Hai ngày nay, mã độc có tên là WannaCry đã tấn công vào các máy tính với mục tiêu mã hóa dữ liệu để đòi tiền chuộc, tác động tới nhiều tổ chức, cá nhân trên phạm vi toàn cầu.Bạn đang xem: Smb:cve-2017-0144 là gì

chi tiết mã độc WannaCry (hoặc có tên gọi khác là WannaCrypt, WanaCrypt0r 2.0) khai thác lỗ hổng trên hệ điều hành Windows của Microsoft (MS17-010 – “ETERNALBLUE”) có liên quan tới các công cụ khai thác được công bố bởi nhóm Shadow Brokers dùng bởi NSA trong tháng 3/2017 vừa qua.

Bạn đang xem: Smb:cve-2017-0144 là gì

Asianaairlines.com.vn đưa ra một vài tổng hợp các bước cần thực hiện cho hệ thống cho các tổ chức, công ty như sau:

Các bước khắc phục chung:

+ Cập nhật ngay các phiên bản hệ điều hành windows đang dùng. Hoặc nâng cấp máy trạm lên Windows 10https://technet.microsoft.com/…/libr…/security/ms17-010.aspx

+ Riêng đối với các máy tính dùng Windows XP, dùng bản cập nhật mới nhất dành riêng tại:https://www.microsoft.com/en-us/download/details.aspx…+ Đối với tổ chức, công ty, đặc biệt là với các quản trị viên hệ thống cần phải kiểm tra ngay lập tức các máy chủ và tạm thời khóa (block) các dịch vụ đang dùng các cổng 445/137/138/139.

Hoặc theo hướng dẫn link sau để tắt dịch vụ share SMB trên máy windows

https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

+ Cập nhật cơ sở dữ liệu mới cho các máy chủ/ máy trạm cài đặt phần mềm bản quyền Antivirus Endpoint như TrendMicro/Symantec

+ Các tổ chức, công ty tận dụng các giải pháp đảm bảo an toàn thông tin đang có sẵn trong tổ chức như Firewall, IDS/IPS, SIEM…để theo dõi, giám sát và bảo vệ hệ thống trong thời điểm này.

Danh sách IP ,Domain, Hash dùng bởi WannaCry

IP Address:Port
197.231.221.221:9001	50.7.161.218:9001
128.31.0.39:9191	217.79.179.177:9001
149.202.160.69:9001	213.61.66.116:9003
46.101.166.19:9090	212.47.232.237:9001
91.121.65.179:9001	81.30.158.223:9001
2.3.69.209:9001	79.172.193.32:443
146.0.32.144:9001	38.229.72.16:443

Hãng

 

Nhóm danh mục

 

Khuyến cáo

 

TrendMicro

 

AV/APT/Web& Email Security

Thông tin chi tiết về loại mã độc này trên website của TrendMicro.

Xem thêm: Tại Sao Trump Muốn Trục Xuất Người Việt Tỵ Nạn Chiến Tranh, Lời Bài Hát Vì Sao Thế

http://blog.trendmicro.com/…/massive-wannacrywcry-ransomwa…/

Cấu hình các danh mục để đối phó với ransomware theo KB:

https://success.trendmicro.com/solution/1112223Với OfficeScan từ phiên bản 11SP1, cần vào cấu hình mục Behavior Monitoring.

Phiên bản OfficeScan 10.6 trở xuống đã không còn được hỗ trợ, vì thế vui lòng nâng cấp lên phiên bản mới hơn theo hướng dẫn bên dưới để đảm bảo hệ thống được an toàn:– Upgrade path – Những version nào khả năng upgrade lên OfficeScan XG:https://success.trendmicro.com/solution/1115393

– Backup trước khi nâng cấp:https://success.trendmicro.com/solution/1039284

– Tối ưu hóa các tính năng anti-malware sau khi nâng cấphttps://success.trendmicro.com/solution/1054115

Kích hoạt tính năng chống virus mã hóa dữ liệu (ransomware)https://success.trendmicro.com/solution/1111377Về chi tiết, xin vui lòng đọc kỹ và làm theo các hướng dẫn trong link bên dưới để đảm bảo hệ thống được an toàn: https://success.trendmicro.com/solution/1117391

 

 

FireEye

APT(Web, Email, Enpoint) FireEye khuyến cáo các bản update như sau:

Trên giải pháp Endpoint HX(từ phiên bản 3.0 trở lên đã có tính năng chặn các ransome ware):

• Exploit Guard

• AV Alerts if using Beta/Alpha BitDefender Integration

• WMIC SHADOWCOPY DELETE (METHODOLOGY)

• WANNACRY RANSOMWARE (FAMILY

Trên giải pháp Network NX (từ phiên bản security content 600.18 trở lên):

• Trojan.SinkholeMalware (khi phát hiện callback dùng domain và IP đã được cập nhật là dòng họ Ransomware sẽ hiện thị Alert với tên là Trojan.SinkholeMalware)

 

Pala Alto Networks

 

NG-Firewall

Thông tin chi tiết về loại mã độc này trên website của Palo Alto Networks:

một vài Best Practice để phòng chống Ransomware từ Palo Alto:

https://live.paloaltonetworks.com/t5/Featured-Articles/Best-Practices-for-Ransomware-Prevention/ta-p/74148

chi tiết đối với dòng WannaCry:

Cập nhật bản update security content 698 từ PAN OS 5.0 trở lên với Threat Prevention bao gồm các lỗ hổng (CVE-2017-0144 – MS17-010 – CVE-2017-0146)

 

Tenable

 

Vulnerability Manager/Scanner

Thông tin chi tiết về loại mã độc này trên website của Tenable

• http://www.tenable.com/blog/wannacry-three-actions-you-can-take-right-now-to-prevent-ransomware

• Cập nhật các plugin Tenable 97086, 97737, 97833, 700099

• Rà soát dùng PVS dấu hiệu DNS của Malware.

• Rà soát dùng PVS xem kết nối từ máy trạm tới cổng 445 của máy khác – dấu hiệu lây lan trong mạng qua giao thức SMB.

 

Symantec

 

AV/Web & Email Security

Thông tin chi tiết về loại mã độc này trên website của Symantec

https://www.symantec.com/security_response/writeup.jsp?docid=2017-051310-3522-99