Mã độc Petya lây lan khắp thế giới, nguy hiểm hơn cả WannaCry và các cách phòng tránh

29/06/2017 - Tin công nghệ
Mã độc Petya được đánh giá còn nguy hiểm hơn WannaCry do mã hóa toàn bộ ổ cứng và có khả năng lây lan rộng trong mạng nội bộ.Mã độc Petya là mã độc đòi tiền chuộc, sau khi lây nhiễm vào máy tính nạn nhân, nó sẽ mã hóa dữ liệu và người dùng phải trả tiền để được cung cấp công cụ mở khóa.

MÃ ĐỘC PETYA LÂY LAN KHẮP THẾ GIỚI, NGUY HIỂM HƠN CẢ WANNA CRY VÀ CÁC CÁCH PHÒNG TRÁNH

 
Sau WannaCry, hàng loạt mã độc “tống tiền” liên tục xuất hiện đòi tiền chuộc với quy mô lớn xảy ra trên toàn cầu. Mới đây, các cơ quan an ninh mạng vừa phát hiện thêm một mã độc “tống tiền” mang tên Petya xuất hiện dưới phiên bản mới là "Petrwrap", có tác hại tương tự như mã độc WannaCry khiến cho hệ thống máy tính của hàng loạt công ty đa quốc gia bị điêu đứng.

Mã độc Petya

Mã độc Petya 
  "Petrwrap" virus mới của những vụ tấn công trên được các chuyên gia nhận định là bản cải tiến của Petya, mã độc là thủ phạm tấn công hệ thống máy tính toàn cầu năm 2016. 

Những đợt tấn công đầu tiên của Petrwrap được ghi nhận tại Ukraine tối hôm 27/6 và chỉ chưa đầy 24h sau nó đã lan sang Nga, Anh, Ấn Độ và nhiều nước khác trên thế giới.

Tương tự WannaCry, Petrwrap là mã độc đòi tiền chuộc. Sau khi lây nhiễm vào máy tính nạn nhân, nó sẽ mã hóa dữ liệu và người dùng phải trả tiền để được cung cấp công cụ mở khóa. Để giao dịch tiền chuộc được ẩn danh, Petrwrap cũng sử dụng Bitcoin, số Bitcoin để đổi lấy dữ liệu mỗi lần tương đương khoảng 300USD. Tính tới cuối ngày 27/6, Petrwrap đã thực hiện được 8 giao dịch đòi tiền chuộc với tổng số tiền khoảng 2.300 USD nhưng đến thời điểm hiện tại con số đó đã tăng lên gấp nhiều lần.

Hơn nữa, lần này, đối tượng mà mã độc nhắm tới là các ngân hàng, các công ty viễn thông, hệ thống máy tính tại sân bay, ga tàu điện ngầm và thậm chí cả bệnh viện... Petrwrap nguy hiểm hơn WannaCry vì nó có thêm một số tính năng bổ sung có thể lây nhiễm ngay cả các máy tính Windows đã được vá các lỗ hổng bảo mật sau vụ WannaCry vừa diễn ra cách đây hơn một tháng, kể cả những máy tính chạy Windows 10.

Nạn nhân lớn nhất ghi nhận được tới thời điểm này trên toàn cầu là tập đoàn truyền thông quảng cáo WWP. Hệ quả là Group M, nơi sở hữu nhiều công ty truyền thông lớn nhất tại Việt Nam của WWP cũng đang bị ảnh hưởng.

Petya lây nhiễm vào hệ thống thế nào?

Theo các chuyên gia của Công ty CP An ninh an toàn thông tin CMC (CMC Infosec), mã độc Petya được phát tán qua file đính kèm vào các hòm thư điện tử. Khi người sử dụng mở một file tài liệu office được tạo sẵn để khai thác lỗi bảo mật CVE-2017-0199 (ảnh hưởng tới Microsoft Office 2007 SP3, Microsoft Office 2010 SP2, Microsoft Office 2013 SP1, Microsoft Office 2016). Nếu người sử dụng mở tập tin đính kèm, mã độc sẽ được download ngầm và thực thi trên máy của nạn nhân.

Mã độc Petya

Một phần mã khúc nhị phân của virus khi phân tích

Cũng như WannaCry, mã độc Petya khả năng lây lan qua mạng nội bộ giữa các máy tính với nhau. Các máy tính có mở cổng 445 đều có nguy cơ bị lây nhiễm. Petya dùng 02 cách chính để lây nhiễm sang máy bên cạnh:

- Ở phương thức lây lan thứ nhất, lỗi SMB chia sẻ tập tin của Windows EternalBlue (giống như đã bị WannaCry khai thác).

- Với phương thức lây lan thứ hai, Petya sử dụng công cụ của tin tặc để trích xuất mật khẩu của các máy tính bên cạnh từ bộ nhớ của máy đã bị nhiễm và cài đặt từ xa bằng công cụ psexec hợp pháp của Microsoft.

Làm thế nào Petya Ransomware lây lan nhanh như vậy?

Mã độc đang lan rộng nhanh chóng thông qua lỗ hổng Windows SMB tương tự như cách ransomware WannaCry lây nhiễm 300.000 hệ thống và máy chủ trên toàn thế giới chỉ trong 72 giờ vào tháng trước. Nguy hiểm hơn, mã độc này còn tận dụng các công cụ WMIC và PSEXEC để lây lan sang các máy tính khác trong mạng nội bộ dù các máy tính đã được cập nhật bản vá Windows SMB.

Petya là một loại ransomware “vô cùng khó chịu” và không giống bất kỳ loại mã độc tống tiền nào trước đây. Petya không những thực hiện mã hoá tập tin dữ liệu trên máy nạn nhân, mà còn khởi động lại máy tính, mã hóa bảng master file của ổ cứng (MFT) và làm cho Master Boot Record (MBR) ngừng hoạt động, khiến người dùng không thể truy cập vào bất kỳ file nào trên ổ cứng. Ransomware Petya thay thế MBR của máy tính bằng mã độc của chính nó, hiển thị thông báo đòi tiền chuộc và khiến máy tính không thể khởi động.

Vâng, khá ngạc nhiên là ngay cả sau khi biết về vấn đề WannaCry trong một khoảng thời gian dài, các tập đoàn và công ty lớn vẫn chưa thực hiện các biện pháp an ninh thích hợp để bảo vệ chống lại mối đe dọa như vậy.

Theo thống kê của Bkav, đã có 36 giao dịch trả tiền chuộc được thực hiện thông qua bitcoin, tương đương với số tiền hơn 9.000 USD.

Mã độc Petya

(Ảnh: Bitinfocharts)​

Làm thế nào để bảo vệ bản thân khỏi các cuộc tấn công Ransomware?

1. Cập nhật các bản vá lỗi hệ điều hành

Mã độc Petya

Cập nhật hệ điều hành 

Cài bản vá chính thức (MS17-010) từ Microsoft nhằm vá lỗ hổng SMB Server bị khai thác trong cuộc tấn công này. Riêng đối với các máy tính sử dụng Windows XP, sử dụng bản cập nhật mới nhất dành riêng cho sự vụ này tại: https://www.microsoft.com/en-us/download/details.aspx… hoặc tìm kiếm theo từ khóa bản cập nhật KB4012598 trên trang chủ của Microsoft. Theo Market Watch, đây là bản bảo mật rất quan trọng, có thể ngăn chặn được cả WannaCry, do đó người dùng cần tải về sớm.

Thực hiện quét hệ thống (Critical Area Scan) để phát hiện các lây nhiễm nhanh nhất (nếu không các lây nhiễm sẽ được phát hiện tự động nhưng sau 24 giờ).

Nếu phát hiện có tấn công từ phần mềm độc hại như tên gọi MEM: Trojan.Win64.EquationDrug.gen thì cần reboot lại hệ thống.

Đối với tổ chức, doanh nghiệp (cụ thể với các quản trị viên hệ thống), cần kiểm tra ngay lập tức các máy chủ và tạm thời khóa (block) các dịch vụ đang sử dụng các cổng 445/137/138/139.

Tiến hành các biện pháp cập nhật sớm, phù hợp theo từng đặc thù cho các máy chủ Windows của tổ chức. Tạo các bản snapshot đối với các máy chủ ảo hóa đề phòng việc bị tấn công.

Có biện pháp cập nhật các máy trạm đang sử dụng hệ điều hành Windows; cập nhật cơ sở dữ liệu cho các máy chủ Antivirus Endpoint đang sử dụng. Đối với hệ thống chưa sử dụng các công cụ này thì cần triển khai sử dụng các phần mềm Endpoint có bản quyền và cập nhật mới nhất ngay cho các máy trạm.

Tận dụng các giải pháp đảm bảo an toàn thông tin đang có sẵn trong tổ chức như Firewall, IDS/IPS, SIEM… để theo dõi, giám sát và bảo vệ hệ thống trong thời điểm nhạy cảm này. Cập nhật các bản cập nhật từ các hãng bảo mật đối với các giải pháp đang có sẵn. Thực hiện ngăn chặn, theo dõi domains đang được mã độc WannaCry sử dụng, để xác định được các máy tính bị nhiễm trong mạng để có biện pháp xử lý kịp thời.

2. Sao lưu máy tính của bạn

Mã độc Petya

Sao lưu máy tính để tránh mất dữ liệu

Không chỉ khi có cuộc tấn công xảy ra mà bạn nên luôn luôn sao lưu các tập tin trên máy tính của mình đến một nơi khác như ổ đĩa di động hay dịch vụ lưu trữ đám mây.

Don Foster, giám đốc cấp cao phụ trách tiếp thị tại công ty dữ liệu Commvault khuyên người dùng nên sao lưu dữ liệu nhiều lần mỗi tháng. Trong trường hợp bị tấn công, bạn có thể lấy lại các tập tin mới nhất của mình để sử dụng mà không cần trả tiền chuộc.

3. Cài đặt chương trình bảo vệ máy tính

Mã độc Petya

Cài đặt chương trình bảo vệ máy tính

Bạn nên tải về các chương trình bảo vệ máy tính bởi nó không chỉ giúp chống lại các cuộc tấn công, mà còn thông báo khi có một mối đe dọa cho máy tính của bạn. Các chương trình này bao gồm tường lửa, chương trình chống virus và các phần mềm bảo vệ khác.

Chúng có thể cảnh báo nếu một phần mềm độc hại cố gắng mã hóa tập tin của bạn và những gì chúng đang làm để ngăn chặn điều này. Chuyên gia bảo mật Bill Kelly của công ty bảo hiểm Argo Group nói rằng mặc dù ransomware có thể mã hóa thành công một số tập tin của bạn, nhưng đa số các tập tin sẽ được các chương trình này bảo vệ.

4. Hãy cẩn thận với mỗi cú click chuột

Mã độc Petya

Cẩn thận với mỗi cú click chuột

Một số cuộc tấn công xảy ra do email lừa đảo. Các email này được thiết kế để làm cho bạn nghĩ rằng chúng hợp pháp, nhưng cài đặt phần mềm độc hại trên máy tính của bạn sau khi bạn mở chúng. Kelly đề nghị bạn phải tạo thói quen xem xét, đánh giá kỹ những email trước khi mở.

Foster cũng gợi ý không truy cập các trang web có hoạt động bất hợp pháp hoặc có nghi ngờ bất hợp pháp. Bạn có thể mở toan cách cửa cho các phần mềm độc hại xâm nhập vào máy tính của mình chỉ bằng một cú nhấp chuột vào một liên kết nào đó trên các trang web này.

5. Bảo vệ máy tính cá nhân khi sử dụng Wi-Fi công cộng

Mã độc Petya

Bảo vệ máy tính cá nhân khi sử dụng Wifi công cộng

Khi sử dụng Wi-Fi công cộng, bạn có thể nhìn thấy được những ngưởi khác cùng sử dụng mạng với mình. Hãy kiểm tra để chắc chắn rằng bạn đã thay đổi cài đặt bảo mật khi tham gia mạng công cộng. Foster gợi ý sử dụng một VPN hay một mạng riêng ảo, che giấu máy tính của bạn khỏi những người sử dụng mạng công cộng. Việc sử dụng VPN sẽ không chống lại phần mềm độc hại, nhưng nó có thể giúp bạn không trở thành mục tiêu của các cuộc tấn công.

Quý khách hãy cảnh giác và bảo vệ dữ liệu quan trọng của mình. Sửa chữa Laptop 24h .com hiện đã update phạm vi ảnh hưởng và cách phòng chống virus này trên website www.suachualaptop24h.com.
 
Nguồn: “Tổng hợp”

Đánh giá - Bình luận
Nhấn vào đây để đánh giá
X
Đặt lịch hẹn sửa chữa
Hãy đặt lịch trước để chúng tôi phục vụ bạn tốt hơn
Liên hệ tổng đài 1800 6024 - Hoặc 085 245 3366 để được đặt lịch.
X
Tra cứu bảo hành
Dễ dàng theo dõi tình trạng bảo hành máy của bạn
Tra cứu thông tin bảo hành

Nhập thông tin bảo hành

Đặt lịch

0.30195 sec| 2527.492 kb