Cách bảo vệ server Windows khỏi mã hóa dữ liệu bởi Ransomware
1. Ransomware là gì và tại sao nó nguy hiểm?
Ransomware là gì?
Ransomware là một dạng mã độc được thiết kế để tấn công và mã hóa dữ liệu trên máy chủ, khiến người dùng không thể truy cập dữ liệu cho đến khi trả tiền chuộc. Những cuộc tấn công này có thể gây thiệt hại lớn, lên đến 73.000 USD đối với một doanh nghiệp vừa.
image2023-1-9_16-31-24.png
Tại sao Ransomware lại phổ biến trong các cuộc tấn công server?
Ransomware khai thác các lỗ hổng bảo mật trong hệ thống mạng, đặc biệt là các server được triển khai trên nền tảng điện toán đám mây, nơi dữ liệu có thể dễ dàng bị truy cập trái phép nếu không được bảo vệ kỹ lưỡng.
2. Làm thế nào để bảo vệ server khỏi bị mã hóa bởi Ransomware?
Thay đổi cổng kết nối từ xa như thế nào?
Việc thay đổi cổng kết nối từ xa (RDP) là một cách hữu hiệu để tránh bị tấn công qua cổng mặc định 3389. Bạn có thể thực hiện điều này bằng cách:
Chạy script đổi cổng remote desktop.
Hoặc thay đổi cổng thông qua Registry editor.
Tại sao cần cập nhật hệ điều hành?
Cập nhật hệ điều hành giúp vá các lỗ hổng bảo mật, ngăn chặn các cuộc tấn công khai thác từ mã độc như Ransomware.
Có cần cài phần mềm chống Ransomware không?
Phần mềm Kaspersky Anti Ransomware Tool là một công cụ miễn phí, giúp ngăn chặn các loại mã độc như WannaCry. Phần mềm này dễ cài đặt và tương thích với các hệ thống bảo mật khác mà không cần người dùng có kiến thức chuyên sâu về kỹ thuật.
Tại sao cần vô hiệu hóa SMB và cách thực hiện?
SMB là một giao thức chia sẻ file trên hệ điều hành Windows. Tuy nhiên, nó có các lỗ hổng bảo mật nghiêm trọng, đặc biệt khi bị tấn công bởi Ransomware WannaCrypt. Để giảm thiểu rủi ro, bạn nên vô hiệu hóa SMB bằng lệnh trong PowerShell.
Kiểm tra trạng thái SMBv1:
Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
image2023-1-10_16-46-51.png
Vô hiệu hóa SMBv1:
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
image2023-1-11_8-51-17.png
Sau khi chạy lệnh, cần khởi động lại server để áp dụng thay đổi.
3. Khuyến cáo để tránh tấn công Ransomware
Không tải các file không rõ nguồn gốc.
Cài đặt phần mềm diệt virus uy tín.
Thực hiện backup dữ liệu thường xuyên để có thể phục hồi khi cần.
Đặt mật khẩu mạnh và chỉ sử dụng Windows Remote Desktop để kết nối từ xa.
Kiểm tra kỹ các phần mềm đã cài đặt trên server để đảm bảo không có lỗ hổng bảo mật.
4. Các trường hợp mã hóa dữ liệu đã được ghi nhận
Một số trường hợp bị mã hóa dữ liệu là gì?
Có nhiều trường hợp đã ghi nhận sự cố mã hóa dữ liệu, ví dụ:
Phần mềm kế toán Misa có lỗ hổng bảo mật, khiến server bị mã hóa dữ liệu.
Lỗ hổng trong thư viện Telerik của các website sử dụng ASP.Net.
Khách hàng chuyển từ máy chủ vật lý lên cloud nhưng không cài mật khẩu mạnh, dẫn đến bị tấn công.
Kết luận:
Bảo vệ server khỏi mã độc Ransomware là nhiệm vụ quan trọng mà mọi doanh nghiệp cần chú trọng. Cập nhật hệ điều hành, thay đổi cổng kết nối và cài đặt phần mềm chống mã độc là những biện pháp hiệu quả để bảo vệ hệ thống. Ngoài ra, việc backup dữ liệu thường xuyên sẽ giúp bạn phục hồi nhanh chóng khi gặp sự cố.
