gõ “eventvwr.msc”)
    2. Đi đến: Windows Logs → Security
    3. Tìm các sự kiện sau (Event ID):
      • 4624: Đăng nhập thành công bất thường
      • 4625: Đăng nhập thất bại (dấu hiệu brute-force)
      • 4688: Tiến trình mới được tạo (kiểm tra đường dẫn lạ)
      • 4697: Dịch vụ mới được cài đặt
    4. Đối với WannaCry, chú ý các sự kiện từ nguồn “Microsoft-Windows-SMBServer”

    3.3 Kiểm tra bằng công cụ chuyên dụng

    Các công cụ miễn phí giúp phát hiện WannaCry:

    • WannaCry Ransomware Detection Tool (từ Emsisoft)
    • NoMoreRansom Decryption Tools (từ Europol)
    • Microsoft Safety Scanner (cập nhật định kỳ)
    • Kaspersky Virus Removal Tool
    Lưu ý quan trọng:

    Không nên sử dụng các công cụ “giải mã” không rõ nguồn gốc. Nhiều công cụ giả mạo chính nó chứa mã độc. Luôn tải từ các nguồn chính thức như NoMoreRansom hoặc Microsoft.

    4. Thống kê về cuộc tấn công WannaCry toàn cầu

    Thống kê Số liệu Nguồn
    Số quốc gia bị ảnh hưởng 150+ Europol (2017)
    Số máy tính nhiễm 200,000+ Kaspersky Lab
    Thiệt hại tài chính toàn cầu $4-8 tỷ USD Cyence Risk Analytics
    Số bệnh viện bị tấn công (Anh) 48/248 (19.4%) NHS England
    Số Bitcoin thu được 52.64 BTC (~$140,000) Chainalysis (2020)
    Tỷ lệ nạn nhân trả tiền chuộc 0.4% (rất thấp) Google Security Team
    Số lượng biến thể WannaCry 12+ Malwarebytes

    5. Nguồn gốc và cơ chế hoạt động của WannaCry

    5.1 Nguồn gốc

    • Sử dụng exploit EternalBlue (CVE-2017-0144) do NSA phát triển
    • Exploit này bị nhóm hacker The Shadow Brokers rò rỉ tháng 4/2017
    • Microsoft đã vá lỗi này từ tháng 3/2017 (bản cập nhật MS17-010)
    • Tác giả được cho là nhóm hacker Bắc Triều Tiên Lazarus Group

    5.2 Cơ chế lây lan

    1. Quét mạng nội bộ qua cổng 445 (SMB – Server Message Block)
    2. Khai thác lỗ hổng EternalBlue trên máy chưa vá
    3. Tải payload (mã độc chính) từ máy chủ C2 (Command & Control)
    4. Mã hóa file sử dụng thuật toán AES-128 + RSA-2048
    5. Hiển thị thông báo đòi tiền chuộc với đồng hồ đếm ngược
    6. Tự sao chép sang các máy khác trong mạng nội bộ

    5.3 Các file bị ảnh hưởng nặng nề

    WannaCry nhắm đến 176 loại file với các đuôi phổ biến:

    • .doc, .docx
    • .xls, .xlsx
    • .ppt, .pptx
    • .pdf
    • .jpg, .jpeg
    • .png, .bmp
    • .zip, .rar
    • .mp3, .wav
    • .mp4, .avi
    • .mkv, .mov
    • .txt
    • .csv
    • .sql, .mdb
    • .psd, .ai
    • .java, .class
    • .py, .c, .cpp
    • .php, .asp
    • .xml, .json
    • .bak, .tmp
    • .iso, .vmdk
    • .wallet (ví tiền điện tử)

    6. Cách phòng chống WannaCry hiệu quả

    6.1 Các biện pháp kỹ thuật

    1. Cập nhật hệ thống ngay lập tức
      • Đối với Windows 7/8/10: Cài bản vá MS17-010
      • Đối với Windows XP (không còn hỗ trợ): Tải bản vá đặc biệt từ Microsoft
      • Bật tính năng cập nhật tự động
    2. Vô hiệu hóa SMBv1
      • Mở PowerShell với quyền admin và chạy: 
        Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
      • Hoặc qua Group Policy: Computer Configuration → Administrative Templates → MS Network Server → Disable SMBv1
    3. Cấu hình tường lửa chặn cổng 445
      • Trên Windows Firewall: Chặn TCP port 445 (inbound/outbound)
      • Trên router: Chặn port 445 từ Internet
    4. Sao lưu dữ liệu định kỳ
      • Áp dụng quy tắc 3-2-1: 3 bản sao, 2 phương tiện khác nhau, 1 bản lưu trữ ngoại tuyến
      • Sử dụng giải pháp sao lưu tự động (Veeam, Acronis)
      • Kiểm tra tính toàn vẹn của bản sao lưu định kỳ
    5. Triển khai giải pháp bảo mật đa lớp
      • Antivirus/EDR (Kaspersky, CrowdStrike)
      • Hệ thống phát hiện xâm nhập (IDS/IPS)
      • Giải pháp chống ransomware chuyên dụng (SentinelOne, Sophos Intercept X)

    6.2 Các biện pháp quản lý

    • Đào tạo nhận thức bảo mật cho nhân viên (phishing simulation)
    • Áp dụng nguyên tắc đặc quyền tối thiểu (least privilege)
    • Phân đoạn mạng để hạn chế sự lây lan
    • Thiết lập kế hoạch ứng phó sự cố (IRP – Incident Response Plan)
    • Giám sát liên tục các hoạt động bất thường (SIEM)

    6.3 Các công cụ phát hiện sớm

    Công cụ Chức năng Link tải
    WannaCry Ransomware Scanner Quét lỗ hổng EternalBlue GitHub
    EternalBlue Exploit Checker Kiểm tra máy có dễ bị tấn công không Tenable
    Microsoft Baseline Security Analyzer Đánh giá lỗ hổng bảo mật hệ thống Microsoft
    Nmap (Script SMB) Quét cổng 445 trong mạng nội bộ Nmap
    Wireshark (Filter SMB) Phân tích lưu lượng SMB đáng ngờ Wireshark

    7. Các nguồn thông tin uy tín về WannaCry

    Để cập nhật thông tin mới nhất về WannaCry và các biện pháp phòng chống, bạn có thể tham khảo các nguồn sau:

    8. Kế hoạch ứng phó khi bị nhiễm WannaCry

    8.1 Các bước ngay lập tức

    1. Ngắt kết nối mạng (rút dây mạng/WiFi) để ngăn lây lan
    2. Không tắt máy (có thể mất dữ liệu chưa được ghi đĩa)
    3. Chụp ảnh màn hình thông báo đòi tiền chuộc
    4. Ghi lại thời gian phát hiện sự cố
    5. Liêt kê các file bị ảnh hưởng (nếu có thể)

    8.2 Các bước tiếp theo

    1. Cách ly máy bị nhiễm
      • Đưa ra khỏi mạng nội bộ
      • Sử dụng máy sạch để điều tra
    2. Báo cáo sự cố
      • Bộ phận IT nội bộ
      • Cơ quan chức năng (nếu cần)
      • Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) – vncert.vn
    3. Phân tích và khôi phục
      • Sử dụng công cụ NoMoreRansom để kiểm tra khả năng giải mã
      • Khôi phục từ bản sao lưu (nếu có)
      • Cài đặt lại hệ thống từ đầu (biên pháp cuối cùng)
    4. Đánh giá và cải thiện
      • Xác định nguyên nhân xâm nhập
      • Cập nhật các biện pháp phòng ngừa
      • Đào tạo nhân viên về nhận thức bảo mật
    Cảnh báo quan trọng:

    Không bao giờ trả tiền chuộc vì:

    • Không đảm bảo nhận được khóa giải mã (chỉ 29% nạn nhân nhận được khóa)
    • Khuyến khích tội phạm tiếp tục hoạt động
    • Có thể vi phạm luật chống tài trợ khủng bố (nếu liên quan đến nhóm bị trừng phạt)
    Thay vào đó, hãy liên hệ với chuyên gia bảo mật hoặc cơ quan chức năng.

    9. Các câu hỏi thường gặp về WannaCry

    9.1 WannaCry có thể lây qua email không?

    Phiên bản gốc WannaCry không lây qua email mà chủ yếu qua lỗ hổng SMB. Tuy nhiên, các biến thể mới có thể kết hợp với email lừa đảo (phishing) để tải payload ban đầu.

    9.2 Máy Mac hoặc Linux có bị ảnh hưởng không?

    WannaCry chỉ nhắm đến hệ thống Windows. Máy Mac và Linux không bị ảnh hưởng trực tiếp, nhưng có thể trở thành “trung gian” nếu chia sẻ file với máy Windows bị nhiễm.

    9.3 Làm sao để biết máy đã được vá lỗi EternalBlue?

    Bạn có thể kiểm tra bằng các cách sau:

    1. Kiểm tra lịch sử cập nhật Windows (Settings → Update & Security → View update history) tìm bản vá KB4012598 hoặc MS17-010
    2. Sử dụng công cụ DoublePulsar Detection Script
    3. Chạy lệnh PowerShell: 
      Get-HotFix | Where-Object {$_.HotFixID -eq "KB4012598"}

    9.4 Có thể giải mã file bị WannaCry mã hóa không?

    Có một số trường hợp có thể giải mã:

    • Windows XP: Microsoft đã phát hành công cụ giải mã đặc biệt
    • Một số biến thể cũ: Có công cụ giải mã trên NoMoreRansom
    • File hệ thống: Một số file có thể khôi phục bằng Shadow Volume Copies (nếu chưa bị xóa)
    • Sao lưu: Luôn là giải pháp tốt nhất

    Tỷ lệ thành công phụ thuộc vào phiên bản WannaCry và thời điểm phát hiện.

    9.5 Làm sao để phòng chống các biến thể mới của WannaCry?

    Các biện pháp phòng chống hiệu quả:

    • Áp dụng mô hình Zero Trust: Không tin cậy bất kỳ thiết bị nào mặc định
    • Sử dụng giải pháp EDR/XDR: Phát hiện và phản ứng với các hành vi đáng ngờ
    • Triển khai Network Segmentation: Chia nhỏ mạng để hạn chế sự lây lan
    • Áp dụng Micro-segmentation: Kiểm soát lưu lượng giữa các workload
    • Sử dụng Deception Technology: Bẫy và phát hiện kẻ tấn công
    • Thường xuyên kiểm tra thâm nhập: Tìm và vá lỗ hổng trước khi bị khai thác

    Leave a Reply

    Your email address will not be published. Required fields are marked *