Mã độc Petya lan rộng như WannaCry với cả hệ thống đã áp dụng các bản vá

By | 11:45 am | 28/06/2017
Khoảng tháng 4 năm 2016, Petya ransomware là loại mã độc nhắm mục tiêu đến các máy tính Windows, nó thực hiện mã hóa các tệp tin khởi động của ổ cứng, và thay thế MBR (master boot record) bằng mã độc Petya. Sau đó, máy tính bị nhiễm sẽ được khởi động lại, thay vào việc hệ điều hành được khởi động thì mã độc Petya được khởi động, yêu cầu người dùng cần trả 0.9 bitcoin (khoảng US $381) để đổi lấy khóa mã hóa khôi phục các tệp tin của hệ thống.
Mới đây, một biến thể mới của Petya ransomware, còn gọi là Petwrap, đang lan rộng nhanh chóng.  Petwrap lạm dụng lỗ hổng Windows SMBv1 tương tự như WannaCry.
Dưới đây là ảnh chụp màn hình máy tính bị nhiễm mã độc Petya được chia sẻ trên Twitter, cho thấy Petya hiển thị một văn bản, đòi người dùng phải trả 300$ tiền Bitcoins.
petya-ransomware

Posteo, nhà cung cấp dịch vụ email của Đức, đã tạm ngưng địa chỉ email wowsmith123456@posteo.net được bởi bọn tội phạm sử dụng để gửi khóa giải mã cho nạn nhân sau khi nhận tiền chuộc.

Vào thời điểm viết, 35 nạn nhân đã gửi Bitcoin tới địa chỉ ‘1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX’ để giải mã các tệp tin bị nhiễm Petya, tổng cộng khoảng 8704$.
Nhiều người dùng cũng đã thông báo rằng Petya cũng lây nhiễm trên các hệ thống mặc dù họ đã áp dụng các bản vá lỗi.

Petya đang lan rộng và ảnh hưởng đến rất nhiều các hệ thống CNTT. Ba nhà khai thác viễn thông Ukraine, Kyivstar, LifeCell, Ukrtelecom cũng bị ảnh hưởng trong cuộc tấn công mới nhất của Petya.
Sau vụ tấn công nghiêm trọng của WannaCry trong tháng trước, các tập đoàn và công ty lớn vẫn chưa thực hiện các biện pháp an ninh thích hợp để bảo vệ chống lại mối đe dọa như vậy.
 1. Áp dụng các bản vá chống lại EternalBlue (MS17-010).
2. Vô hiệu hóa giao thức SMBv1.
Petya Ransomware cũng lợi dụng các công cụ WMIC và PSEXEC để lây nhiễm vào các máy tính Windows đã được áp dụng bản vá đầy đủ, người dùng cũng nên:
3. Tắt WMIC (Windows Management Instrumentation Command-line).
4. Nếu máy khởi động lại và người dùng nhìn thấy thông báo như trên, hãy tắt ngay lập tức! Đây là quá trình mã hóa. Nếu không bật nguồn, các tệp tin sẽ không bị mã hóa. Sử dụng một đĩa LiveCD hoặc máy tính khác để phục hồi các tập tin.
5. PT Security, một công ty an ninh trên mạng có trụ sở tại Anh và Amit Serper của Cybereason, đã phát hiện ra cách để “kill switch” Petya ransomware đó là tạo một tệp tin “C:\Windows\perfc”

Để bảo vệ chống lại bất kỳ sự lây nhiễm ransomware nào, người dùng nên:
6. Luôn nghi ngờ các tệp tin và tài liệu không mong muốn được gửi qua email.
7. Không nên nhấp vào các liên kết bên trong trừ khi đã được xác minh nguồn gốc.
8. Luôn sao lưu các dữ liệu quan trọng.
9. Sử dụng và cập nhật thường xuyên các bộ phần mềm chống mã độc.
10. Quan trọng nhất là luôn duyệt Internet một cách an toàn.
Theo: THN