Ransomware WannaCry là gì? Mã độc tống tiền khiến thế giới chao đảo

13/02/2026
209 lượt xem

230.000 máy tính. 150 quốc gia. Chỉ trong 72 giờ. Đó là quy mô của cuộc tấn công mạng lớn nhất lịch sử vào tháng 5/2017 — và thủ phạm là một mã độc có cái tên nghe như tiếng khóc: WannaCry.

Mã độc tống tiền này đã mã hóa dữ liệu hàng trăm nghìn máy tính, từ bệnh viện ở Anh đến nhà máy ở Pháp, đòi tiền chuộc từ 300-600 USD bằng Bitcoin. Tại Việt Nam, hơn 1.900 máy tính bị nhiễm ngay trong tuần đầu tiên, tập trung tại Hà Nội và TP.HCM.

Ransomware WannaCry là gì? Mã độc tống tiền khiến thế giới chao đảo

Tin tốt cho người dùng Apple: Nếu bạn đang dùng MacBook, iMac hay iPhone, thiết bị của bạn hoàn toàn miễn nhiễm với WannaCry. Mã độc này chỉ tấn công hệ điều hành Windows — và đây là một trong những lý do nhiều người chuyển sang hệ sinh thái Apple để bảo vệ dữ liệu quan trọng.

Ransomware là gì?

Trước khi đi sâu vào WannaCry, hãy hiểu ransomware là gì. Ransomware (mã độc tống tiền) là loại phần mềm độc hại chiếm quyền kiểm soát dữ liệu của bạn rồi đòi tiền chuộc để trả lại.

Có hai dạng chính:

  • Crypto-ransomware: Mã hóa file, bạn không thể mở tài liệu nếu không có khóa giải mã
  • Locker-ransomware: Khóa màn hình máy tính, bạn không thể sử dụng thiết bị

WannaCry thuộc loại đầu tiên — và nó là một trong những crypto-ransomware nguy hiểm nhất từng xuất hiện.

So sánh các loại ransomware nổi tiếng

Ransomware Năm Đặc điểm Thiệt hại ước tính
WannaCry 2017 Tự lây lan qua mạng LAN $4-8 tỷ USD
Petya/NotPetya 2017 Mã hóa MBR, không thể khôi phục $10 tỷ USD
Ryuk 2018 Nhắm vào doanh nghiệp lớn $150+ triệu USD
LockBit 2019-nay Ransomware-as-a-Service Hàng trăm triệu USD

WannaCry là gì? Mã độc tống tiền “muốn khóc”

WannaCry — cái tên nghe như “Want to Cry” (muốn khóc) — không phải ngẫu nhiên. Các file bị mã hóa có đuôi .WCRY hoặc .WNCRY, và nạn nhân thực sự chỉ muốn khóc khi thấy màn hình đòi tiền chuộc hiện lên.

Nguồn gốc WannaCry

WannaCry được phát triển dựa trên EternalBlue — một công cụ tấn công bị đánh cắp từ NSA (Cơ quan An ninh Quốc gia Mỹ). Nhóm hacker Shadow Brokers đã công khai EternalBlue vào tháng 4/2017, chỉ một tháng trước khi WannaCry bùng phát.

Ai đứng sau WannaCry? Nhiều chuyên gia bảo mật, bao gồm Kaspersky và Symantec, chỉ ra rằng mã độc có điểm tương đồng với các cuộc tấn công của nhóm Lazarus — được cho là có liên hệ với Bắc Triều Tiên. Tuy nhiên, điều này vẫn chưa được xác nhận chính thức.

Câu chuyện Marcus Hutchins — chàng trai 22 tuổi cứu Internet

Một trong những chi tiết thú vị nhất về WannaCry là cách nó bị chặn. Marcus Hutchins, một chuyên gia bảo mật người Anh khi đó mới 22 tuổi, đã phát hiện ra “kill switch” (công tắc tắt) trong mã của WannaCry.

Khi phân tích mã độc, Hutchins nhận thấy WannaCry sẽ kiểm tra một domain name cụ thể trước khi thực thi. Nếu domain đó tồn tại, mã độc sẽ tự dừng lại. Thật may, domain đó chưa ai đăng ký.

Hutchins đã đăng ký domain với giá chỉ $10.69 — và điều đó đã ngăn chặn hàng triệu máy tính khác bị nhiễm. Tạp chí WIRED gọi anh là “The Hacker Who Saved the Internet” (Hacker đã cứu Internet).

WannaCry hoạt động như thế nào?

Lỗ hổng EternalBlue và giao thức SMB

WannaCry khai thác lỗ hổng MS17-010 trong giao thức SMB (Server Message Block) của Windows. SMB là gì? Đó là giao thức cho phép các máy tính Windows chia sẻ file và máy in qua mạng.

Các phiên bản Windows bị ảnh hưởng:

  • Windows XP
  • Windows Vista
  • Windows 7 (nhiều nhất)
  • Windows 8/8.1
  • Windows Server 2003, 2008

Microsoft đã phát hành bản vá MS17-010 vào tháng 3/2017 — hai tháng trước khi WannaCry bùng phát. Nhưng hàng triệu máy tính không cập nhật kịp.

Quy trình tấn công 4 bước

  1. Quét tìm nạn nhân: WannaCry quét các máy tính có port 445 mở (port của SMB)
  2. Cài backdoor: Sử dụng DoublePulsar để cài cửa hậu
  3. Mã hóa file: Mã hóa dữ liệu bằng AES-128 kết hợp RSA-2048
  4. Đòi tiền chuộc: Hiển thị màn hình yêu cầu thanh toán Bitcoin

Điểm đáng sợ nhất: WannaCry tự lây lan qua mạng LAN mà không cần người dùng click vào bất cứ thứ gì. Chỉ cần một máy trong mạng bị nhiễm, tất cả máy khác có thể “dính” theo.

Timeline tấn công WannaCry: 72 giờ kinh hoàng

Ngày 12/05/2017: Các ca nhiễm đầu tiên được phát hiện tại châu Âu vào buổi sáng. Đến trưa, NHS (Hệ thống Y tế Quốc gia Anh) báo cáo hàng loạt bệnh viện bị tê liệt.

Ngày 13/05/2017: WannaCry đã lan rộng đến 150 quốc gia. Marcus Hutchins phát hiện và kích hoạt kill switch vào tối cùng ngày.

Ngày 14-15/05/2017: Biến thể WannaCry 2.0 xuất hiện nhưng bị chặn nhanh chóng.

Thiệt hại toàn cầu

Tổ chức/Quốc gia Thiệt hại
NHS (Anh) £92 triệu (~115 triệu USD), 19.000 cuộc hẹn bị hủy, 80+ bệnh viện bị ảnh hưởng
FedEx (Mỹ) ~$300 triệu USD
Renault (Pháp) Ngừng sản xuất nhiều nhà máy
Telefonica (Tây Ban Nha) Hệ thống nội bộ tê liệt
Đường sắt Đức Bảng điện tử, máy bán vé không hoạt động
Tổng thiệt hại toàn cầu $4-8 tỷ USD

WannaCry ảnh hưởng đến Việt Nam như thế nào?

Việt Nam không nằm ngoài vùng ảnh hưởng. Trong tuần đầu tiên của cuộc tấn công, hơn 1.900 máy tính tại Việt Nam đã bị nhiễm WannaCry, tập trung chủ yếu tại Hà Nội và TP.HCM.

Việt Nam nằm trong top 20 quốc gia bị ảnh hưởng nặng nhất — không bất ngờ khi xét đến tỷ lệ sử dụng Windows lậu và máy tính chạy Windows XP vẫn còn cao.

Tình hình ransomware tại Việt Nam 2024-2025

Theo số liệu từ BKAV, trong năm 2024, có 155.640 máy tính tại Việt Nam bị tấn công bởi mã độc ransomware. Kaspersky ghi nhận trung bình khoảng 80 vụ tấn công mỗi ngày nhắm vào doanh nghiệp Việt Nam.

Đáng lo ngại hơn: 60% doanh nghiệp Việt Nam không được trang bị giải pháp bảo mật đủ mạnh, theo ông Nguyễn Đình Thủy (Trưởng phòng nghiên cứu mã độc BKAV). Có doanh nghiệp thiệt hại lên đến 800 tỷ đồng chỉ sau một vụ tấn công.

Tại sao Mac và iPhone không bị WannaCry?

Đây là câu hỏi nhiều người thắc mắc. Câu trả lời đơn giản: WannaCry chỉ khai thác lỗ hổng SMB của Windows. macOS và iOS không sử dụng giao thức này theo cách tương tự, nên hoàn toàn miễn nhiễm.

Ngoài ra, hệ sinh thái Apple có nhiều lớp bảo mật:

  • Gatekeeper: Chặn phần mềm không được xác minh
  • System Integrity Protection (SIP): Bảo vệ file hệ thống
  • Sandbox: Cô lập ứng dụng, ngăn lây lan
  • XProtect: Công cụ chống malware tích hợp sẵn

Điều này không có nghĩa Mac miễn nhiễm với mọi loại malware — nhưng với các mã độc như WannaCry nhắm vào lỗ hổng Windows cụ thể, người dùng MacBook Pro hay iMac có thể yên tâm hơn.

Cách phòng tránh WannaCry và ransomware

Checklist 8 bước bảo vệ máy tính

STT Hành động Mức độ quan trọng
1 Cập nhật Windows mới nhất ⭐⭐⭐ Bắt buộc
2 Bật Windows Update tự động ⭐⭐⭐ Bắt buộc
3 Cài phần mềm diệt virus có bản quyền ⭐⭐⭐ Bắt buộc
4 Sao lưu dữ liệu theo quy tắc 3-2-1 ⭐⭐⭐ Bắt buộc
5 Tắt giao thức SMBv1 ⭐⭐ Nên làm
6 Không mở email/file đính kèm lạ ⭐⭐ Nên làm
7 Sử dụng VPN khi dùng WiFi công cộng ⭐⭐ Nên làm
8 Đào tạo nhận thức bảo mật cho nhân viên ⭐ Bổ sung

Quy tắc backup 3-2-1

Đây là quy tắc vàng để bảo vệ dữ liệu:

  • 3 bản sao dữ liệu
  • 2 loại phương tiện lưu trữ khác nhau (ví dụ: ổ cứng + cloud)
  • 1 bản offline (không kết nối internet)

Với người dùng Mac, Time Machine kết hợp với iCloud là giải pháp backup hiệu quả và dễ sử dụng.

Đối với doanh nghiệp

  • Triển khai Firewall và IDS/IPS
  • Chặn port 445 từ bên ngoài
  • Tạo snapshot định kỳ cho máy chủ ảo
  • Xem xét mua bảo hiểm cyber (xu hướng mới)

Làm gì nếu máy tính bị nhiễm WannaCry?

Bước 1: Ngắt kết nối mạng ngay lập tức

Rút dây mạng hoặc tắt WiFi. Điều này ngăn mã độc lây lan sang các máy khác trong mạng LAN.

Bước 2: Không trả tiền chuộc

Đây là khuyến nghị của tất cả chuyên gia bảo mật. Lý do:

  • Không có gì đảm bảo bạn sẽ lấy lại được dữ liệu
  • WannaCry có lỗi: hacker không thể xác định ai đã trả tiền
  • Trả tiền = tiếp tay cho tội phạm mạng

Bước 3: Tìm hỗ trợ chuyên nghiệp

  • Liên hệ VNCERT (Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam)
  • Thử các công cụ giải mã: WanaKiwi, Wannakey (hoạt động nếu máy chưa restart)
  • Khôi phục từ backup nếu có

Bước 4: Format và cài lại (phương án cuối)

Nếu không còn cách nào khác, format ổ cứng và cài lại hệ điều hành. Đảm bảo đã thử mọi phương án khôi phục dữ liệu trước.

WannaCry còn nguy hiểm năm 2026 không?

Câu trả lời: Vẫn còn, nhưng ít hơn trước.

Theo các chuyên gia, vẫn còn nhiều máy tính chưa vá lỗ hổng EternalBlue. Ransomware nói chung đang phát triển mạnh — năm 2025 ghi nhận 7.419 vụ tấn công ransomware trên toàn cầu, tăng 32% so với 2024.

Xu hướng 2025-2026:

  • Ransomware-as-a-Service (RaaS) phát triển mạnh
  • 57 nhóm ransomware mới xuất hiện trong 2025
  • Chi phí trung bình mỗi vụ tấn công: $1.8-5 triệu USD
  • 44% các vụ rò rỉ dữ liệu có liên quan đến ransomware

Bài học từ WannaCry vẫn còn nguyên giá trị: cập nhật phần mềm, backup dữ liệu, và cẩn thận với những gì bạn click.

Câu hỏi thường gặp (FAQ)

WannaCry là viết tắt của gì?

WannaCry không phải viết tắt. Đó là tên gọi mã độc, nghĩa là “Muốn khóc” — ám chỉ tâm trạng của nạn nhân khi thấy dữ liệu bị mã hóa. File bị mã hóa có đuôi .WCRY hoặc .WNCRY.

Trả tiền chuộc có lấy lại được dữ liệu không?

Không nên trả. Mã WannaCry có lỗi khiến hacker không thể xác định ai đã trả tiền, nên khả năng lấy lại dữ liệu gần như bằng 0. Nhiều chuyên gia xác nhận không ai lấy lại được dữ liệu sau khi trả tiền.

Mac có bị WannaCry không?

Không. WannaCry chỉ tấn công Windows vì khai thác lỗ hổng SMB của Microsoft. Người dùng macOS hoàn toàn an toàn với loại mã độc này. Nếu bạn đang lo lắng về bảo mật, có thể tham khảo các dòng MacBook Air hoặc MacBook Pro tại MacOne.vn để được tư vấn chi tiết.

iPhone/iPad có bị WannaCry không?

Không. iOS không bị ảnh hưởng bởi WannaCry. Hệ điều hành di động của Apple có kiến trúc bảo mật hoàn toàn khác Windows.

Windows 10/11 có bị WannaCry không?

Windows 10/11 đã cập nhật có bản vá MS17-010, nên an toàn nếu bạn bật Windows Update. Tuy nhiên, nếu bạn tắt cập nhật tự động, máy vẫn có thể bị ảnh hưởng.

Làm sao biết máy tính bị nhiễm WannaCry?

Dấu hiệu rõ nhất: màn hình hiện thông báo đỏ đòi tiền chuộc bằng Bitcoin, các file bị đổi đuôi thành .WCRY và không mở được. Máy tính hoạt động chậm bất thường cũng có thể là dấu hiệu.

Kill Switch là gì?

Kill Switch là cơ chế “công tắc tắt” được Marcus Hutchins phát hiện. WannaCry kiểm tra một domain trước khi chạy — nếu domain tồn tại, mã độc tự dừng. Hutchins đã đăng ký domain đó với giá $10.69, cứu hàng triệu máy tính.

Có công cụ giải mã WannaCry miễn phí không?

Có. WanaKiwi và Wannakey có thể giải mã trong điều kiện nhất định — máy chưa restart sau khi bị nhiễm và chạy Windows XP/7. Tuy nhiên, thành công không được đảm bảo.

Kết luận

WannaCry là bài học đắt giá nhất trong lịch sử an ninh mạng. Chỉ vì hàng triệu máy tính không cập nhật một bản vá có sẵn từ hai tháng trước, thiệt hại lên đến hàng tỷ USD.

Ba việc bạn cần làm ngay hôm nay:

  1. Cập nhật hệ điều hành và phần mềm
  2. Backup dữ liệu theo quy tắc 3-2-1
  3. Cài đặt phần mềm bảo mật có bản quyền

Nếu bạn đang cân nhắc chuyển sang hệ sinh thái Apple để tăng cường bảo mật — đó là lựa chọn hợp lý. Tại MacOne.vn, đội ngũ tư vấn có thể giúp bạn chọn thiết bị phù hợp với nhu cầu và ngân sách, từ MacBook Air M4 đến Mac mini M4, với chính sách bảo hành chính hãng và hỗ trợ trả góp 0%.

Bài viết cập nhật: Tháng 1/2026

GIAO HÀNG TẬN NƠI
Miễn phí giao hàng nội thành
ĐỔI TRẢ DỄ DÀNG
Miễn phí đổi trong 10 ngày
HÀNG CHÍNH HÃNG
Cam kết hàng chính hãng 100%
NHẬN HÀNG TRẢ TIỀN
Tiền mặt, quẹt thẻ, chuyển khoản
Loading...
messenger call