WannaCry được đánh giá là một ransomware nguy hiểm nhất mà thế giới từng chứng kiến. Tại bài viết này hướng dẫn cách thức để ngăn ngừa loại virus cực kỳ nguy hiểm này.
I. Cập
nhật vá lỗi
1. Đối với Windows 7/10: tải về bản vá lỗi tại
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx hoặc thông qua tính năng Windows Update để tự
động cài đặt bản vá này (trong Control Panel).
2. Đối với Windows XP/Server 2003/8: (MS đã ngừng
hỗ trợ nên không update trực tiếp được) tải về và cài đặt bản vá lỗi này tại:
Windows Server 2003 SP2 x64
Windows Server 2003 SP2 x86
Windows XP SP2 x64
Windows XP SP3 x86
Windows XP Embedded SP3 x86
Windows 8 x86
Windows 8 x64
II. Ngoài
các bản vá lỗi chính thức từ Microsoft cũng cần phải thực hiện các cách dưới
đây để ngăn ngừa sự lây lan của WannaCry
3. Disable
SMBv1
Windows 8 and Windows Server 2012, dùng lệnh
sau:
Set-SmbServerConfiguration -EnableSMB1Protocol
$false
Windows 7, Windows Server 2008 R2, Windows
Vista, and Windows Server 2008, các bạn dùng lệnh sau:
Set-ItemProperty-Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"
SMB1 -Type DWORD -Value 0 -Force
4. Lọc,
chặn hoặc đóng các cổng 445/137/138/139
4.1. Dùng
Firewall để chặn cổng
4.1.1. Đối với hệ thống mạng không sử dụng dịch
vụ chia sẻ file giữa máy trạm và máy chủ. Đặt luật Firewall cấm sử dụng dịch vụ cổng TCP, UDP 137, 138, 139,
445
4.1.2. Máy tính cá nhân: Sử dụng Windows Firewall cấm dịch vụ cổng
TCP, UDP 137, 138, 139, 445
Vào Windows Firewall--> Advanced
settings--> Inbound Rules--> phải chuột chọn New Rule-->Port –
Next--> TCP – Specific local port: 137, 138, 139, 445 - Next --> Block the connection -->
Next--> Đặt tên luật-->Finish
Làm tương tự với UDP
4.2. Có thể dùng cách khác để đóng port 445 như sau, các cổng khác làm
tương tự
Click "Start", "Run", nhập
"regedit" để mở registry.
Điều hướng tới
registry key "HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters".
Chọn "Parameters" New Right
"DWORD Value."
Đổi tên DWORD value là
"SMBDeviceEnabled"
Click chuột phải "SMBDeviceEnabled"
chọn "Edit" in the "numerical data", "0"
Sau đó restart lại máy tính, kiểm tra xem đã
đóng cổng 445 chưa bằng lệnh:
netstat -an | findstr 445
4.3. Dùng
tool check: Hiện tại,
BKAV đã công bố chính thức công cụ để kiểm tra Wanna Cry. Công cụ giúp người sử
dụng quét xem máy tính có đang bị nhiễm Wanna Crypt không. Quan trọng hơn, công
cụ này có thể kiểm tra và cảnh báo nếu máy tính có chứa lỗ hổng EternalBlue – lỗ
hổng mà Wanna Crypt đang khai thác để xâm nhập máy tính. Tải về trên trang bkav.com.vn
5. Luôn
backup lại các dữ liệu quan trọng
6. Không
mở bất kỳ một đường link lạ, một file đáng ngờ. Không truy cập vào các website
độc hại
UPDATE:
các hàm trong WannaCry ransomware có thể chạy thông qua Wine (phần mềm tạo môi
trường Windows trong các phiên bản Linux), do đó nếu bạn là một người dùng
Linux, bạn hãy cẩn trọng!