1. Chào mừng bạn tới Diễn đàn Download Game Offline ChiaSeIT.Vn. Nếu đây là lần đầu tiên bạn ghé thăm diễn đàn. Bạn phải đăng ký trước, mới có thể sử dụng các tính năng và cập nhật bài viết mới từ trang chủ, nhấp vào liên kết đăng ký ở trên để bắt đầu

Hướng dẫn cách diệt và phòng chống mã độc Ransom.WannaCry

Thảo luận trong 'Thủ thuật - Hướng dẫn phần mềm' bắt đầu bởi Mako_Sama, 16 Tháng năm 2017.

Trạng thái chủ đề:
Không mở trả lời sau này.
  1. Mako_Sama

    Mako_Sama Hội viên Chiaseit.vn

    Bài viết:
    183
    Đã được thích:
    51
    Điểm thành tích:
    17
    MY COMPUTER
    HĐH:
    Windows 7
    CPU:
    Core i7-6950X
    RAM:
    32 GB DDR4
    VGA:
    GF GTX 1080
    1/Thông tin cơ bản :
    - Tên : WannaCry
    - Phát hiện : 12/05/2017
    - Cập nhật biến thể : 15/05/2017
    - Dạng mã độc : Trojan , Worm
    - Khả năng lây nhiễm : Cao
    - Hệ Điều Hành : Microsoft Windows
    2/Dấu hiệu :
    - Mã độc này sẽ thông báo cho người dùng là dữ liệu của người dùng đã bị khóa và yêu cầu đòi tiền chuộc là 300 $ đến 600 $ bằng bitcoin nếu không thì dữ liệu sẽ bị xóa hoàn toàn
    - Hình nền của máy tính cũng sẽ bị thay đổi
    - Sau khi lây nhiễm virus sẽ tạo ra các file sau :
    %SystemDrive%\ProgramData\[RANDOM_STRING]\tasksche.exe
    %SystemDrive%\Intel\[RANDOM_STRING]\tasksche.exe [PATH_TO_RANSOMWARE]\!WannaDecryptor!.exe
    [PATH_TO_RANSOMWARE]\c.wry
    [PATH_TO_RANSOMWARE]\f.wry
    [PATH_TO_RANSOMWARE]\m.wry
    [PATH_TO_RANSOMWARE]\r.wry
    [PATH_TO_RANSOMWARE]\t.wry
    [PATH_TO_RANSOMWARE]\u.wry
    [PATH_TO_RANSOMWARE]\TaskHost
    [PATH_TO_RANSOMWARE]\00000000.eky
    [PATH_TO_RANSOMWARE]\00000000.pky
    [PATH_TO_RANSOMWARE]\00000000.res
    %Temp%\0.WCRYT
    %Temp%\1.WCRYT
    %Temp%\2.WCRYT
    %Temp%\3.WCRYT
    %Temp%\4.WCRYT
    %Temp%\5.WCRYT
    %Temp%\hibsys.WCRYT
    %UserProfile%\Desktop\!WannaCryptor!.bmp
    C:\Intel\zirjvfpqmgcm054\TaskData\Tor\taskhsvc.exe
    C:\Intel\zirjvfpqmgcm054\TaskData\Tor\tor.exe
    C:\Intel\zirjvfpqmgcm054\taskdl.exe
    C:\Intel\zirjvfpqmgcm054\tasksche.exe
    C:\Intel\zirjvfpqmgcm054\taskse.exe
    C:\Intel\zirjvfpqmgcm054\@WanaDecryptor@.exe
    C:\Intel\zirjvfpqmgcm054\msg\m_bulgarian.wnry
    C:\Intel\zirjvfpqmgcm054\msg\m_chinese (simplified).wnry
    C:\Intel\zirjvfpqmgcm054\msg\m_chinese (traditional).wnry
    C:\Intel\zirjvfpqmgcm054\msg\m_croatian.wnry
    C:\Intel\zirjvfpqmgcm054\msg\m_czech.wnry
    C:\Intel\zirjvfpqmgcm054\msg\m_danish.wnry
    C:\Intel\zirjvfpqmgcm054\msg\m_dutch.wnry
    C:\Intel\zirjvfpqmgcm054\msg\m_english.wnry
    C:\Intel\zirjvfpqmgcm054\msg\m_filipino.wnry
    C:\Intel\zirjvfpqmgcm054\msg\m_finnish.wnry
    C:\Intel\zirjvfpqmgcm054\msg\m_french.wnry
    C:\Intel\zirjvfpqmgcm054\msg\m_german.wnry
    C:\Intel\zirjvfpqmgcm054\msg\m_greek.wnry
    C:\Intel\zirjvfpqmgcm054\msg\m_indonesian.wnry
    C:\Intel\zirjvfpqmgcm054\msg\m_italian.wnry
    C:\Intel\zirjvfpqmgcm054\msg\m_japanese.wnry
    C:\Intel\zirjvfpqmgcm054\msg\m_korean.wnry
    C:\Intel\zirjvfpqmgcm054\msg\m_latvian.wnry
    C:\Intel\zirjvfpqmgcm054\msg\m_norwegian.wnry
    C:\Intel\zirjvfpqmgcm054\msg\m_polish.wnry
    C:\Intel\zirjvfpqmgcm054\msg\m_portuguese.wnry
    C:\Intel\zirjvfpqmgcm054\msg\m_romanian.wnry
    C:\Intel\zirjvfpqmgcm054\msg\m_russian.wnry
    C:\Intel\zirjvfpqmgcm054\msg\m_slovak.wnry
    C:\Intel\zirjvfpqmgcm054\msg\m_spanish.wnry
    C:\Intel\zirjvfpqmgcm054\msg\m_swedish.wnry
    C:\Intel\zirjvfpqmgcm054\msg\m_turkish.wnry
    C:\Intel\zirjvfpqmgcm054\msg\m_vietnamese.wnry
    C:\Intel\zirjvfpqmgcm054\b.wnry (copy of @WanaDecryptor@.bmp)
    C:\Intel\zirjvfpqmgcm054\c.wnry
    C:\Intel\zirjvfpqmgcm054\f.wnry
    C:\Intel\zirjvfpqmgcm054\r.wnry (copy of @Please_Read_Me@.txt)
    C:\Intel\zirjvfpqmgcm054\s.wnry
    C:\Intel\zirjvfpqmgcm054\t.wnry
    C:\Intel\zirjvfpqmgcm054\u.wnr
    - Registry Key của mã độc :
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Update Task Scheduler" = ""[PATH_TO_RANSOMWARE]\[RANSOMWARE_EXECUTABLE]" /r"
    HKEY_LOCAL_MACHINE\SOFTWARE\WannaCryptor\"wd" = "[ PATH_TO_RANSOMWARE]
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”zirjvfpqmgcm054” = ""C:\Intel\zirjvfpqmgcm054\tasksche.exe""
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\zirjvfpqmgcm054\Security\"Security” = “[HEX_VALUE]”
    HKEY_LOCAL_MACHINE\SOFTWARE\WannaCryptor\"wd" = "[PATH_TO_RANSOMWARE ]"
    HKEY_CURRENT_USER\Control Panel\Desktop\"Wallpaper" = %UserProfile%\Desktop\!WannaCryptor!.bmp
    3/Lổ hổng bảo mật bị khai thác để tấn công :
    - Microsoft Windows SMB Server CVE-2017-0144 Remote Code Execution Vulnerability
    4/Cách diệt mã độc :
    - Tắt System Restore
    - Chạy phần mềm diệt virus hiện tại trên máy của bạn (đã được cập nhật) trong chế độ safe mode của hệ điều hành , quét toàn bộ hệ thống
    - Sau khi quét xong , vào trong registry của máy tính để xóa các key của mã độc (xem các key của nó tại mục dấu hiệu)
    - Cuối cùng quét lại lần nữa để đảm bảo hệ thống sạch bóng mã độc
    5/Phòng chống tái lây nhiễm :
    Nhanh chóng cập nhật bản vá lỗi bảo mật khẩn cấp từ Microsoft :

    - Windows XP SP3 : http://download.windowsupdate.com/d..._eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe
    - Windows Vista :
    x86 : http://download.windowsupdate.com/d..._13e9b3d77ba5599764c296075a796c16a85c745c.msu
    x64 : http://download.windowsupdate.com/d..._6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
    - Windows 7 :
    x86 : http://download.windowsupdate.com/d..._6bb04d3971bb58ae4bac44219e7169812914df3f.msu
    x64 : http://download.windowsupdate.com/d..._2decefaa02e2058dcd965702509a992d8c4e92b3.msu
    - Windows 8 :
    x86 : http://download.windowsupdate.com/c..._a0f1c953a24dd042acc540c59b339f55fb18f594.msu
    x64 : http://download.windowsupdate.com/c..._f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu
    - Windows 8.1 :
    x86 : http://download.windowsupdate.com/c..._e118939b397bc983971c88d9c9ecc8cbec471b05.msu
    x64 : http://download.windowsupdate.com/c..._5b24b9ca5a123a844ed793e0f2be974148520349.msu
    - Windows 10 :
    Version 1511 x86 : http://download.windowsupdate.com/c..._f997cfd9b59310d274329250f14502c3b97329d5.msu
    Version 1511 x64 : http://download.windowsupdate.com/c..._7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu
    Version 1607 x86 : http://download.windowsupdate.com/c..._8b376e3d0bff862d803404902c4191587afbf065.msu
    Version 1607 x64 : http://download.windowsupdate.com/d..._ddc8596f88577ab739cade1d365956a74598e710.msu
    - Các phiên bản Windows 10 khác :
    x86 : http://download.windowsupdate.com/c..._8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu
    x64 : http://download.windowsupdate.com/c..._e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu
    - Windows Server 2008 :
    x86 : http://download.windowsupdate.com/d..._13e9b3d77ba5599764c296075a796c16a85c745c.msu
    x64 : http://download.windowsupdate.com/d..._6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
    - Windows Server 2008 R2 :
    x64 : http://download.windowsupdate.com/d..._2decefaa02e2058dcd965702509a992d8c4e92b3.msu
    - Windows Server 2012 :
    http://download.windowsupdate.com/c..._b14951d29cb4fd880948f5204d54721e64c9942b.msu
    - Windows Server 2012 R2 :
    http://download.windowsupdate.com/c..._5b24b9ca5a123a844ed793e0f2be974148520349.msu
    - Windows Server 2016 :
    http://download.windowsupdate.com/d..._ddc8596f88577ab739cade1d365956a74598e710.msu


    Chuyên mục An Toàn Thông Tin của diễn đàn Chiaseit với chủ đề Hướng dẫn cách diệt và phòng chống mã độc Ransom.WannaCry đến đây là hết , cảm ơn các bạn đã theo dõi bài viết . Chúc các bạn an toàn khi sử dụng máy tính
     
    MaouZunGuen, ThịnhĐỗ, Kun Zu1 bạn khác thich bài này.
Trạng thái chủ đề:
Không mở trả lời sau này.

Chia sẻ trang này