I. Phòng tránh rủi ro mất an toàn thông tin mạng

            1. Đối với cá nhân:

            - Thực hiện cập nhật ngay các phiên bản hệ điều hành windows đang sử dụng. Riêng đối với các máy tính sử dụng Windows XP, sử dụng bản cập nhật mới nhất dành riêng cho sự vụ nàytại: https://www.microsoft.com/en-us/download/details.aspx?id

=55245&WT.mc_id=rss_windows_allproducts hoặc tìm kiếm theo từ khóa bản cập nhật KB4012598 trên trang chủ của Microsoft.

            - Thực hiện cập nhật các bản vá lỗi cho các máy cài hệ điều hành linux.

            - Cập nhật ngay các chương trình Antivius đang sử dụng. Đối với các máy tính không có phần mềm Antivirus cần tiến hành cài đặt và sử dụng ngay một phần mềm Antivirus có bản quyền.

            - Cẩn trọng khi nhận được email có đính kèm và các đường link lạ được gửi trong email, trên các mạng xã hội, công cụ chat…

            - Cần thận trọng khi mở các file đính kèm ngay cả khi nhận được từ những địa chỉ quen thuộc. Sử dụng các công cụ kiểm tra phần mềm độc hại trực tuyến hoặc có bản quyền trên máy tính với các file này trước khi mở ra.

            - Không mở các đường dẫn có đuôi .hta hoặc đường dẫn có cấu trúc không rõ ràng, các đường dẫn rút gọn link.

            - Thực hiện biện pháp lưu trữ (backup) dữ liệu quan trọng ngay.

            2. Đối với tổ chức, doanh nghiệp (cụ thể với các quản trị viên hệ thống):

            - Kiểm tra ngay lập tức các máy chủ và tạm thời khóa (block) các dịch vụ đang sử dụng các cổng 445/137/138/139.

            - Tiến hành các biện pháp cập nhật sớm, phù hợp theo từng đặc thù cho các máy chủ windows của tổ chức. Tạo các bản snapshot đối với các máy chủ ảo hóa đề phòng việc bị tấn công.

            - Có biện pháp cập nhật các máy trạm đang sử dụng hệ điều hành Windows.

            - Cập nhật cơ sở dữ liệu cho các máy chủ Antivirus Endpoint đang sử dụng. Đối với hệ thống chưa sử dụng các công cụ này thì cần triển khai sử dụng các phần mềm Endpoint có bản quyền và cập nhật mới nhất ngay cho các máy trạm.

            - Tận dụng các giải pháp đảm bảo an toàn thông tin đang có sẵn trong tổ chức như Firewall, IDS/IPS, SIEM…để theo dõi, giám sát và bảo vệ hệ thống trong thời điểm nhạy cảm này. Cập nhật các bản cập nhật từ các hãng bảo mật đối với các giải pháp đang có sẵn. Thực hiện ngăn chặn, theo dõi domains đang được mã độc WannaCry sử dụng, để là xác định được các máy tính bị nhiễm trong mạng để có biện pháp xử lý kịp thời:

            http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/

            - Cân nhắc việc ngăn chặn (block) việc sử dung Tor trong mạng nếu doanh nghiệp, tổ chức.

            - Thực hiện biện pháp lưu trữ (backup) dữ liệu quan trọng ngay.

            - Cảnh báo tới người dùng trong tổ chức và thực hiện các biện pháp như nêu trên đối với người dùng.

            - Liên hệ ngay với các cơ quan chức năng cũng như các tổ chức, doanh nghiệp trong lĩnh vực an toàn thông tin để được hỗ trợ khi cần thiết.

II. Những việc cần làm ngay khi máy vi tính bị nhiễm ransomware

             1. Nếu máy tính bị nhiễm được kết nối trong mạng LAN, hãy nhanh chóng ngắt kết nối mạng của máy tính. Nếu máy tính còn được kết nối đến các thiết bị/vùng lưu trữ khác như External HDD, NAS, SAN thì cũng ngay lập tức ngắt các kết nối này. Nhanh chóng shutdown máy tính. Nếu chức năng shutdown của hệ điều hành Windows đã bị khóa, tắt máy bằng cách ngắt nguồn điện. Mục đích nhằm ngăn chặn lây lan, khiến hậu quả thêm trầm trọng.

            2. Khởi động máy tính từ hệ điều hành sạch (từ ổ đĩa CD/DVD hoặc USB) hoặc tháo ổ cứng để kết nối vào máy tính sạch khác. Thực hiện kiểm tra các tập tin dữ liệu và

 sao lưu các dữ liệu chưa bị mã hóa;

            3. Sao lưu cả các file đã bị mã hóa ra thiết bị lưu trữ khác để sau này có thể cần dùng đến. Có thể một thời gian sau sẽ có được công cụ giải mã loại ransomware nhiễm. Hoặc chính tác giả ransomware quyết định cung cấp khóa giải mã cho ransomware mình phát tán (đã từng có trường hợp như vậy).

            4. Nếu máy tính có bật Volume Shadow Copy trước đó, nên thử khôi phục lại các mốc thời điểm tạo VSS xem có kết quả không.

            5. Nếu có bản backup và dự định phục hồi lại dữ liệu, hãy format, cài đặt lại Windows và dùng các phần mềm Anti-virus, Anti-ransomware quét kỹ để đảm bảo máy không còn ransomware. Sau đó hãy tiến hành phục hồi dữ liệu.

            6. Khởi động vào chế độ Safe Mode của Windows, sử dụng các chương trình Anti-ransomware với cập nhật mới nhất và quét ở chế độ Deep-scan để hy vọng tiêu diệt được ransomware ra khỏi máy tính.

            7. Nhận diện ransomware đang bị nhiễm. Một số ransomware tự cung cấp thông tin về nó, nhưng nhiều ransomware khác thì không. Lúc này, cần sử dụng công cụ ID Ransomware để giúp nhận diện.

            8. Sau khi biết được loại ransomware, tìm kiếm công cụ giải mã dữ liệu, hy vọng danh sách các Decryptor Tool  này có ransomware bị nhiễm. Các công cụ decryptor được cập nhật liên tục bởi các hãng bảo mật lớn nên nếu không tìm thấy từ danh sách ở bài viết trên, nên tìm kiếm thêm từ Google với từ khóa là ransomware bị nhiễm.  Thử khôi phục các file bị ảnh hưởng từ Windows:

            - Đối với Windows 8: http://windows.microsoft.com/en-MY/windows-8/how-use-file-history

            - Đối với Windows 7: http://windows.microsoft.com/en-my/windows7/recover-lost-or-deleted-files

            Các tập tin dữ liệu đã bị mã hóa hầu như không thể giải mã được. Nhưng trong 1 số trường hợp, có thể sử dụng các phần mềm khôi phục dữ liệu (ShadowExplorer,getdataback,7 data recovery,recuva,FTK, EaseUs, R-STUDIO) để khôi phục các tập tin nguyên bản đã bị xóa.

            9. Nếu ransomware ngăn chặn không cho phép truy cập Windows, hoặc có thể truy cập Windows nhưng không thực hiện được những thao tác quan trọng, sử dụng công cụ WindowsUnlocker của Kaspersky để xóa ransomware tác động vào Registry và giành lại quyền truy cập Windows.