View
5
Download
0
Category
Preview:
Citation preview
Trang 110
TP Hồ Chiacute Minh ngagravey 16 thaacuteng 5 năm 2017
THOcircNG BAacuteO CỦA CHI HỘI ANTT PHIacuteA NAM VỀ
MAtilde ĐỘC TỐNG TIỀN WANNACRY
(Baacuteo caacuteo được thực hiện dựa trecircn kết quả thực nghiệm của caacutec chuyecircn gia Vnisa phiacutea nam vagrave kiểm định caacutec kết quả khaacutec được cocircng bố trecircn Internet)
1 Sơ lược về ransomware WannaCry
Matilde độc tống tiền ransomware wannacry được ghi nhận vagraveo ngagravey 12052017 được phaacutet
taacuten với nhiều biến thể khaacutec nhau Ban đầu WannaCry bugraveng phaacutet ở Mỹ vagrave Chacircu Acircu trước khi lacircy
lan mạnh sang caacutec Quốc gia Chacircu Aacute đặc biệt lagrave Trung Quốc Theo thống kecirc của Kaspersky cho
đến cuối ngagravey 14052017 đatilde coacute hơn 200 000 maacutey tiacutenh ở 150 quốc gia bị thiệt hại bởi loại matilde
độc nagravey khoảng 110 nạn nhacircn đatilde phải chi trả tiền chuộc cho caacutec tin tặc
Higravenh số 1 Bản đồ phaacuten taacuten WannaCry
Việc phaacutet hiện cơ chế ldquoKill Switchrdquo (ngưng hoạt động khi kết nối được đến một trong
hai tecircn miền wwwiuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[]com
wwwifferfsodp9ifjaposdfjhgosurijfaewrwergweacom ) đatilde phần nagraveo ngăn chặn được lacircy lan của
Trang 210
WannaCry phiecircn bản đầu tiecircn tuy nhiecircn caacutec phiecircn bản sau đatilde khocircng cograven dugraveng cơ chế nagravey vagrave
tiếp tục phaacutet taacuten
Điểm đặc biệt lagravem cho WannaCry cực kỳ nguy hiểm lagrave matilde độc đatilde khai thaacutec lỗ hổng MS17-
010 coacute trecircn tất cả caacutec Hecirc Điều Hagravenh Windows coacute sử dụng giao thức chia sẻ file SMBv1 để tự lacircy
nhiễm Lỗi bảo mật nghiecircm trọng nagravey chỉ mới được Microsoft phaacutet hagravenh caacutec bản vaacute lỗi vagraveo ngagravey
1432017 vagrave coacute rất nhiều maacutey tiacutenh cograven chưa kịp thực hiện update
Từ cocircng cụ khai thaacutec lỗi MS17-010 đầu tiecircn lagrave EternalBlue xuất hiện vagraveo thaacuteng 42017
đến nay đatilde coacute nhiều phiecircn bản matilde khai thaacutec được giới Hackers tinh chỉnh vagrave sử dụng Caacutec matilde
khai thaacutec lỗi nagravey cograven được tiacutech hợp trong caacutec bộ cocircng cụ kiểm thử như thocircng dụng như
Metasploit Empire
Với mỗi nạn nhacircn bị lacircy nhiễm WannaCry sẽ khởi tạo một cặp khoaacute RSA-2048 Mỗi tập
tin được matilde hoaacute bằng khoacutea ngẫu nhiecircn AES-128 Khoacutea private của mỗi nạn nhacircn matilde hoacutea bởi
public key của tin tặc Sau đoacute matilde độc WannaCry sẽ tiến hagravenh matilde hoacutea vagrave xoacutea bỏ tất cả caacutec file
tạm thực thi phần tống tiền với phần mềm Tor vagrave Bitcoin Wallet để nhận tiền chuộc dữ liệu magrave
khocircng bị truy vết
2 Phương phaacutep lacircy nhiễm
Đầu tiecircn WannaCry được phaacutet taacuten qua caacutec E-mail coacute điacutenh kegravem caacutec tập tin rtf hoặc HTA
caacutec file neacuten coacute mật khẩu (theo hatildeng Positive Technology đatilde xuất hiện caacutech thức tiacutech hợp matilde
độc lecircn caacutec Website để tự động tải WannaCry khi maacutey truy cập bị lỗi) Sau khi kiacutech hoạt thagravenh
cocircng vagrave xuất hiện trong mạng nội bộ WannaCry sẽ tiến hagravenh hai nhiệm vụ
- Tiến hagravenh dograve queacutet lỗi MS17-010 của caacutec maacutey lacircn cận vagrave caacutec maacutey ngoagravei Internet (coacute thể
kết nối) để lacircy nhiễm Lỗ hổng nagravey cho pheacutep thực thi matilde từ xa thocircng qua dịch vụ chia sẻ
tập tin SMBv1 trecircn hệ điều hagravenh Windows
- Tiến hagravenh việc matilde hoacutea dữ liệu vagrave kiacutech hoạt cơ chế đogravei tiền chuộc
Caacutec bước thực hiện cụ thể như sau
Giai đoạn 1 (Dropper)
- Kiểm tra Kill-switch Domain (cho version 1 ndash như mocirc tả phần 1)
- Khởi tạo dịch vụ Microsoft Security Center (20) Service mssecsvc20 với tập tin thực
thi mssecsvcexe vagrave chạy dịch vụ nagravey
- Tạo tập tin thực thi taskscheexe để chuẩn bị cho matilde hoacutea
- Dograve queacutet cổng TCP445 trecircn toagraven mạng coacute khả năng kết nối tới maacutey bị lacircy nhiễm vagrave tigravem
caacutech khai thaacutec lỗ hổng MS17-010
- Caacutec Payload được sử dụng lagrave matilde khai thaacutec lỗi MS17-010 vagrave khai thaacutec backdoor
DoublePulsar (nếu maacutey tiacutenh đatilde được nhiễm trước đoacute)
Trang 310
Higravenh số 2 Malware kiểm tra Kill-Switch
Higravenh số 3 Tiến trigravenh taskscheexe
Higravenh số 4 Gửi Payload Base64 đến maacutey khaacutec
Trang 410
Giai đoạn 2 Tiến hagravenh matilde hoaacute tống tiền (Ransomware Component)
- Tiến hagravenh giải neacuten caacutec thocircng tin trong tập tin XIA trước đoacute đatilde được tải về
- Lấy thocircng tin cấu higravenh Tor Bitcoin wallet phục vụ cho tống tiền về sau
- Cấp quyền Full Control cho nhoacutem Everyone trecircn thư mục hiện hagravenh
- Đọc nội dung từ tập tin twnry để lấy caacutec khoaacute AES dugraveng để giải matilde tập tin DLL tập tin
DLL nagravey sẽ được Malware đọc amp thực thi caacutec hagravem đatilde Export sẵn để phục vụ quaacute trigravenh
matilde hoaacute coacute chứa Public Key của tin tặc Key nagravey dugraveng để matilde hoaacute Private key của nạn
nhacircn
- Khởi tạo Mutex cho tất cả tiến trigravenh GlobalMsWinZonesCacheCounterMutexW
- Khởi tạo Thread để bắt đầu matilde hoaacute caacutec tập tin
- Thực hiện tắt caacutec dịch vụ CSDL để tiến hagravenh matilde hoaacute tập tin dữ liệu
o taskkillexe f im MicrosoftExchange
o taskkillexe f im MSExchange
o taskkillexe f im sqlserverexe
o taskkillexe f im sqlwriterexe
o taskkillexe f im mysqldexe
- Xoaacute caacutec Shadow Volumn bằng caacutec lệnh
Cmdexe c vssadmin delete shadows all quiet amp wmic shadowcopy delete amp bcdedit set
default bootstatuspolicy ignoreallfailures amp bcdedit set default recoveryenabled no amp
wbadmin delete catalog -quiet with the command Cmdexe c vssadmin delete shadows all
quiet amp wmic shadowcopy delete amp bcdedit set default bootstatuspolicy ignoreallfailures
amp bcdedit set default recoveryenabled no amp wbadmin delete catalog -quiet
- Coacute tất cả 43 Keys được add thecirc vagraveo Registry
HKLMSOFTWAREWanaCrypt0r
HKLMSYSTEMControlSet001servicesmssecsvc20
HKLMSYSTEMControlSet001servicesnzcoipjcnbtkwjd375
HKLMSYSTEMCurrentControlSetservicesmssecsvc20
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375
HKLMSYSTEMCurrentControlSetservicesmssecsvc20Type 0x00000010
HKLMSYSTEMCurrentControlSetservicesmssecsvc20Start 0x00000002
HKLMSYSTEMCurrentControlSetservicesmssecsvc20ErrorControl 0x00000001
HKLMSYSTEMCurrentControlSetservicesmssecsvc20ImagePath
CUsersBAOLQDesktop24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea0470348
0b1022cexe -m security
HKLMSYSTEMCurrentControlSetservicesmssecsvc20DisplayName Microsoft Security
Center (20) Service
HKLMSYSTEMCurrentControlSetservicesmssecsvc20WOW64 0x00000001
HKLMSYSTEMCurrentControlSetservicesmssecsvc20ObjectName LocalSystem
HKLMSYSTEMCurrentControlSetservicesmssecsvc20FailureActions 00 00 00 00 01 00 00
00 01 00 00 00 01 00 00 00 14 00 00 00 01 00 00 00 60 EA 00 00
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375Type 0x00000010
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375Start 0x00000002
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375ErrorControl 0x00000001
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375ImagePath cmdexe c
CProgramDatanzcoipjcnbtkwjd375taskscheexe
Trang 510
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375DisplayName
nzcoipjcnbtkwjd375
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375WOW64 0x00000001
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375ObjectName LocalSystem
Higravenh số 5 Vograveng đời WannaCry
Trang 610
3 Giải phaacutep ngăn chặn
31 Đối với maacutey tiacutenh caacute nhacircn
a) Ngăn chặn lacircy nhiễm vagrave vaacute lỗi
- Caacutech ly tất cả caacutec thiết bị sao lưu ra khỏi maacutey tiacutenh caacute nhacircn
- Tắt chế độ hỗ trợ SMBv1 bằng Windows Features (với Windows 7 trở lecircn) hoặc
PowerShell Command (httpssupportmicrosoftcomvi-vnhelp2696547how-to-
enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-vista-windows-server-
2008-windows-7-windows-server-2008-r2-windows-8-and-windows-server-2012 )
Higravenh số 6 Tắt hỗ trợ SMBv1 bằng Windows Features
- Kiểm tra bản vaacute lỗi bằng Windows Update cho hệ điều hagravenh Windows để cập nhật
caacutec bản vaacute lỗi MS17-010 Bản vaacute nagravey được Microsoft phaacutet hagravenh vagraveo 14032017 đối
với caacutec phiecircn bản được hỗ trợ Tugravey theo phiecircn bản hệ điều hagravenh magrave bản vaacute lỗi coacute tecircn
khaacutec nhau như bảng liệt kecirc becircn dưới
Trang 710
Higravenh số 7 Danh saacutech caacutec bản vaacute lỗi coacute vaacute lỗi MS17-010
- Đối với những hệ điều hagravenh Microsoft đatilde thocirci hỗ trợ (XP Vista Server 2003hellip)
người sử dụng coacute thể download bản vaacute lỗi tại link
httpwwwcatalogupdatemicrosoftcomSearchaspxq=KB4012598 do sự quaacute tải
của Microsoft server necircn việc download bản vaacute coacute thể gặp khoacute khăn Vigrave vậy việc lagravem
đầu tiecircn vẫn lagrave tắt chế độ hỗ trợ SMBv1 như ở trecircn
b) Ngăn chặn thực thi matilde độc
- Cập nhật Windows Defender của Windows để giới hạn caacutec tập tin được thực thi
- Cagravei đặt caacutec phần mềm Antivirus coacute cập nhật gần nhất
- Tạo Mutex MsWinZonesCacheCounterMutexA amp
MsWinZonesCacheCounterMutexA0 để ngăn chặn Malware chạy (hai phiecircn bản
đầu tiecircn của Malware sẽ khocircng thực thi khi phaacutet hiện đatilde coacute Mutex -
httpswwwminerva-labscompostimmune-yourself-from-wannacry-ransomware-
with-minervas-free-vaccinator )
32 Đối với hệ thống mạng doanh nghiệp
- Caacutech ly caacutec thiết bị (hệ thống) sao lưu ra khỏi hệ thống mạng doanh nghiệp lagrave việc
lagravem đacircu tiecircn nhất Sau đoacute người quản trị hệ thống necircn sử dụng hệ thống tường lửa
sẵn coacute để khoacutea tất cả caacutec truy cập sử dụng TCP445 137 139 UDP137 138
- Tạm thời disable dịch vụ SMBv1 cho đến khi cập nhật caacutec bản vaacute lỗi cho MS17-010
đầy đủ
Trang 810
- Sử dụng cocircng cụ MSBA (download MSBA tại đacircy httpswwwmicrosoftcomen-
usdownloaddetailsaspxid=7558) hoặc cocircng cụ khaacutec tương tự để kiểm tra lại tigravenh
trạng cập nhật của caacutec bản vaacute lỗi của caacutec maacutey tiacutenh trong toagraven hệ thống Sau đoacute sử
dụng Windows Update để tiến hagravenh cập nhật caacutec bản vaacute lỗi
- Cuối cugraveng cập nhật phần mềm AV vagrave tiến hagravenh queacutet toagraven bộ hệ thống
Higravenh số 8 Giao diện MSBA
- Nếu coacute điều kiện coacute thể kiacutech hoạt chế độ Kill-Switch bằng caacutech giả lập hoặc cho
pheacutep kết nối đến 2 tecircn miền đatilde necircu trong phần 1 của baacuteo caacuteo nagravey
33 Caacutec khuyến caacuteo chung cho người sử dụng
- Khocircng mở caacutec tập tin điacutenh kegravem trong Email coacute nội dung gacircy sự tograve mograve coacute phần mở
rộng rtf caacutec file neacuten coacute mật khẩu kegravem theo
- Cập nhật phiecircn bản Office mới nhất để hạn chế rủi ro tấn cocircng bằng cơ chế xử lyacute
HTA của Microsoft Word
- Khocircng click vagraveo caacutec đường link lạ khocircng rotilde nguồn gốc
- Cập nhật bản mới nhất của phần mềm diệt Virus
- Luocircn cập nhật tất cả caacutec bản vaacute lỗi bảo mật từ Microsoft
- Bật Windows Firewall
Trang 910
4 Thocircng tin liecircn hệ khi gặp sự cố về an toagraven bảo mật thocircng tin
Trung tacircm Ứng cứu Khẩn cấp Maacutey tiacutenh Việt Nam (VNCERT)
- Địa chỉ Tầng 5 Togravea nhagrave 115 Trần Duy Hưng - Phường Trung Hoagrave - Quận Cầu
Giấy Hagrave Nội
- Điện thoại 84436404421 36404424 Fax 84436404425
- Email officevncertvn
Sở Thocircng tin amp Truyền thocircng TPHCM
- Địa chỉ 59 Lyacute Tự Trọng P Bến Ngheacute Quận 1 TPHCM
- Điện thoại 08 3520 2727 Fax (08)35202424 - (08) 39309498
Email stttttphcmgovvn
Chi hội An toagraven Thocircng tin phiacutea Nam (VNISA phiacutea Nam) - Hotline 0906 911 050
- Địa chỉ Tầng 9 Togravea nhagrave Saigon Paragon 03 Nguyễn Lương Bằng PTacircn Phuacute
Quận 7 TPHCM
- Điện thoại 84-8-73 030 309 Fax 84-8-54 108 801
- Email infovnisahcmorgvn
Trang 1010
5 Tagravei liệu tham khảo
wwwthehackernewscom
wwwsecuritylabru
httpswwwendgamecomblogwcrywanacry-ransomware-technical-analysis
httpsgistgithubcomrain-1989428fa5504f378b993ee6efbc0b168
httpskrebsonsecuritycom201705global-wana-ransomware-outbreak-earned-
perpetrators-26000-so-far
httpsblogstechnetmicrosoftcommmpc20170512wannacrypt-ransomware-
worm-targets-out-of-date-systems
httpsblogstechnetmicrosoftcommsrc20170512customer-guidance-for-
wannacrypt-attacks
httpssupportmicrosoftcomen-ushelp2696547how-to-enable-and-disable-
smbv1-smbv2-and-smbv3-in-windows-vista-windows-server-2008-windows-7-
windows-server-2008-r2-windows-8-and-windows-server-2012
httpstechnetmicrosoftcomen-uslibrarysecurityms17-010aspx
Trang 210
WannaCry phiecircn bản đầu tiecircn tuy nhiecircn caacutec phiecircn bản sau đatilde khocircng cograven dugraveng cơ chế nagravey vagrave
tiếp tục phaacutet taacuten
Điểm đặc biệt lagravem cho WannaCry cực kỳ nguy hiểm lagrave matilde độc đatilde khai thaacutec lỗ hổng MS17-
010 coacute trecircn tất cả caacutec Hecirc Điều Hagravenh Windows coacute sử dụng giao thức chia sẻ file SMBv1 để tự lacircy
nhiễm Lỗi bảo mật nghiecircm trọng nagravey chỉ mới được Microsoft phaacutet hagravenh caacutec bản vaacute lỗi vagraveo ngagravey
1432017 vagrave coacute rất nhiều maacutey tiacutenh cograven chưa kịp thực hiện update
Từ cocircng cụ khai thaacutec lỗi MS17-010 đầu tiecircn lagrave EternalBlue xuất hiện vagraveo thaacuteng 42017
đến nay đatilde coacute nhiều phiecircn bản matilde khai thaacutec được giới Hackers tinh chỉnh vagrave sử dụng Caacutec matilde
khai thaacutec lỗi nagravey cograven được tiacutech hợp trong caacutec bộ cocircng cụ kiểm thử như thocircng dụng như
Metasploit Empire
Với mỗi nạn nhacircn bị lacircy nhiễm WannaCry sẽ khởi tạo một cặp khoaacute RSA-2048 Mỗi tập
tin được matilde hoaacute bằng khoacutea ngẫu nhiecircn AES-128 Khoacutea private của mỗi nạn nhacircn matilde hoacutea bởi
public key của tin tặc Sau đoacute matilde độc WannaCry sẽ tiến hagravenh matilde hoacutea vagrave xoacutea bỏ tất cả caacutec file
tạm thực thi phần tống tiền với phần mềm Tor vagrave Bitcoin Wallet để nhận tiền chuộc dữ liệu magrave
khocircng bị truy vết
2 Phương phaacutep lacircy nhiễm
Đầu tiecircn WannaCry được phaacutet taacuten qua caacutec E-mail coacute điacutenh kegravem caacutec tập tin rtf hoặc HTA
caacutec file neacuten coacute mật khẩu (theo hatildeng Positive Technology đatilde xuất hiện caacutech thức tiacutech hợp matilde
độc lecircn caacutec Website để tự động tải WannaCry khi maacutey truy cập bị lỗi) Sau khi kiacutech hoạt thagravenh
cocircng vagrave xuất hiện trong mạng nội bộ WannaCry sẽ tiến hagravenh hai nhiệm vụ
- Tiến hagravenh dograve queacutet lỗi MS17-010 của caacutec maacutey lacircn cận vagrave caacutec maacutey ngoagravei Internet (coacute thể
kết nối) để lacircy nhiễm Lỗ hổng nagravey cho pheacutep thực thi matilde từ xa thocircng qua dịch vụ chia sẻ
tập tin SMBv1 trecircn hệ điều hagravenh Windows
- Tiến hagravenh việc matilde hoacutea dữ liệu vagrave kiacutech hoạt cơ chế đogravei tiền chuộc
Caacutec bước thực hiện cụ thể như sau
Giai đoạn 1 (Dropper)
- Kiểm tra Kill-switch Domain (cho version 1 ndash như mocirc tả phần 1)
- Khởi tạo dịch vụ Microsoft Security Center (20) Service mssecsvc20 với tập tin thực
thi mssecsvcexe vagrave chạy dịch vụ nagravey
- Tạo tập tin thực thi taskscheexe để chuẩn bị cho matilde hoacutea
- Dograve queacutet cổng TCP445 trecircn toagraven mạng coacute khả năng kết nối tới maacutey bị lacircy nhiễm vagrave tigravem
caacutech khai thaacutec lỗ hổng MS17-010
- Caacutec Payload được sử dụng lagrave matilde khai thaacutec lỗi MS17-010 vagrave khai thaacutec backdoor
DoublePulsar (nếu maacutey tiacutenh đatilde được nhiễm trước đoacute)
Trang 310
Higravenh số 2 Malware kiểm tra Kill-Switch
Higravenh số 3 Tiến trigravenh taskscheexe
Higravenh số 4 Gửi Payload Base64 đến maacutey khaacutec
Trang 410
Giai đoạn 2 Tiến hagravenh matilde hoaacute tống tiền (Ransomware Component)
- Tiến hagravenh giải neacuten caacutec thocircng tin trong tập tin XIA trước đoacute đatilde được tải về
- Lấy thocircng tin cấu higravenh Tor Bitcoin wallet phục vụ cho tống tiền về sau
- Cấp quyền Full Control cho nhoacutem Everyone trecircn thư mục hiện hagravenh
- Đọc nội dung từ tập tin twnry để lấy caacutec khoaacute AES dugraveng để giải matilde tập tin DLL tập tin
DLL nagravey sẽ được Malware đọc amp thực thi caacutec hagravem đatilde Export sẵn để phục vụ quaacute trigravenh
matilde hoaacute coacute chứa Public Key của tin tặc Key nagravey dugraveng để matilde hoaacute Private key của nạn
nhacircn
- Khởi tạo Mutex cho tất cả tiến trigravenh GlobalMsWinZonesCacheCounterMutexW
- Khởi tạo Thread để bắt đầu matilde hoaacute caacutec tập tin
- Thực hiện tắt caacutec dịch vụ CSDL để tiến hagravenh matilde hoaacute tập tin dữ liệu
o taskkillexe f im MicrosoftExchange
o taskkillexe f im MSExchange
o taskkillexe f im sqlserverexe
o taskkillexe f im sqlwriterexe
o taskkillexe f im mysqldexe
- Xoaacute caacutec Shadow Volumn bằng caacutec lệnh
Cmdexe c vssadmin delete shadows all quiet amp wmic shadowcopy delete amp bcdedit set
default bootstatuspolicy ignoreallfailures amp bcdedit set default recoveryenabled no amp
wbadmin delete catalog -quiet with the command Cmdexe c vssadmin delete shadows all
quiet amp wmic shadowcopy delete amp bcdedit set default bootstatuspolicy ignoreallfailures
amp bcdedit set default recoveryenabled no amp wbadmin delete catalog -quiet
- Coacute tất cả 43 Keys được add thecirc vagraveo Registry
HKLMSOFTWAREWanaCrypt0r
HKLMSYSTEMControlSet001servicesmssecsvc20
HKLMSYSTEMControlSet001servicesnzcoipjcnbtkwjd375
HKLMSYSTEMCurrentControlSetservicesmssecsvc20
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375
HKLMSYSTEMCurrentControlSetservicesmssecsvc20Type 0x00000010
HKLMSYSTEMCurrentControlSetservicesmssecsvc20Start 0x00000002
HKLMSYSTEMCurrentControlSetservicesmssecsvc20ErrorControl 0x00000001
HKLMSYSTEMCurrentControlSetservicesmssecsvc20ImagePath
CUsersBAOLQDesktop24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea0470348
0b1022cexe -m security
HKLMSYSTEMCurrentControlSetservicesmssecsvc20DisplayName Microsoft Security
Center (20) Service
HKLMSYSTEMCurrentControlSetservicesmssecsvc20WOW64 0x00000001
HKLMSYSTEMCurrentControlSetservicesmssecsvc20ObjectName LocalSystem
HKLMSYSTEMCurrentControlSetservicesmssecsvc20FailureActions 00 00 00 00 01 00 00
00 01 00 00 00 01 00 00 00 14 00 00 00 01 00 00 00 60 EA 00 00
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375Type 0x00000010
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375Start 0x00000002
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375ErrorControl 0x00000001
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375ImagePath cmdexe c
CProgramDatanzcoipjcnbtkwjd375taskscheexe
Trang 510
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375DisplayName
nzcoipjcnbtkwjd375
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375WOW64 0x00000001
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375ObjectName LocalSystem
Higravenh số 5 Vograveng đời WannaCry
Trang 610
3 Giải phaacutep ngăn chặn
31 Đối với maacutey tiacutenh caacute nhacircn
a) Ngăn chặn lacircy nhiễm vagrave vaacute lỗi
- Caacutech ly tất cả caacutec thiết bị sao lưu ra khỏi maacutey tiacutenh caacute nhacircn
- Tắt chế độ hỗ trợ SMBv1 bằng Windows Features (với Windows 7 trở lecircn) hoặc
PowerShell Command (httpssupportmicrosoftcomvi-vnhelp2696547how-to-
enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-vista-windows-server-
2008-windows-7-windows-server-2008-r2-windows-8-and-windows-server-2012 )
Higravenh số 6 Tắt hỗ trợ SMBv1 bằng Windows Features
- Kiểm tra bản vaacute lỗi bằng Windows Update cho hệ điều hagravenh Windows để cập nhật
caacutec bản vaacute lỗi MS17-010 Bản vaacute nagravey được Microsoft phaacutet hagravenh vagraveo 14032017 đối
với caacutec phiecircn bản được hỗ trợ Tugravey theo phiecircn bản hệ điều hagravenh magrave bản vaacute lỗi coacute tecircn
khaacutec nhau như bảng liệt kecirc becircn dưới
Trang 710
Higravenh số 7 Danh saacutech caacutec bản vaacute lỗi coacute vaacute lỗi MS17-010
- Đối với những hệ điều hagravenh Microsoft đatilde thocirci hỗ trợ (XP Vista Server 2003hellip)
người sử dụng coacute thể download bản vaacute lỗi tại link
httpwwwcatalogupdatemicrosoftcomSearchaspxq=KB4012598 do sự quaacute tải
của Microsoft server necircn việc download bản vaacute coacute thể gặp khoacute khăn Vigrave vậy việc lagravem
đầu tiecircn vẫn lagrave tắt chế độ hỗ trợ SMBv1 như ở trecircn
b) Ngăn chặn thực thi matilde độc
- Cập nhật Windows Defender của Windows để giới hạn caacutec tập tin được thực thi
- Cagravei đặt caacutec phần mềm Antivirus coacute cập nhật gần nhất
- Tạo Mutex MsWinZonesCacheCounterMutexA amp
MsWinZonesCacheCounterMutexA0 để ngăn chặn Malware chạy (hai phiecircn bản
đầu tiecircn của Malware sẽ khocircng thực thi khi phaacutet hiện đatilde coacute Mutex -
httpswwwminerva-labscompostimmune-yourself-from-wannacry-ransomware-
with-minervas-free-vaccinator )
32 Đối với hệ thống mạng doanh nghiệp
- Caacutech ly caacutec thiết bị (hệ thống) sao lưu ra khỏi hệ thống mạng doanh nghiệp lagrave việc
lagravem đacircu tiecircn nhất Sau đoacute người quản trị hệ thống necircn sử dụng hệ thống tường lửa
sẵn coacute để khoacutea tất cả caacutec truy cập sử dụng TCP445 137 139 UDP137 138
- Tạm thời disable dịch vụ SMBv1 cho đến khi cập nhật caacutec bản vaacute lỗi cho MS17-010
đầy đủ
Trang 810
- Sử dụng cocircng cụ MSBA (download MSBA tại đacircy httpswwwmicrosoftcomen-
usdownloaddetailsaspxid=7558) hoặc cocircng cụ khaacutec tương tự để kiểm tra lại tigravenh
trạng cập nhật của caacutec bản vaacute lỗi của caacutec maacutey tiacutenh trong toagraven hệ thống Sau đoacute sử
dụng Windows Update để tiến hagravenh cập nhật caacutec bản vaacute lỗi
- Cuối cugraveng cập nhật phần mềm AV vagrave tiến hagravenh queacutet toagraven bộ hệ thống
Higravenh số 8 Giao diện MSBA
- Nếu coacute điều kiện coacute thể kiacutech hoạt chế độ Kill-Switch bằng caacutech giả lập hoặc cho
pheacutep kết nối đến 2 tecircn miền đatilde necircu trong phần 1 của baacuteo caacuteo nagravey
33 Caacutec khuyến caacuteo chung cho người sử dụng
- Khocircng mở caacutec tập tin điacutenh kegravem trong Email coacute nội dung gacircy sự tograve mograve coacute phần mở
rộng rtf caacutec file neacuten coacute mật khẩu kegravem theo
- Cập nhật phiecircn bản Office mới nhất để hạn chế rủi ro tấn cocircng bằng cơ chế xử lyacute
HTA của Microsoft Word
- Khocircng click vagraveo caacutec đường link lạ khocircng rotilde nguồn gốc
- Cập nhật bản mới nhất của phần mềm diệt Virus
- Luocircn cập nhật tất cả caacutec bản vaacute lỗi bảo mật từ Microsoft
- Bật Windows Firewall
Trang 910
4 Thocircng tin liecircn hệ khi gặp sự cố về an toagraven bảo mật thocircng tin
Trung tacircm Ứng cứu Khẩn cấp Maacutey tiacutenh Việt Nam (VNCERT)
- Địa chỉ Tầng 5 Togravea nhagrave 115 Trần Duy Hưng - Phường Trung Hoagrave - Quận Cầu
Giấy Hagrave Nội
- Điện thoại 84436404421 36404424 Fax 84436404425
- Email officevncertvn
Sở Thocircng tin amp Truyền thocircng TPHCM
- Địa chỉ 59 Lyacute Tự Trọng P Bến Ngheacute Quận 1 TPHCM
- Điện thoại 08 3520 2727 Fax (08)35202424 - (08) 39309498
Email stttttphcmgovvn
Chi hội An toagraven Thocircng tin phiacutea Nam (VNISA phiacutea Nam) - Hotline 0906 911 050
- Địa chỉ Tầng 9 Togravea nhagrave Saigon Paragon 03 Nguyễn Lương Bằng PTacircn Phuacute
Quận 7 TPHCM
- Điện thoại 84-8-73 030 309 Fax 84-8-54 108 801
- Email infovnisahcmorgvn
Trang 1010
5 Tagravei liệu tham khảo
wwwthehackernewscom
wwwsecuritylabru
httpswwwendgamecomblogwcrywanacry-ransomware-technical-analysis
httpsgistgithubcomrain-1989428fa5504f378b993ee6efbc0b168
httpskrebsonsecuritycom201705global-wana-ransomware-outbreak-earned-
perpetrators-26000-so-far
httpsblogstechnetmicrosoftcommmpc20170512wannacrypt-ransomware-
worm-targets-out-of-date-systems
httpsblogstechnetmicrosoftcommsrc20170512customer-guidance-for-
wannacrypt-attacks
httpssupportmicrosoftcomen-ushelp2696547how-to-enable-and-disable-
smbv1-smbv2-and-smbv3-in-windows-vista-windows-server-2008-windows-7-
windows-server-2008-r2-windows-8-and-windows-server-2012
httpstechnetmicrosoftcomen-uslibrarysecurityms17-010aspx
Trang 310
Higravenh số 2 Malware kiểm tra Kill-Switch
Higravenh số 3 Tiến trigravenh taskscheexe
Higravenh số 4 Gửi Payload Base64 đến maacutey khaacutec
Trang 410
Giai đoạn 2 Tiến hagravenh matilde hoaacute tống tiền (Ransomware Component)
- Tiến hagravenh giải neacuten caacutec thocircng tin trong tập tin XIA trước đoacute đatilde được tải về
- Lấy thocircng tin cấu higravenh Tor Bitcoin wallet phục vụ cho tống tiền về sau
- Cấp quyền Full Control cho nhoacutem Everyone trecircn thư mục hiện hagravenh
- Đọc nội dung từ tập tin twnry để lấy caacutec khoaacute AES dugraveng để giải matilde tập tin DLL tập tin
DLL nagravey sẽ được Malware đọc amp thực thi caacutec hagravem đatilde Export sẵn để phục vụ quaacute trigravenh
matilde hoaacute coacute chứa Public Key của tin tặc Key nagravey dugraveng để matilde hoaacute Private key của nạn
nhacircn
- Khởi tạo Mutex cho tất cả tiến trigravenh GlobalMsWinZonesCacheCounterMutexW
- Khởi tạo Thread để bắt đầu matilde hoaacute caacutec tập tin
- Thực hiện tắt caacutec dịch vụ CSDL để tiến hagravenh matilde hoaacute tập tin dữ liệu
o taskkillexe f im MicrosoftExchange
o taskkillexe f im MSExchange
o taskkillexe f im sqlserverexe
o taskkillexe f im sqlwriterexe
o taskkillexe f im mysqldexe
- Xoaacute caacutec Shadow Volumn bằng caacutec lệnh
Cmdexe c vssadmin delete shadows all quiet amp wmic shadowcopy delete amp bcdedit set
default bootstatuspolicy ignoreallfailures amp bcdedit set default recoveryenabled no amp
wbadmin delete catalog -quiet with the command Cmdexe c vssadmin delete shadows all
quiet amp wmic shadowcopy delete amp bcdedit set default bootstatuspolicy ignoreallfailures
amp bcdedit set default recoveryenabled no amp wbadmin delete catalog -quiet
- Coacute tất cả 43 Keys được add thecirc vagraveo Registry
HKLMSOFTWAREWanaCrypt0r
HKLMSYSTEMControlSet001servicesmssecsvc20
HKLMSYSTEMControlSet001servicesnzcoipjcnbtkwjd375
HKLMSYSTEMCurrentControlSetservicesmssecsvc20
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375
HKLMSYSTEMCurrentControlSetservicesmssecsvc20Type 0x00000010
HKLMSYSTEMCurrentControlSetservicesmssecsvc20Start 0x00000002
HKLMSYSTEMCurrentControlSetservicesmssecsvc20ErrorControl 0x00000001
HKLMSYSTEMCurrentControlSetservicesmssecsvc20ImagePath
CUsersBAOLQDesktop24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea0470348
0b1022cexe -m security
HKLMSYSTEMCurrentControlSetservicesmssecsvc20DisplayName Microsoft Security
Center (20) Service
HKLMSYSTEMCurrentControlSetservicesmssecsvc20WOW64 0x00000001
HKLMSYSTEMCurrentControlSetservicesmssecsvc20ObjectName LocalSystem
HKLMSYSTEMCurrentControlSetservicesmssecsvc20FailureActions 00 00 00 00 01 00 00
00 01 00 00 00 01 00 00 00 14 00 00 00 01 00 00 00 60 EA 00 00
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375Type 0x00000010
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375Start 0x00000002
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375ErrorControl 0x00000001
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375ImagePath cmdexe c
CProgramDatanzcoipjcnbtkwjd375taskscheexe
Trang 510
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375DisplayName
nzcoipjcnbtkwjd375
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375WOW64 0x00000001
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375ObjectName LocalSystem
Higravenh số 5 Vograveng đời WannaCry
Trang 610
3 Giải phaacutep ngăn chặn
31 Đối với maacutey tiacutenh caacute nhacircn
a) Ngăn chặn lacircy nhiễm vagrave vaacute lỗi
- Caacutech ly tất cả caacutec thiết bị sao lưu ra khỏi maacutey tiacutenh caacute nhacircn
- Tắt chế độ hỗ trợ SMBv1 bằng Windows Features (với Windows 7 trở lecircn) hoặc
PowerShell Command (httpssupportmicrosoftcomvi-vnhelp2696547how-to-
enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-vista-windows-server-
2008-windows-7-windows-server-2008-r2-windows-8-and-windows-server-2012 )
Higravenh số 6 Tắt hỗ trợ SMBv1 bằng Windows Features
- Kiểm tra bản vaacute lỗi bằng Windows Update cho hệ điều hagravenh Windows để cập nhật
caacutec bản vaacute lỗi MS17-010 Bản vaacute nagravey được Microsoft phaacutet hagravenh vagraveo 14032017 đối
với caacutec phiecircn bản được hỗ trợ Tugravey theo phiecircn bản hệ điều hagravenh magrave bản vaacute lỗi coacute tecircn
khaacutec nhau như bảng liệt kecirc becircn dưới
Trang 710
Higravenh số 7 Danh saacutech caacutec bản vaacute lỗi coacute vaacute lỗi MS17-010
- Đối với những hệ điều hagravenh Microsoft đatilde thocirci hỗ trợ (XP Vista Server 2003hellip)
người sử dụng coacute thể download bản vaacute lỗi tại link
httpwwwcatalogupdatemicrosoftcomSearchaspxq=KB4012598 do sự quaacute tải
của Microsoft server necircn việc download bản vaacute coacute thể gặp khoacute khăn Vigrave vậy việc lagravem
đầu tiecircn vẫn lagrave tắt chế độ hỗ trợ SMBv1 như ở trecircn
b) Ngăn chặn thực thi matilde độc
- Cập nhật Windows Defender của Windows để giới hạn caacutec tập tin được thực thi
- Cagravei đặt caacutec phần mềm Antivirus coacute cập nhật gần nhất
- Tạo Mutex MsWinZonesCacheCounterMutexA amp
MsWinZonesCacheCounterMutexA0 để ngăn chặn Malware chạy (hai phiecircn bản
đầu tiecircn của Malware sẽ khocircng thực thi khi phaacutet hiện đatilde coacute Mutex -
httpswwwminerva-labscompostimmune-yourself-from-wannacry-ransomware-
with-minervas-free-vaccinator )
32 Đối với hệ thống mạng doanh nghiệp
- Caacutech ly caacutec thiết bị (hệ thống) sao lưu ra khỏi hệ thống mạng doanh nghiệp lagrave việc
lagravem đacircu tiecircn nhất Sau đoacute người quản trị hệ thống necircn sử dụng hệ thống tường lửa
sẵn coacute để khoacutea tất cả caacutec truy cập sử dụng TCP445 137 139 UDP137 138
- Tạm thời disable dịch vụ SMBv1 cho đến khi cập nhật caacutec bản vaacute lỗi cho MS17-010
đầy đủ
Trang 810
- Sử dụng cocircng cụ MSBA (download MSBA tại đacircy httpswwwmicrosoftcomen-
usdownloaddetailsaspxid=7558) hoặc cocircng cụ khaacutec tương tự để kiểm tra lại tigravenh
trạng cập nhật của caacutec bản vaacute lỗi của caacutec maacutey tiacutenh trong toagraven hệ thống Sau đoacute sử
dụng Windows Update để tiến hagravenh cập nhật caacutec bản vaacute lỗi
- Cuối cugraveng cập nhật phần mềm AV vagrave tiến hagravenh queacutet toagraven bộ hệ thống
Higravenh số 8 Giao diện MSBA
- Nếu coacute điều kiện coacute thể kiacutech hoạt chế độ Kill-Switch bằng caacutech giả lập hoặc cho
pheacutep kết nối đến 2 tecircn miền đatilde necircu trong phần 1 của baacuteo caacuteo nagravey
33 Caacutec khuyến caacuteo chung cho người sử dụng
- Khocircng mở caacutec tập tin điacutenh kegravem trong Email coacute nội dung gacircy sự tograve mograve coacute phần mở
rộng rtf caacutec file neacuten coacute mật khẩu kegravem theo
- Cập nhật phiecircn bản Office mới nhất để hạn chế rủi ro tấn cocircng bằng cơ chế xử lyacute
HTA của Microsoft Word
- Khocircng click vagraveo caacutec đường link lạ khocircng rotilde nguồn gốc
- Cập nhật bản mới nhất của phần mềm diệt Virus
- Luocircn cập nhật tất cả caacutec bản vaacute lỗi bảo mật từ Microsoft
- Bật Windows Firewall
Trang 910
4 Thocircng tin liecircn hệ khi gặp sự cố về an toagraven bảo mật thocircng tin
Trung tacircm Ứng cứu Khẩn cấp Maacutey tiacutenh Việt Nam (VNCERT)
- Địa chỉ Tầng 5 Togravea nhagrave 115 Trần Duy Hưng - Phường Trung Hoagrave - Quận Cầu
Giấy Hagrave Nội
- Điện thoại 84436404421 36404424 Fax 84436404425
- Email officevncertvn
Sở Thocircng tin amp Truyền thocircng TPHCM
- Địa chỉ 59 Lyacute Tự Trọng P Bến Ngheacute Quận 1 TPHCM
- Điện thoại 08 3520 2727 Fax (08)35202424 - (08) 39309498
Email stttttphcmgovvn
Chi hội An toagraven Thocircng tin phiacutea Nam (VNISA phiacutea Nam) - Hotline 0906 911 050
- Địa chỉ Tầng 9 Togravea nhagrave Saigon Paragon 03 Nguyễn Lương Bằng PTacircn Phuacute
Quận 7 TPHCM
- Điện thoại 84-8-73 030 309 Fax 84-8-54 108 801
- Email infovnisahcmorgvn
Trang 1010
5 Tagravei liệu tham khảo
wwwthehackernewscom
wwwsecuritylabru
httpswwwendgamecomblogwcrywanacry-ransomware-technical-analysis
httpsgistgithubcomrain-1989428fa5504f378b993ee6efbc0b168
httpskrebsonsecuritycom201705global-wana-ransomware-outbreak-earned-
perpetrators-26000-so-far
httpsblogstechnetmicrosoftcommmpc20170512wannacrypt-ransomware-
worm-targets-out-of-date-systems
httpsblogstechnetmicrosoftcommsrc20170512customer-guidance-for-
wannacrypt-attacks
httpssupportmicrosoftcomen-ushelp2696547how-to-enable-and-disable-
smbv1-smbv2-and-smbv3-in-windows-vista-windows-server-2008-windows-7-
windows-server-2008-r2-windows-8-and-windows-server-2012
httpstechnetmicrosoftcomen-uslibrarysecurityms17-010aspx
Trang 410
Giai đoạn 2 Tiến hagravenh matilde hoaacute tống tiền (Ransomware Component)
- Tiến hagravenh giải neacuten caacutec thocircng tin trong tập tin XIA trước đoacute đatilde được tải về
- Lấy thocircng tin cấu higravenh Tor Bitcoin wallet phục vụ cho tống tiền về sau
- Cấp quyền Full Control cho nhoacutem Everyone trecircn thư mục hiện hagravenh
- Đọc nội dung từ tập tin twnry để lấy caacutec khoaacute AES dugraveng để giải matilde tập tin DLL tập tin
DLL nagravey sẽ được Malware đọc amp thực thi caacutec hagravem đatilde Export sẵn để phục vụ quaacute trigravenh
matilde hoaacute coacute chứa Public Key của tin tặc Key nagravey dugraveng để matilde hoaacute Private key của nạn
nhacircn
- Khởi tạo Mutex cho tất cả tiến trigravenh GlobalMsWinZonesCacheCounterMutexW
- Khởi tạo Thread để bắt đầu matilde hoaacute caacutec tập tin
- Thực hiện tắt caacutec dịch vụ CSDL để tiến hagravenh matilde hoaacute tập tin dữ liệu
o taskkillexe f im MicrosoftExchange
o taskkillexe f im MSExchange
o taskkillexe f im sqlserverexe
o taskkillexe f im sqlwriterexe
o taskkillexe f im mysqldexe
- Xoaacute caacutec Shadow Volumn bằng caacutec lệnh
Cmdexe c vssadmin delete shadows all quiet amp wmic shadowcopy delete amp bcdedit set
default bootstatuspolicy ignoreallfailures amp bcdedit set default recoveryenabled no amp
wbadmin delete catalog -quiet with the command Cmdexe c vssadmin delete shadows all
quiet amp wmic shadowcopy delete amp bcdedit set default bootstatuspolicy ignoreallfailures
amp bcdedit set default recoveryenabled no amp wbadmin delete catalog -quiet
- Coacute tất cả 43 Keys được add thecirc vagraveo Registry
HKLMSOFTWAREWanaCrypt0r
HKLMSYSTEMControlSet001servicesmssecsvc20
HKLMSYSTEMControlSet001servicesnzcoipjcnbtkwjd375
HKLMSYSTEMCurrentControlSetservicesmssecsvc20
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375
HKLMSYSTEMCurrentControlSetservicesmssecsvc20Type 0x00000010
HKLMSYSTEMCurrentControlSetservicesmssecsvc20Start 0x00000002
HKLMSYSTEMCurrentControlSetservicesmssecsvc20ErrorControl 0x00000001
HKLMSYSTEMCurrentControlSetservicesmssecsvc20ImagePath
CUsersBAOLQDesktop24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea0470348
0b1022cexe -m security
HKLMSYSTEMCurrentControlSetservicesmssecsvc20DisplayName Microsoft Security
Center (20) Service
HKLMSYSTEMCurrentControlSetservicesmssecsvc20WOW64 0x00000001
HKLMSYSTEMCurrentControlSetservicesmssecsvc20ObjectName LocalSystem
HKLMSYSTEMCurrentControlSetservicesmssecsvc20FailureActions 00 00 00 00 01 00 00
00 01 00 00 00 01 00 00 00 14 00 00 00 01 00 00 00 60 EA 00 00
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375Type 0x00000010
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375Start 0x00000002
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375ErrorControl 0x00000001
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375ImagePath cmdexe c
CProgramDatanzcoipjcnbtkwjd375taskscheexe
Trang 510
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375DisplayName
nzcoipjcnbtkwjd375
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375WOW64 0x00000001
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375ObjectName LocalSystem
Higravenh số 5 Vograveng đời WannaCry
Trang 610
3 Giải phaacutep ngăn chặn
31 Đối với maacutey tiacutenh caacute nhacircn
a) Ngăn chặn lacircy nhiễm vagrave vaacute lỗi
- Caacutech ly tất cả caacutec thiết bị sao lưu ra khỏi maacutey tiacutenh caacute nhacircn
- Tắt chế độ hỗ trợ SMBv1 bằng Windows Features (với Windows 7 trở lecircn) hoặc
PowerShell Command (httpssupportmicrosoftcomvi-vnhelp2696547how-to-
enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-vista-windows-server-
2008-windows-7-windows-server-2008-r2-windows-8-and-windows-server-2012 )
Higravenh số 6 Tắt hỗ trợ SMBv1 bằng Windows Features
- Kiểm tra bản vaacute lỗi bằng Windows Update cho hệ điều hagravenh Windows để cập nhật
caacutec bản vaacute lỗi MS17-010 Bản vaacute nagravey được Microsoft phaacutet hagravenh vagraveo 14032017 đối
với caacutec phiecircn bản được hỗ trợ Tugravey theo phiecircn bản hệ điều hagravenh magrave bản vaacute lỗi coacute tecircn
khaacutec nhau như bảng liệt kecirc becircn dưới
Trang 710
Higravenh số 7 Danh saacutech caacutec bản vaacute lỗi coacute vaacute lỗi MS17-010
- Đối với những hệ điều hagravenh Microsoft đatilde thocirci hỗ trợ (XP Vista Server 2003hellip)
người sử dụng coacute thể download bản vaacute lỗi tại link
httpwwwcatalogupdatemicrosoftcomSearchaspxq=KB4012598 do sự quaacute tải
của Microsoft server necircn việc download bản vaacute coacute thể gặp khoacute khăn Vigrave vậy việc lagravem
đầu tiecircn vẫn lagrave tắt chế độ hỗ trợ SMBv1 như ở trecircn
b) Ngăn chặn thực thi matilde độc
- Cập nhật Windows Defender của Windows để giới hạn caacutec tập tin được thực thi
- Cagravei đặt caacutec phần mềm Antivirus coacute cập nhật gần nhất
- Tạo Mutex MsWinZonesCacheCounterMutexA amp
MsWinZonesCacheCounterMutexA0 để ngăn chặn Malware chạy (hai phiecircn bản
đầu tiecircn của Malware sẽ khocircng thực thi khi phaacutet hiện đatilde coacute Mutex -
httpswwwminerva-labscompostimmune-yourself-from-wannacry-ransomware-
with-minervas-free-vaccinator )
32 Đối với hệ thống mạng doanh nghiệp
- Caacutech ly caacutec thiết bị (hệ thống) sao lưu ra khỏi hệ thống mạng doanh nghiệp lagrave việc
lagravem đacircu tiecircn nhất Sau đoacute người quản trị hệ thống necircn sử dụng hệ thống tường lửa
sẵn coacute để khoacutea tất cả caacutec truy cập sử dụng TCP445 137 139 UDP137 138
- Tạm thời disable dịch vụ SMBv1 cho đến khi cập nhật caacutec bản vaacute lỗi cho MS17-010
đầy đủ
Trang 810
- Sử dụng cocircng cụ MSBA (download MSBA tại đacircy httpswwwmicrosoftcomen-
usdownloaddetailsaspxid=7558) hoặc cocircng cụ khaacutec tương tự để kiểm tra lại tigravenh
trạng cập nhật của caacutec bản vaacute lỗi của caacutec maacutey tiacutenh trong toagraven hệ thống Sau đoacute sử
dụng Windows Update để tiến hagravenh cập nhật caacutec bản vaacute lỗi
- Cuối cugraveng cập nhật phần mềm AV vagrave tiến hagravenh queacutet toagraven bộ hệ thống
Higravenh số 8 Giao diện MSBA
- Nếu coacute điều kiện coacute thể kiacutech hoạt chế độ Kill-Switch bằng caacutech giả lập hoặc cho
pheacutep kết nối đến 2 tecircn miền đatilde necircu trong phần 1 của baacuteo caacuteo nagravey
33 Caacutec khuyến caacuteo chung cho người sử dụng
- Khocircng mở caacutec tập tin điacutenh kegravem trong Email coacute nội dung gacircy sự tograve mograve coacute phần mở
rộng rtf caacutec file neacuten coacute mật khẩu kegravem theo
- Cập nhật phiecircn bản Office mới nhất để hạn chế rủi ro tấn cocircng bằng cơ chế xử lyacute
HTA của Microsoft Word
- Khocircng click vagraveo caacutec đường link lạ khocircng rotilde nguồn gốc
- Cập nhật bản mới nhất của phần mềm diệt Virus
- Luocircn cập nhật tất cả caacutec bản vaacute lỗi bảo mật từ Microsoft
- Bật Windows Firewall
Trang 910
4 Thocircng tin liecircn hệ khi gặp sự cố về an toagraven bảo mật thocircng tin
Trung tacircm Ứng cứu Khẩn cấp Maacutey tiacutenh Việt Nam (VNCERT)
- Địa chỉ Tầng 5 Togravea nhagrave 115 Trần Duy Hưng - Phường Trung Hoagrave - Quận Cầu
Giấy Hagrave Nội
- Điện thoại 84436404421 36404424 Fax 84436404425
- Email officevncertvn
Sở Thocircng tin amp Truyền thocircng TPHCM
- Địa chỉ 59 Lyacute Tự Trọng P Bến Ngheacute Quận 1 TPHCM
- Điện thoại 08 3520 2727 Fax (08)35202424 - (08) 39309498
Email stttttphcmgovvn
Chi hội An toagraven Thocircng tin phiacutea Nam (VNISA phiacutea Nam) - Hotline 0906 911 050
- Địa chỉ Tầng 9 Togravea nhagrave Saigon Paragon 03 Nguyễn Lương Bằng PTacircn Phuacute
Quận 7 TPHCM
- Điện thoại 84-8-73 030 309 Fax 84-8-54 108 801
- Email infovnisahcmorgvn
Trang 1010
5 Tagravei liệu tham khảo
wwwthehackernewscom
wwwsecuritylabru
httpswwwendgamecomblogwcrywanacry-ransomware-technical-analysis
httpsgistgithubcomrain-1989428fa5504f378b993ee6efbc0b168
httpskrebsonsecuritycom201705global-wana-ransomware-outbreak-earned-
perpetrators-26000-so-far
httpsblogstechnetmicrosoftcommmpc20170512wannacrypt-ransomware-
worm-targets-out-of-date-systems
httpsblogstechnetmicrosoftcommsrc20170512customer-guidance-for-
wannacrypt-attacks
httpssupportmicrosoftcomen-ushelp2696547how-to-enable-and-disable-
smbv1-smbv2-and-smbv3-in-windows-vista-windows-server-2008-windows-7-
windows-server-2008-r2-windows-8-and-windows-server-2012
httpstechnetmicrosoftcomen-uslibrarysecurityms17-010aspx
Trang 510
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375DisplayName
nzcoipjcnbtkwjd375
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375WOW64 0x00000001
HKLMSYSTEMCurrentControlSetservicesnzcoipjcnbtkwjd375ObjectName LocalSystem
Higravenh số 5 Vograveng đời WannaCry
Trang 610
3 Giải phaacutep ngăn chặn
31 Đối với maacutey tiacutenh caacute nhacircn
a) Ngăn chặn lacircy nhiễm vagrave vaacute lỗi
- Caacutech ly tất cả caacutec thiết bị sao lưu ra khỏi maacutey tiacutenh caacute nhacircn
- Tắt chế độ hỗ trợ SMBv1 bằng Windows Features (với Windows 7 trở lecircn) hoặc
PowerShell Command (httpssupportmicrosoftcomvi-vnhelp2696547how-to-
enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-vista-windows-server-
2008-windows-7-windows-server-2008-r2-windows-8-and-windows-server-2012 )
Higravenh số 6 Tắt hỗ trợ SMBv1 bằng Windows Features
- Kiểm tra bản vaacute lỗi bằng Windows Update cho hệ điều hagravenh Windows để cập nhật
caacutec bản vaacute lỗi MS17-010 Bản vaacute nagravey được Microsoft phaacutet hagravenh vagraveo 14032017 đối
với caacutec phiecircn bản được hỗ trợ Tugravey theo phiecircn bản hệ điều hagravenh magrave bản vaacute lỗi coacute tecircn
khaacutec nhau như bảng liệt kecirc becircn dưới
Trang 710
Higravenh số 7 Danh saacutech caacutec bản vaacute lỗi coacute vaacute lỗi MS17-010
- Đối với những hệ điều hagravenh Microsoft đatilde thocirci hỗ trợ (XP Vista Server 2003hellip)
người sử dụng coacute thể download bản vaacute lỗi tại link
httpwwwcatalogupdatemicrosoftcomSearchaspxq=KB4012598 do sự quaacute tải
của Microsoft server necircn việc download bản vaacute coacute thể gặp khoacute khăn Vigrave vậy việc lagravem
đầu tiecircn vẫn lagrave tắt chế độ hỗ trợ SMBv1 như ở trecircn
b) Ngăn chặn thực thi matilde độc
- Cập nhật Windows Defender của Windows để giới hạn caacutec tập tin được thực thi
- Cagravei đặt caacutec phần mềm Antivirus coacute cập nhật gần nhất
- Tạo Mutex MsWinZonesCacheCounterMutexA amp
MsWinZonesCacheCounterMutexA0 để ngăn chặn Malware chạy (hai phiecircn bản
đầu tiecircn của Malware sẽ khocircng thực thi khi phaacutet hiện đatilde coacute Mutex -
httpswwwminerva-labscompostimmune-yourself-from-wannacry-ransomware-
with-minervas-free-vaccinator )
32 Đối với hệ thống mạng doanh nghiệp
- Caacutech ly caacutec thiết bị (hệ thống) sao lưu ra khỏi hệ thống mạng doanh nghiệp lagrave việc
lagravem đacircu tiecircn nhất Sau đoacute người quản trị hệ thống necircn sử dụng hệ thống tường lửa
sẵn coacute để khoacutea tất cả caacutec truy cập sử dụng TCP445 137 139 UDP137 138
- Tạm thời disable dịch vụ SMBv1 cho đến khi cập nhật caacutec bản vaacute lỗi cho MS17-010
đầy đủ
Trang 810
- Sử dụng cocircng cụ MSBA (download MSBA tại đacircy httpswwwmicrosoftcomen-
usdownloaddetailsaspxid=7558) hoặc cocircng cụ khaacutec tương tự để kiểm tra lại tigravenh
trạng cập nhật của caacutec bản vaacute lỗi của caacutec maacutey tiacutenh trong toagraven hệ thống Sau đoacute sử
dụng Windows Update để tiến hagravenh cập nhật caacutec bản vaacute lỗi
- Cuối cugraveng cập nhật phần mềm AV vagrave tiến hagravenh queacutet toagraven bộ hệ thống
Higravenh số 8 Giao diện MSBA
- Nếu coacute điều kiện coacute thể kiacutech hoạt chế độ Kill-Switch bằng caacutech giả lập hoặc cho
pheacutep kết nối đến 2 tecircn miền đatilde necircu trong phần 1 của baacuteo caacuteo nagravey
33 Caacutec khuyến caacuteo chung cho người sử dụng
- Khocircng mở caacutec tập tin điacutenh kegravem trong Email coacute nội dung gacircy sự tograve mograve coacute phần mở
rộng rtf caacutec file neacuten coacute mật khẩu kegravem theo
- Cập nhật phiecircn bản Office mới nhất để hạn chế rủi ro tấn cocircng bằng cơ chế xử lyacute
HTA của Microsoft Word
- Khocircng click vagraveo caacutec đường link lạ khocircng rotilde nguồn gốc
- Cập nhật bản mới nhất của phần mềm diệt Virus
- Luocircn cập nhật tất cả caacutec bản vaacute lỗi bảo mật từ Microsoft
- Bật Windows Firewall
Trang 910
4 Thocircng tin liecircn hệ khi gặp sự cố về an toagraven bảo mật thocircng tin
Trung tacircm Ứng cứu Khẩn cấp Maacutey tiacutenh Việt Nam (VNCERT)
- Địa chỉ Tầng 5 Togravea nhagrave 115 Trần Duy Hưng - Phường Trung Hoagrave - Quận Cầu
Giấy Hagrave Nội
- Điện thoại 84436404421 36404424 Fax 84436404425
- Email officevncertvn
Sở Thocircng tin amp Truyền thocircng TPHCM
- Địa chỉ 59 Lyacute Tự Trọng P Bến Ngheacute Quận 1 TPHCM
- Điện thoại 08 3520 2727 Fax (08)35202424 - (08) 39309498
Email stttttphcmgovvn
Chi hội An toagraven Thocircng tin phiacutea Nam (VNISA phiacutea Nam) - Hotline 0906 911 050
- Địa chỉ Tầng 9 Togravea nhagrave Saigon Paragon 03 Nguyễn Lương Bằng PTacircn Phuacute
Quận 7 TPHCM
- Điện thoại 84-8-73 030 309 Fax 84-8-54 108 801
- Email infovnisahcmorgvn
Trang 1010
5 Tagravei liệu tham khảo
wwwthehackernewscom
wwwsecuritylabru
httpswwwendgamecomblogwcrywanacry-ransomware-technical-analysis
httpsgistgithubcomrain-1989428fa5504f378b993ee6efbc0b168
httpskrebsonsecuritycom201705global-wana-ransomware-outbreak-earned-
perpetrators-26000-so-far
httpsblogstechnetmicrosoftcommmpc20170512wannacrypt-ransomware-
worm-targets-out-of-date-systems
httpsblogstechnetmicrosoftcommsrc20170512customer-guidance-for-
wannacrypt-attacks
httpssupportmicrosoftcomen-ushelp2696547how-to-enable-and-disable-
smbv1-smbv2-and-smbv3-in-windows-vista-windows-server-2008-windows-7-
windows-server-2008-r2-windows-8-and-windows-server-2012
httpstechnetmicrosoftcomen-uslibrarysecurityms17-010aspx
Trang 610
3 Giải phaacutep ngăn chặn
31 Đối với maacutey tiacutenh caacute nhacircn
a) Ngăn chặn lacircy nhiễm vagrave vaacute lỗi
- Caacutech ly tất cả caacutec thiết bị sao lưu ra khỏi maacutey tiacutenh caacute nhacircn
- Tắt chế độ hỗ trợ SMBv1 bằng Windows Features (với Windows 7 trở lecircn) hoặc
PowerShell Command (httpssupportmicrosoftcomvi-vnhelp2696547how-to-
enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-vista-windows-server-
2008-windows-7-windows-server-2008-r2-windows-8-and-windows-server-2012 )
Higravenh số 6 Tắt hỗ trợ SMBv1 bằng Windows Features
- Kiểm tra bản vaacute lỗi bằng Windows Update cho hệ điều hagravenh Windows để cập nhật
caacutec bản vaacute lỗi MS17-010 Bản vaacute nagravey được Microsoft phaacutet hagravenh vagraveo 14032017 đối
với caacutec phiecircn bản được hỗ trợ Tugravey theo phiecircn bản hệ điều hagravenh magrave bản vaacute lỗi coacute tecircn
khaacutec nhau như bảng liệt kecirc becircn dưới
Trang 710
Higravenh số 7 Danh saacutech caacutec bản vaacute lỗi coacute vaacute lỗi MS17-010
- Đối với những hệ điều hagravenh Microsoft đatilde thocirci hỗ trợ (XP Vista Server 2003hellip)
người sử dụng coacute thể download bản vaacute lỗi tại link
httpwwwcatalogupdatemicrosoftcomSearchaspxq=KB4012598 do sự quaacute tải
của Microsoft server necircn việc download bản vaacute coacute thể gặp khoacute khăn Vigrave vậy việc lagravem
đầu tiecircn vẫn lagrave tắt chế độ hỗ trợ SMBv1 như ở trecircn
b) Ngăn chặn thực thi matilde độc
- Cập nhật Windows Defender của Windows để giới hạn caacutec tập tin được thực thi
- Cagravei đặt caacutec phần mềm Antivirus coacute cập nhật gần nhất
- Tạo Mutex MsWinZonesCacheCounterMutexA amp
MsWinZonesCacheCounterMutexA0 để ngăn chặn Malware chạy (hai phiecircn bản
đầu tiecircn của Malware sẽ khocircng thực thi khi phaacutet hiện đatilde coacute Mutex -
httpswwwminerva-labscompostimmune-yourself-from-wannacry-ransomware-
with-minervas-free-vaccinator )
32 Đối với hệ thống mạng doanh nghiệp
- Caacutech ly caacutec thiết bị (hệ thống) sao lưu ra khỏi hệ thống mạng doanh nghiệp lagrave việc
lagravem đacircu tiecircn nhất Sau đoacute người quản trị hệ thống necircn sử dụng hệ thống tường lửa
sẵn coacute để khoacutea tất cả caacutec truy cập sử dụng TCP445 137 139 UDP137 138
- Tạm thời disable dịch vụ SMBv1 cho đến khi cập nhật caacutec bản vaacute lỗi cho MS17-010
đầy đủ
Trang 810
- Sử dụng cocircng cụ MSBA (download MSBA tại đacircy httpswwwmicrosoftcomen-
usdownloaddetailsaspxid=7558) hoặc cocircng cụ khaacutec tương tự để kiểm tra lại tigravenh
trạng cập nhật của caacutec bản vaacute lỗi của caacutec maacutey tiacutenh trong toagraven hệ thống Sau đoacute sử
dụng Windows Update để tiến hagravenh cập nhật caacutec bản vaacute lỗi
- Cuối cugraveng cập nhật phần mềm AV vagrave tiến hagravenh queacutet toagraven bộ hệ thống
Higravenh số 8 Giao diện MSBA
- Nếu coacute điều kiện coacute thể kiacutech hoạt chế độ Kill-Switch bằng caacutech giả lập hoặc cho
pheacutep kết nối đến 2 tecircn miền đatilde necircu trong phần 1 của baacuteo caacuteo nagravey
33 Caacutec khuyến caacuteo chung cho người sử dụng
- Khocircng mở caacutec tập tin điacutenh kegravem trong Email coacute nội dung gacircy sự tograve mograve coacute phần mở
rộng rtf caacutec file neacuten coacute mật khẩu kegravem theo
- Cập nhật phiecircn bản Office mới nhất để hạn chế rủi ro tấn cocircng bằng cơ chế xử lyacute
HTA của Microsoft Word
- Khocircng click vagraveo caacutec đường link lạ khocircng rotilde nguồn gốc
- Cập nhật bản mới nhất của phần mềm diệt Virus
- Luocircn cập nhật tất cả caacutec bản vaacute lỗi bảo mật từ Microsoft
- Bật Windows Firewall
Trang 910
4 Thocircng tin liecircn hệ khi gặp sự cố về an toagraven bảo mật thocircng tin
Trung tacircm Ứng cứu Khẩn cấp Maacutey tiacutenh Việt Nam (VNCERT)
- Địa chỉ Tầng 5 Togravea nhagrave 115 Trần Duy Hưng - Phường Trung Hoagrave - Quận Cầu
Giấy Hagrave Nội
- Điện thoại 84436404421 36404424 Fax 84436404425
- Email officevncertvn
Sở Thocircng tin amp Truyền thocircng TPHCM
- Địa chỉ 59 Lyacute Tự Trọng P Bến Ngheacute Quận 1 TPHCM
- Điện thoại 08 3520 2727 Fax (08)35202424 - (08) 39309498
Email stttttphcmgovvn
Chi hội An toagraven Thocircng tin phiacutea Nam (VNISA phiacutea Nam) - Hotline 0906 911 050
- Địa chỉ Tầng 9 Togravea nhagrave Saigon Paragon 03 Nguyễn Lương Bằng PTacircn Phuacute
Quận 7 TPHCM
- Điện thoại 84-8-73 030 309 Fax 84-8-54 108 801
- Email infovnisahcmorgvn
Trang 1010
5 Tagravei liệu tham khảo
wwwthehackernewscom
wwwsecuritylabru
httpswwwendgamecomblogwcrywanacry-ransomware-technical-analysis
httpsgistgithubcomrain-1989428fa5504f378b993ee6efbc0b168
httpskrebsonsecuritycom201705global-wana-ransomware-outbreak-earned-
perpetrators-26000-so-far
httpsblogstechnetmicrosoftcommmpc20170512wannacrypt-ransomware-
worm-targets-out-of-date-systems
httpsblogstechnetmicrosoftcommsrc20170512customer-guidance-for-
wannacrypt-attacks
httpssupportmicrosoftcomen-ushelp2696547how-to-enable-and-disable-
smbv1-smbv2-and-smbv3-in-windows-vista-windows-server-2008-windows-7-
windows-server-2008-r2-windows-8-and-windows-server-2012
httpstechnetmicrosoftcomen-uslibrarysecurityms17-010aspx
Trang 710
Higravenh số 7 Danh saacutech caacutec bản vaacute lỗi coacute vaacute lỗi MS17-010
- Đối với những hệ điều hagravenh Microsoft đatilde thocirci hỗ trợ (XP Vista Server 2003hellip)
người sử dụng coacute thể download bản vaacute lỗi tại link
httpwwwcatalogupdatemicrosoftcomSearchaspxq=KB4012598 do sự quaacute tải
của Microsoft server necircn việc download bản vaacute coacute thể gặp khoacute khăn Vigrave vậy việc lagravem
đầu tiecircn vẫn lagrave tắt chế độ hỗ trợ SMBv1 như ở trecircn
b) Ngăn chặn thực thi matilde độc
- Cập nhật Windows Defender của Windows để giới hạn caacutec tập tin được thực thi
- Cagravei đặt caacutec phần mềm Antivirus coacute cập nhật gần nhất
- Tạo Mutex MsWinZonesCacheCounterMutexA amp
MsWinZonesCacheCounterMutexA0 để ngăn chặn Malware chạy (hai phiecircn bản
đầu tiecircn của Malware sẽ khocircng thực thi khi phaacutet hiện đatilde coacute Mutex -
httpswwwminerva-labscompostimmune-yourself-from-wannacry-ransomware-
with-minervas-free-vaccinator )
32 Đối với hệ thống mạng doanh nghiệp
- Caacutech ly caacutec thiết bị (hệ thống) sao lưu ra khỏi hệ thống mạng doanh nghiệp lagrave việc
lagravem đacircu tiecircn nhất Sau đoacute người quản trị hệ thống necircn sử dụng hệ thống tường lửa
sẵn coacute để khoacutea tất cả caacutec truy cập sử dụng TCP445 137 139 UDP137 138
- Tạm thời disable dịch vụ SMBv1 cho đến khi cập nhật caacutec bản vaacute lỗi cho MS17-010
đầy đủ
Trang 810
- Sử dụng cocircng cụ MSBA (download MSBA tại đacircy httpswwwmicrosoftcomen-
usdownloaddetailsaspxid=7558) hoặc cocircng cụ khaacutec tương tự để kiểm tra lại tigravenh
trạng cập nhật của caacutec bản vaacute lỗi của caacutec maacutey tiacutenh trong toagraven hệ thống Sau đoacute sử
dụng Windows Update để tiến hagravenh cập nhật caacutec bản vaacute lỗi
- Cuối cugraveng cập nhật phần mềm AV vagrave tiến hagravenh queacutet toagraven bộ hệ thống
Higravenh số 8 Giao diện MSBA
- Nếu coacute điều kiện coacute thể kiacutech hoạt chế độ Kill-Switch bằng caacutech giả lập hoặc cho
pheacutep kết nối đến 2 tecircn miền đatilde necircu trong phần 1 của baacuteo caacuteo nagravey
33 Caacutec khuyến caacuteo chung cho người sử dụng
- Khocircng mở caacutec tập tin điacutenh kegravem trong Email coacute nội dung gacircy sự tograve mograve coacute phần mở
rộng rtf caacutec file neacuten coacute mật khẩu kegravem theo
- Cập nhật phiecircn bản Office mới nhất để hạn chế rủi ro tấn cocircng bằng cơ chế xử lyacute
HTA của Microsoft Word
- Khocircng click vagraveo caacutec đường link lạ khocircng rotilde nguồn gốc
- Cập nhật bản mới nhất của phần mềm diệt Virus
- Luocircn cập nhật tất cả caacutec bản vaacute lỗi bảo mật từ Microsoft
- Bật Windows Firewall
Trang 910
4 Thocircng tin liecircn hệ khi gặp sự cố về an toagraven bảo mật thocircng tin
Trung tacircm Ứng cứu Khẩn cấp Maacutey tiacutenh Việt Nam (VNCERT)
- Địa chỉ Tầng 5 Togravea nhagrave 115 Trần Duy Hưng - Phường Trung Hoagrave - Quận Cầu
Giấy Hagrave Nội
- Điện thoại 84436404421 36404424 Fax 84436404425
- Email officevncertvn
Sở Thocircng tin amp Truyền thocircng TPHCM
- Địa chỉ 59 Lyacute Tự Trọng P Bến Ngheacute Quận 1 TPHCM
- Điện thoại 08 3520 2727 Fax (08)35202424 - (08) 39309498
Email stttttphcmgovvn
Chi hội An toagraven Thocircng tin phiacutea Nam (VNISA phiacutea Nam) - Hotline 0906 911 050
- Địa chỉ Tầng 9 Togravea nhagrave Saigon Paragon 03 Nguyễn Lương Bằng PTacircn Phuacute
Quận 7 TPHCM
- Điện thoại 84-8-73 030 309 Fax 84-8-54 108 801
- Email infovnisahcmorgvn
Trang 1010
5 Tagravei liệu tham khảo
wwwthehackernewscom
wwwsecuritylabru
httpswwwendgamecomblogwcrywanacry-ransomware-technical-analysis
httpsgistgithubcomrain-1989428fa5504f378b993ee6efbc0b168
httpskrebsonsecuritycom201705global-wana-ransomware-outbreak-earned-
perpetrators-26000-so-far
httpsblogstechnetmicrosoftcommmpc20170512wannacrypt-ransomware-
worm-targets-out-of-date-systems
httpsblogstechnetmicrosoftcommsrc20170512customer-guidance-for-
wannacrypt-attacks
httpssupportmicrosoftcomen-ushelp2696547how-to-enable-and-disable-
smbv1-smbv2-and-smbv3-in-windows-vista-windows-server-2008-windows-7-
windows-server-2008-r2-windows-8-and-windows-server-2012
httpstechnetmicrosoftcomen-uslibrarysecurityms17-010aspx
Trang 810
- Sử dụng cocircng cụ MSBA (download MSBA tại đacircy httpswwwmicrosoftcomen-
usdownloaddetailsaspxid=7558) hoặc cocircng cụ khaacutec tương tự để kiểm tra lại tigravenh
trạng cập nhật của caacutec bản vaacute lỗi của caacutec maacutey tiacutenh trong toagraven hệ thống Sau đoacute sử
dụng Windows Update để tiến hagravenh cập nhật caacutec bản vaacute lỗi
- Cuối cugraveng cập nhật phần mềm AV vagrave tiến hagravenh queacutet toagraven bộ hệ thống
Higravenh số 8 Giao diện MSBA
- Nếu coacute điều kiện coacute thể kiacutech hoạt chế độ Kill-Switch bằng caacutech giả lập hoặc cho
pheacutep kết nối đến 2 tecircn miền đatilde necircu trong phần 1 của baacuteo caacuteo nagravey
33 Caacutec khuyến caacuteo chung cho người sử dụng
- Khocircng mở caacutec tập tin điacutenh kegravem trong Email coacute nội dung gacircy sự tograve mograve coacute phần mở
rộng rtf caacutec file neacuten coacute mật khẩu kegravem theo
- Cập nhật phiecircn bản Office mới nhất để hạn chế rủi ro tấn cocircng bằng cơ chế xử lyacute
HTA của Microsoft Word
- Khocircng click vagraveo caacutec đường link lạ khocircng rotilde nguồn gốc
- Cập nhật bản mới nhất của phần mềm diệt Virus
- Luocircn cập nhật tất cả caacutec bản vaacute lỗi bảo mật từ Microsoft
- Bật Windows Firewall
Trang 910
4 Thocircng tin liecircn hệ khi gặp sự cố về an toagraven bảo mật thocircng tin
Trung tacircm Ứng cứu Khẩn cấp Maacutey tiacutenh Việt Nam (VNCERT)
- Địa chỉ Tầng 5 Togravea nhagrave 115 Trần Duy Hưng - Phường Trung Hoagrave - Quận Cầu
Giấy Hagrave Nội
- Điện thoại 84436404421 36404424 Fax 84436404425
- Email officevncertvn
Sở Thocircng tin amp Truyền thocircng TPHCM
- Địa chỉ 59 Lyacute Tự Trọng P Bến Ngheacute Quận 1 TPHCM
- Điện thoại 08 3520 2727 Fax (08)35202424 - (08) 39309498
Email stttttphcmgovvn
Chi hội An toagraven Thocircng tin phiacutea Nam (VNISA phiacutea Nam) - Hotline 0906 911 050
- Địa chỉ Tầng 9 Togravea nhagrave Saigon Paragon 03 Nguyễn Lương Bằng PTacircn Phuacute
Quận 7 TPHCM
- Điện thoại 84-8-73 030 309 Fax 84-8-54 108 801
- Email infovnisahcmorgvn
Trang 1010
5 Tagravei liệu tham khảo
wwwthehackernewscom
wwwsecuritylabru
httpswwwendgamecomblogwcrywanacry-ransomware-technical-analysis
httpsgistgithubcomrain-1989428fa5504f378b993ee6efbc0b168
httpskrebsonsecuritycom201705global-wana-ransomware-outbreak-earned-
perpetrators-26000-so-far
httpsblogstechnetmicrosoftcommmpc20170512wannacrypt-ransomware-
worm-targets-out-of-date-systems
httpsblogstechnetmicrosoftcommsrc20170512customer-guidance-for-
wannacrypt-attacks
httpssupportmicrosoftcomen-ushelp2696547how-to-enable-and-disable-
smbv1-smbv2-and-smbv3-in-windows-vista-windows-server-2008-windows-7-
windows-server-2008-r2-windows-8-and-windows-server-2012
httpstechnetmicrosoftcomen-uslibrarysecurityms17-010aspx
Trang 910
4 Thocircng tin liecircn hệ khi gặp sự cố về an toagraven bảo mật thocircng tin
Trung tacircm Ứng cứu Khẩn cấp Maacutey tiacutenh Việt Nam (VNCERT)
- Địa chỉ Tầng 5 Togravea nhagrave 115 Trần Duy Hưng - Phường Trung Hoagrave - Quận Cầu
Giấy Hagrave Nội
- Điện thoại 84436404421 36404424 Fax 84436404425
- Email officevncertvn
Sở Thocircng tin amp Truyền thocircng TPHCM
- Địa chỉ 59 Lyacute Tự Trọng P Bến Ngheacute Quận 1 TPHCM
- Điện thoại 08 3520 2727 Fax (08)35202424 - (08) 39309498
Email stttttphcmgovvn
Chi hội An toagraven Thocircng tin phiacutea Nam (VNISA phiacutea Nam) - Hotline 0906 911 050
- Địa chỉ Tầng 9 Togravea nhagrave Saigon Paragon 03 Nguyễn Lương Bằng PTacircn Phuacute
Quận 7 TPHCM
- Điện thoại 84-8-73 030 309 Fax 84-8-54 108 801
- Email infovnisahcmorgvn
Trang 1010
5 Tagravei liệu tham khảo
wwwthehackernewscom
wwwsecuritylabru
httpswwwendgamecomblogwcrywanacry-ransomware-technical-analysis
httpsgistgithubcomrain-1989428fa5504f378b993ee6efbc0b168
httpskrebsonsecuritycom201705global-wana-ransomware-outbreak-earned-
perpetrators-26000-so-far
httpsblogstechnetmicrosoftcommmpc20170512wannacrypt-ransomware-
worm-targets-out-of-date-systems
httpsblogstechnetmicrosoftcommsrc20170512customer-guidance-for-
wannacrypt-attacks
httpssupportmicrosoftcomen-ushelp2696547how-to-enable-and-disable-
smbv1-smbv2-and-smbv3-in-windows-vista-windows-server-2008-windows-7-
windows-server-2008-r2-windows-8-and-windows-server-2012
httpstechnetmicrosoftcomen-uslibrarysecurityms17-010aspx
Trang 1010
5 Tagravei liệu tham khảo
wwwthehackernewscom
wwwsecuritylabru
httpswwwendgamecomblogwcrywanacry-ransomware-technical-analysis
httpsgistgithubcomrain-1989428fa5504f378b993ee6efbc0b168
httpskrebsonsecuritycom201705global-wana-ransomware-outbreak-earned-
perpetrators-26000-so-far
httpsblogstechnetmicrosoftcommmpc20170512wannacrypt-ransomware-
worm-targets-out-of-date-systems
httpsblogstechnetmicrosoftcommsrc20170512customer-guidance-for-
wannacrypt-attacks
httpssupportmicrosoftcomen-ushelp2696547how-to-enable-and-disable-
smbv1-smbv2-and-smbv3-in-windows-vista-windows-server-2008-windows-7-
windows-server-2008-r2-windows-8-and-windows-server-2012
httpstechnetmicrosoftcomen-uslibrarysecurityms17-010aspx
Recommended