Virus Wanna cry sử dụng lỗ hổng EternalBlue của dịch vụ SMB (trên hệ điều hành Windows) để lây lan vào các máy tính người dùng mà không cần người dùng phải thao tác trực tiếp với các file, link đính kèm độc hại. Do đó để tránh virus Wannacry, người dùng nên disable (vô hiệu hóa) SMB đi. Để tìm hiểu về giao thức SMB là gì? Cách disable SMB tránh virus Wanna cry, bạn đọc có thể tham khảo bài viết dưới đây
Giao thức SMB là gì?
Giao thức SMB (Server Message Block Protocol) cung cấp giải pháp cho các ứng dụng client trong máy tính để đọc và ghi các file và yêu cầu các dịch vụ từ các chương trình máy chủ trong một mạng máy tính.
Giao thức SMB có thể được sử dụng qua mạng Internet trên giao thức TCP/IP hoặc trên các giao thức mạng khác như Internetwork Packet Exchange và NetBEUI .
Khi sử dụng giao thức SMB, một ứng dụng (hoặc người dùng ứng dụng) có thể truy cập file trong máy chủ từ xa cũng như các nguồn tài nguyên khác, bao gồm máy in, mailslots và named pipe. Do đó, ứng dụng client có thể đọc, tạo và cập nhật các file trên máy chủ từ xa. SMB cũng có thể liên lạc với bất kỳ chương trình máy chủ nào được thiết lập để nhận yêu cầu SMB client.
Kể từ hệ điều hành Windows 95, Microsoft bổ sung hỗ trợ thêm giao thức SMB của client (máy khách) và server (máy chủ).
Đối với các hệ thống UNIX, có sẵn phần mềm chia sẻ Samba. Giao thức SMB được kế thừa và phát triển bởi Microsoft. Một client (máy khách) và máy chủ cho trước có thể thực hiện thiết lập các giao thức khác nhau mà họ thương lượng trước khi bắt đầu một phiên.
Microsoft đã cung cấp phiên bản mã nguồn mở của SMB cho Internet cho Internet Engineering Task Force (IETF). Giao thức này được gọi là Common Internet File System (CIFS), linh hoạt hơn các ứng dụng Internet hiện có như File Transfer Protocol (FTP). Có thể hình dung CIFS là phần bổ sung cho giao thức truyền tải siêu văn bản (Hypertext Transfer Protocol) của Internet để duyệt web.
Cách disable SMB tránh virus WannaCry
- Update Windows MS17-010
Virus Wanna cry sử dụng lỗ hổng bảo mật ETERNALBLUE để lây lan máy tính người dùng. Tuy nhiên lỗ hổng bảo mật này đã được Microsoft khắc phục trên bản cập nhật bảo mật MS17-010 và được phát hành vào tháng 3. Do đó bạn nên kiểm tra trên trung tâm cập nhật để tải các bản cập nhật (theo mã) này về máy tính của mình (ví dụ, mã cho Windows 7 sẽ là KB4012212 hoặc KB4012215).
- Chặn các cổng (port) 135 và 445
Theo báo cáo của các hãng phần mềm diệt virus, Wcrypt xâm nhập máy tính thông qua các cổng SMB (Server Message Block). Để ngăn chặn sự xâm nhập của Wcrypt, bạn đóng cổng 445 windows XP và 135 mà virus Wcrypt sử dụng để xâm nhập (trong hầu hết các trường hợp người dùng thường không sử dụng các cổng này).
Để làm được điều này, mở Command Prompt dưới quyền Admin (kích chuột phải vào cmd.exe chọn Run as Administrator). Sau đó nhập từng lệnh dưới đây vào cửa sổ Command Prompt (sau mỗi lệnh sẽ hiển thị trạng thái OK):
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135"
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"
- Vô hiệu hóa hỗ trợ SMBv1
Chạy lệnh dưới đây trên cửa sổ Command Prompt dưới quyền Admin để vô hiệu hóa hỗ trợ SMBv1:
dism /online /norestart /disable-feature /featurename:SMB1Protocol
Trên thực tế, Giao thức SMBv1 còn có nhiều cách tắt khác nhau bạn hoàn toàn có thể sử dụng để loại trừ khả năng bị xâm phạm bởi các mã độc tống tiền, tham khảo các hướng dẫn đẩy đủ về cách tắt, vô hiệu hóa SMBv1
Trên đây là một số cách để bạn tìm hiểu Giao thức SMB là gì? Cách disable SMB giúp ngăn chặn Wannacry để bạn có thể bảo vệ an toàn máy tính của mình trước nguy cơ đe dọa của mã độc tống tiền nguy hiểm nhất hiện nay WannaCry cũng như ngăn chặn các mối nguy hiểm khác.
http://thuthuat.taimienphi.vn/giao-thuc-smb-la-gi-cach-disable-smb-tranh-virus-wanna-cry-23817n.aspx
Trên Linux, hiện tại đã xuất hiện lỗ hổng SambaCry có nguy cơ lộ thông tin bảo mật cao trên máy tính người dùng, vậy lỗ hổng SambaCry là gì và cách phòng trống như thế nào?
GoERP - Nền tảng quản lý doanh nghiệp toàn diện