Cách ngăn ransomware WannaCry hiệu quả nhất cho hệ điều hành từ Windows 2000 tới Windows 10

Đóng cổng Port 445 trên Windows 2000/XP/2003 đến Windows 10 để chặn ransomware WannaCry
  • 1 Đánh giá

Ransomware WannaCry đang trở thành đề tài sôi nổi nhất trên mạng Internet suốt những ngày vừa qua. Bởi chỉ trong vài ngày, mã độc tống tiền này đã nhanh chóng tấn công máy tính trên toàn Thế giới, gây ra những thiệt hại rất lớn cả về người và của. Thậm chí một Quốc gia nhỏ như Việt Nam cũng nằm trong Top 20 Quốc gia chịu ảnh hưởng lớn nhất do Ransomware tống tiền WannaCry gây nên.

Cách chặn WannaCry

Tuy cách thức tấn công không quá mới mẻ và tinh vi, xong việc WannaCry lựa chọn tập trung tấn công máy tính thông qua lỗ hổng Windows SMB Server đã khiến người dùng sử dụng hệ điều hành Windows rất hoang mang. Đặc biệt, các hệ điều hành Windows 2000, Windows XP và Windows Server 2003 lại sử dụng port 445 TCP dùng cho dịch vụ SMB truyền qua TCP nên đây sẽ là những miếng mồi béo bở cho Ransomware tấn công.

Đóng cổng 445 để ngăn ransomware WannaCry

Một trong những cách mang lại hiệu quả trực tiếp trong việc ngăn chặn Ransomware WannaCry lây nhiễm vào máy tính là đóng cổng 445 trên máy tính. Cách này có thể áp dụng với các hệ điều hành khác nhau, trên nhiều máy tính, các bạn cùng tham khảo cách bảo vệ máy tính khỏi WannaCry này trong bài hướng dẫn dưới đây.

CHÚ Ý:

Ngoài việc đóng cổng 445 thì người dùng cũng nên thực hiện các phương pháp tự bảo vệ khác để tránh bị tấn công bởi WannaCry.

Nói qua một chút, giao thức SMB (Server Message Block) là phương tiện được sử dụng để chia sẻ dữ liệu trên hệ thống Windows và giao thức này sử dụng các port thông dụng như: 137, 138 (UDP) và 139 (TCP).

Giao thức SMB

Chia sẻ qua mạng LAN có nhiều tiện dụng trong mạng văn phòng, nội bộ một công ty hay trường học, bệnh viện... Nhưng nó cũng ẩn chứa nguy hiểm tiềm tàng khi mọi thông tin về domain, tên máy tính... đều dễ dàng bị nhận diện và khai thác thông qua NetBIOS và Port - nơi thường xuyên bị tấn công.

Mạng nội bộ -LAN

Nếu bạn đang sử dụng máy tính có gắn nhiều NIC card -multi-homed machine, tốt nhất bạn nên vô hiệu hóa (disable) hoạt động của NetBIOS trên mỗi Network card, hoặc modem quay số kết nối Internet -Dial-Up Connection để đảm bảo an toàn cho mạng nội bộ của mình.

Chúng ta có thể tiến hành thao tác này bằng cách can thiệp vào TCP/IP properties của những Network card nào không thuộc mạng nội bộ - LAN. Cách thực hiện việc disable NetBIOS over TCP/IP như sau:

Trên Windows 2000/XP/2003:

Bước 1: Từ giao diện chính của máy tính, nhấn đúp chuột trái vào biểu tượng My Network Places, sau đó tiếp tục chuột phải vào Local Area Connection rồi chọn Properties.

Properties

Bước 2: Cửa sổ mới xuất hiện, chọn xuống mục Internet Protocol (TCP/IP) và click vào Properties bên dưới.

Local network

Bước 3: Chuột trái vào Advanced.

DNS

Chọn thẻ WINS sau đó tùy ý tick vào các mục:

  • Enable NetBIOS over TCP/IP: Bật
  • Disable NetBIOS over TCP/IP: Tắt

Chọn tiếp OK để lưu lại thay đổi này.

WINS

Sau thao tác trên, thay đổi sẽ tự động được thực hiện và lưu vào sự kiện máy tính (events log). Tuy nhiên, cũng có một chú ý vô cùng quan trọng, đó là chúng ta không bao giờ được tự ý xóa TCP/IP NetBIOS Helper Service. Bởi đơn giản, nếu xóa hay tắt đi, events log sẽ không ghi nhận lại thiết lập mà chúng ta đã thực hiện.

Có thể kiểm tra nhanh tình trạng của dịch vụ này bằng cách:

  • Mở hộp thoại Run.
  • Nhập từ khóa Services.msc rồi Enter.
  • Tìm và kiểm tra mục TCP/IP NetBIOS Helper, nếu là Started - nghĩa là nó đang hoạt động.

Services

Làm thế nào để đóng cổng 445?

Bước 1: Mở hộp thoại Run rồi nhập từ khóa Regedit vào, sau đó OK.

Bước 2: Tại Registry Editor, tìm theo đường dẫn

HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Services / NetBT / Parameters.

Bước 3: Chuột trái vào Edit / New / DWORD (32bit) Value, sau đó đặt tên cho khóa mới tạo là TransportBindName.

Registry

Bước 4: Click đúp vào đó và xóa giá trị trong trường Value data đi, để trống rồi OK.

Edit String

Bước 5: Khởi động lại máy tính rồi kiểm tra lại bằng cách mở cửa sổ lệnh cmd (CTRL + R / nhập cmd rồi Enter), sau đó nhập lệnh netstat -an.

Đây là cửa sổ lệnh trước khi tiến hành vô hiệu hóa port 445, chúng ta có thể thấy mục ProtoLocal Address0.0.0.0:445.

Cmd

Còn đây là giao diện sau khi đã tắt thành công.

Cửa sổ lệnh

Nếu thấy máy tính không còn ở port 445 nữa nghĩa là đã ok. Trong thời điểm này, ransomware WannaCry đang thực sự là mối đe dọa lớn trên toàn Thế giới, chính vì vậy, việc tự bảo vệ mình trước nguy cơ lây nhiễm là điều vô cùng quan trọng. Đó là chưa kể tới việc, một máy dính WannaCry thì sẽ kéo theo cả hệ thống máy tính trong mạng nội bộ đó.

Cách phòng chống WannaCry Ransomware khác

  • Cài đặt bản cập nhật bảo mật Windows mới nhất trên tất cả hệ thống Windows.
  • Tắt phiên bản 1 của SMB (SMBv1) trong tên miền Windows hoặc toàn bộ hệ thống Windows khi kết nối mạng.
  • Đừng chặn tên miền www[.]Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. Không giống như các tên miền khác, nó chặn kích hoạt virus mà malware mong đợi nhận phản hồi hợp lệ từ nó.
  • Do tên miền trên được kiểm soát bởi các nhà nghiên cứu, không phải tội phạm, bạn có thể để truy cập từ các hệ thống bị lây nhiễm tới nó qua mạng của bạn.
  • Nếu không thể chọn cách trên, tạo vùng DNS cho tên miền này và trỏ nó tới máy chủ web bên ngoài mà có thể trả về HTTP hợp lệ. Những ai đang dùng mạng có proxy không minh bạch cũng nên sử dụng lựa chọn này bởi malware khó hoạt động hiệu quả qua proxy. Do đó, nó sẽ không bao giờ nhận được phản hồi hợp lệ.

Chúc các bạn thực hiện thành công!

  • 487 lượt xem
Cập nhật: 05/08/2020
0 Bình luận
Sắp xếp theo