Danh sách tập tin, máy chủ chứa mã độc WannaCry và cách phòng chống

Ngay sau khi xảy ra vụ tấn công mạng tống tiền trên toàn cầu, Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) đã đưa ra danh sách tập tin, máy chủ chứa mã độc WannaCry thực hiện vụ tấn công cũng như khuyến cáo các biện pháp phòng chống rủi ro.

Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (gọi tắt là Trung tâm VNCERT) đã gửi công văn cảnh báo tới các đơn vị chuyên trách về công nghệ thông tin, an toàn thông tin thuộc các khối Trung ương, Bộ, ban, ngành, Sở Thông tin truyền thông và các thành viên mạng lưới cũng như những đơn vị trọng yếu khác; khuyến cáo về việc để phòng ngừa, ngăn chặn việc tấn công của mã độc Ransomware WannaCry (hoặc được biết với các tên khác như: WannaCrypt,WanaCrypt0r 2.0,…) vào Việt Nam.


Công văn nêu rõ: Đây là mã độc rất nguy hiểm, có thể đánh cắp thông tin và mã hóa toàn bộ máy chủ hệ thống đồng thời với các lỗ hổng đã công bố, Tin tặc khai thác và tấn công sẽ gây lên nhiều hậu quả nghiêm trọng khác. Vì vậy, các đơn vị cần theo dõi, ngăn chặn kết nối đến các máy chủ máy chủ điều khiển mã độc WannaCry và cập nhật vào các hệ thống bảo vệ như: IDS/IPS, Firewall … các thông tin nhận dạng như sau:


A. Danh sách các máy chủ điều khiển mã độc (C&C Server)


STT

Địa chỉ IP C&C

STT

Địa chỉ IP C&C

1

128.31.0.39

18

213.239.216.222

2

136.243.176.148

19

213.61.66.116

3

146.0.32.144

20

38.229.72.16

4

163.172.153.12

21

50.7.151.47

5

163.172.185.132

22

50.7.161.218

6

163.172.25.118

23

51.255.41.65

7

171.25.193.9

24

62.138.10.60

8

178.254.44.135

25

62.138.7.231

9

178.254.44.135

26

79.172.193.32

10

178.62.173.203

27

81.30.158.223

11

185.97.32.18

28

82.94.251.227

12

188.138.33.220

29

83.162.202.182

13

188.166.23.127

30

83.169.6.12

14

192.42.115.102

31

86.59.21.38

15

193.23.244.244

32

89.45.235.21

16

198.199.64.217

33

94.23.173.93

17

212.47.232.237

 

 


B. Danh sách tên tập tin

STT

File name

STT

File Name

1

@WanaDecryptor@.exe

6

taskse.exe

2

b.wnry

7

t.wnry

3

c.wnry

8

u.wnry

4

s.wnry

9

Các file với phần mở rộng “.wnry”

5

taskdl.exe

10

Các file với phần mở rộng “.WNCRY”


C. Danh sách mã băm (Hash SHA-256) 

STT

SHA-256

1

ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa

2

c365ddaa345cfcaff3d629505572a484cff5221933d68e4a52130b8bb7badaf9

3

09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa

4

0a73291ab5607aef7db23863cf8e72f55bcb3c273bb47f00edf011515aeb5894

5

428f22a9afd2797ede7c0583d34a052c32693cbb55f567a60298587b6e675c6f

6

5c1f4f69c45cff9725d9969f9ffcf79d07bd0f624e06cfa5bcbacd2211046ed6

7

62d828ee000e44f670ba322644c2351fe31af5b88a98f2b2ce27e423dcf1d1b1

8

72af12d8139a80f317e851a60027fdf208871ed334c12637f49d819ab4b033dd

9

85ce324b8f78021ecfc9b811c748f19b82e61bb093ff64f2eab457f9ef19b186

10

a1d9cd6f189beff28a0a49b10f8fe4510128471f004b3e4283ddc7f78594906b

11

a93ee7ea13238bd038bcbec635f39619db566145498fe6e0ea60e6e76d614bd3

12

b43b234012b8233b3df6adb7c0a3b2b13cc2354dd6de27e092873bf58af2693c

13

eb47cd6a937221411bb8daf35900a9897fb234160087089a064066a65f42bcd4

14

24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c

15

2c2d8bc91564050cf073745f1b117f4ffdd6470e87166abdfcd10ecdff040a2e

16

7a828afd2abf153d840938090d498072b7e507c7021e4cdd8c6baf727cafc545

17

a897345b68191fd36f8cefb52e6a77acb2367432abb648b9ae0a9d708406de5b

18

fb0b6044347e972e21b6c376e37e1115dab494a2c6b9fb28b92b1e45b45d0ebc

19

9588f2ef06b7e1c8509f32d8eddfa18041a9cc15b1c90d6da484a39f8dcdf967

20

b43b234012b8233b3df6adb7c0a3b2b13cc2354dd6de27e092873bf58af2693c

21

4186675cb6706f9d51167fb0f14cd3f8fcfb0065093f62b10a15f7d9a6c8d982

22

09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa


Nếu phát hiện cần nhanh chóng cô lập vùng/máy đã phát hiện và báo về trung tâm.


Được biết, trước đó, Trung tâm VNCERT cũng đã có văn bản số 80/VNCERT-ĐPƯC, ngày 9/3/2016 và văn bản 123/VNCERT-ĐPƯC, ngày 24/4/2017, khuyến cáo, các đơn vị về mã độc.

 

Văn bản 80/VNCERT-ĐPƯC nêu rõ: Trong tuần đầu tháng 03/2016, Trung tâm VNCERT ghi nhận cách thức tấn công mới của tin tặc nhằm vào các cơ quan tổ chức có sử dụng các hòm thư điện tử nội bộ. Với cách tấn công mới này, tin tặc sẽ giả mạo một địa chỉ điện tử có đuôi là @tencongty.com.vn để gửi thư điện tử có kèm mã độc đến các người dùng trong công ty đó.
 

Để qua mặt các hệ thống dò quét mã độc, các mã độc thường được nén lại dưới định dạng .zip hoặc .zar. Qua phân tích của chuyên gia VNCERT với một sự cố cho thấy, tệp tin chứa mã độc .zip chứa bên trong các tệp tin thực thi như.js (đây là một tệp tin Javascript) hoặc tệp tin văn bản như.doc,.xls..., khi người dùng mở tập tin này mã độc sẽ được kích hoạt và tự động tải tập tin mã độc mã hóa tài liệu và tự thực thi trên máy.


Với trường hợp mã độc mã hóa tài liệu thì mã độc sẽ tiến hành mã hoá nội dung toàn bộ các dữ liệu trên máy nạn nhân với thuật toán mã hóa mạnh để không thể giải mã được với mục đích bắt cóc dữ liệu trên máy để tống tiền nạn nhân. Với việc giả mạo chính các địa chỉ thư điện tử của đơn vị sẽ làm cho người dùng khó phát hiện các thư giả mạo dẫn đến số lượng các máy tính bị lây nhiễm mã độc mã hóa dữ liệu có thể tăng cao.

 

Còn tại văn bản 123/VNCERT-ĐPƯC, Trung tâm cũng khuyến cáo khá cụ thể: Ngày 14/4/2017, nhóm tin tặc có tên gọi Shadow Brokers tuyên bố đã đánh cắp được một bộ công cụ gián điệp tấn công hệ thống nhằm khai thác dữ liệu của Cơ quan An ninh mạng quốc gia Hoa Kỳ (NSA). Do không đạt được thỏa thuận về tài chính để đánh đổi bộ công cụ, nhóm tin tặc Shadow Brokers đã tung lên mạng thông qua website chuyên về mã nguồn mở Github.


Bộ công cụ bao gồm các chương trình nhị phân đã được biên dịch để khai thác bất kỳ hệ thống nào sử dụng các phiên bản của hệ điều hành Windows (trừ Windows 10 và Windows Server 2016) thông qua các lỗ hổng chưa được khai thác. Mục tiêu của các công cụ tấn công này nhằm vào các tổ chức tiền tệ, ngân hàng lớn, phần đông có trụ sở tại khu vực Trung Đông như UAE, Kuwait, Qatar, Palestine và Yemen. Theo báo cáo đánh giá của các chuyên gia an toàn thông tin mạng cho thấy điều này có gây ra nguy cơ mất an toàn thông tin trên diện rộng đa quốc gia, trong đó có Việt Nam.


Các phương thức tấn công khai thác dữ liệu hệ thống được đưa ra như sau:


Một trong các công cụ Hacking được công bố gọi là Eternalromance, chứa một giao diện dễ sử dụng và khai thác hệ thống Window thông qua các cổng TCP 445 và 139. Các lỗ hổng của hệ điều hành Window được công bố gồm: EternalBlue (MS17-010), EmeraldThread (MS10-06), EternalChampion (CVE-2017-0146 và CVE-2017-0147), ErraticGopher (lỗ hổng trên Windows Vista - không được hỗ trợ), EsikmoRoll (MS14-068), EternalRomance (MS17-010), EducatedScholar (MS09-050), EternalSynergy (MS17-010), Eclipsed Wing (MS08-067).


Bên cạnh đó, nhóm tin tặc Shardow Brokers còn khai thác lỗ hổng zero-day (CVE-2016-6366) ExtraBacon qua giao thức SNMP - giao thức tầng ứng dụng trong phần mềm Cisco ASA cho phép tin tặc không cần xác thực từ xa để khởi động lại hệ thống hoặc thực thi mã tùy ý, từ đó chiếm quyền kiểm soát thiết bị. Một hành vi tấn công hệ thống của Cisco cũng được khai thác thông qua tệp tin giải mã lưu lượng mạng riêng ảo (VPN) Cisco PIX và cấy mã độc vào bo mạch chủ firmware nhằm che dấu hành vi và xóa dấu vết.


Để phòng tránh các rủi ro mất an toàn thông tin mạng liên quan đến các công cụ tấn công của nhóm tin tặc Shardow Broker đưa ra, Trung tâm VNCERT khuyến cáo các đơn vị, doanh nghiệp sử dụng các biện pháp sau:


- Đối với hệ thống sử dụng hệ điều hành Windows (từ Windows Server 2000 tới Windows Server 2012, Windows XP, Windows Vista, Windows 7, Windows 8,…) nhanh chóng rà soát và cập nhật các bản vá lỗi được cảnh báo trên tại website chính thức của Mircosoft;


- Đối với hệ thống sử dụng các thiết bị của Cisco, cập nhật các bản vá lỗi liên quan đến lỗ hổng zero - day (CVE-2016-6366). Để bảo vệ dữ liệu an toàn, máy tính nên được bảo vệ đằng sau Router hoặc Firewalls. Trang bị các hệ thống phòng chống tấn công mạng như IPS/IDS, Firewalls...;


- Cập nhật phiên bản mới nhất của các chương trình diệt Virus để phát hiện và xử lý các mã thực thi do tin tặc tấn công vào hệ thống;


- Thực hiện sao lưu dữ liệu định kỳ: Sử dụng các ổ đĩa lưu trữ ngoài như ổ cứng cắm ngoài, ổ đĩa USB để lưu trữ các dữ liệu quan trọng trong máy tính. Sau khi sao lưu xong đưa ra cất giữ riêng và không kết nối vào internet.


PT/Báo Tin Tức
Ai là 'người hùng' ngăn chặn phần mềm độc hại WannaCry lây lan?
Ai là 'người hùng' ngăn chặn phần mềm độc hại WannaCry lây lan?

Một vụ tấn công mạng trên diện rộng thông qua một chương trình mã độc có tên WannaCry hôm 12/5 khiến máy tính tại gần 100 quốc gia trở thành nạn nhân. Vậy ai là người đã phát hiện và ngăn chặn thành công để mã độc này không tiếp tục lây lan?

Chia sẻ:

doanh nghiệp - Sản phẩm - Dịch vụ Thông cáo báo chí Rao vặt

Các đơn vị thông tin của TTXVN