Petya – Mã độc nguy hiểm tương tự WannaCry đang phát tán toàn cầu

Trong khi mã độc WannaCry vẫn chưa bị loại bỏ hoàn toàn thì lại tiếp tục xuất hiện một đợt tấn công mã độc tống tiền mới xảy ra trên toàn cầu. Mã độc Petya tấn công vào máy tính của các doanh nghiệp, các tổ chức cung cấp năng lượng và ngân hàng tại Nga, Ukraine, Tây Ban Nha, Phát, Anh, Ấn Độ và Châu Âu với số tiền chuộc 300 đô la/ 1 máy tính.

Theo nhiều nguồn tin cho biết, biến thể mới của mã độc tống tiền Petya hay còn gọi là Petwrap đang nhanh chóng phát tán thông qua lỗ hổng Windows SMBv1 nhằm lây nhiễm hơn 300,000 hệ thống và máy chủ trên toàn thế giới chỉ trong 2 ngày. Rất nhiều nạn nhân thông báo rằng họ bị lây nhiễm trên hệ thống đã cài đặt bản cập nhật của Microsoft.

Petya là một loại mã độc nguy hiểm hoạt động rất khác các loại mã độc tống tiền khác. Petya không mã hóa từng tệp tin trên thiết bị, thay vào đó nó khởi động lại máy tính của nạn nhân và mã hóa phần tệp tin điều khiển của ổ đũa cứng, tạo ra tệp tin  MBR với số liệu sai lệnh nhằm ngăn người dùng truy cập vào hệ thống. Khi đó thiết bị của người dùng không thể khởi động và sẽ hiển thị thông điệp đòi tiền chuộc.

Người dùng bị lây nhiễm mã độc được khuyến cáo không trả tiên chuộc bởi email liên kết với tin tặc đã bị ngừng cung cấp. Nhà cung cấp dịch vụ email Posteo tại Đức đã khóa tài khoản email mà tin tặc sử dụng để liên hệ với nạn nhân sau khi nhận được tiền chuộc. Tại thời điểm hiện tại, có 23 nạn nhân đã trả tiền chuộc (bitcoin) đến địa chỉ ‘1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX’ với tổng giá trị lên tới 6,775 đô la.

Theo VirusTotal, hiện tại chỉ có  16/61 dịch vụ diệt virus có thể thành công phát hiện mã độc Petya. Công ty bảo mật Symantec xác nhận rằng Petya sử dụng khai thác SMBv1 EternalBlue giống như WannaCry. Microsoft đã phát hành bản cập nhật cho tất cả các phiên bản Windows nhưng vẫn còn rất nhiều người dùng chưa cập nhật. Hàng loạt biến thể mã độc khác nhau đang khai thác lỗ hổng nhằm phát tán mã độc tống tiền và mã độc đào tiền ảo.

CÁCH BẢO VỆ BẢN THÂN TRƯỚC TẤN CÔNG RANSOMWARE

• Cài đặt các bản cập nhật mới nhất của Microsoft.
• Vô hiệu hóa giao thức SMBv1 theo hướng dẫn của Microsoft.
• Vô hiệu hóa WMIC (Windows Management Instrumentation Command-line).

Do Petya mã hóa hệ thống sau khi khởi động lại, do đó nếu bạn bị lây nhiễm, hãy ngắt nguồn điền của thiết bị. Sử dụng đĩa cứu hộ hoặc một thiết bị khác để khôi phục dữ liệu.

Một nhà nghiên cứu đến từ công ty PT Security khuyến cáo người dụng tự tạo ra tệp tin có tên perfc (không có phần mở rộng) “C:Windowsperfc” có thể giúp ngăn chặn mã độc Petya lây nhiễm trên thiết bị. Ngoài ra người dùng cần luôn đặt thái độ hoài nghi đối với tệp tin và tài liệu đực gửi thông qua email. Luông có thói quen lưu trữ những bản sao lưu dự phòng vào ổ đĩa bên ngoài không thường xuyên kết nối với máy tính.

THN