Nếu mã độc Petya nhắm đến Việt Nam, sẽ còn nguy hiểm hơn cả WannaCry

29/06/2017 13:53

Theo thống kê của Bkav, đã có 36 giao dịch trả tiền chuộc cho Petya được thực hiện thông qua bitcoin, tương đương với số tiền hơn 9.000 USD.


Sau khi các vụ tấn công mạng gây ra bởi WannaCry vừa kết thúc. Cả thế giới lại tiếp tục bị chao đảo bởi một loại mã độc tống tiền mới có tên Petya. Chỉ một thời gian ngắn sau khi xuất hiện, Petya đang lây lan với tốc độ khủng khiếp trên toàn cầu.

Petya đã tạo nên một cuộc khủng hoảng về an ninh mạng nghiêm trọng tại nhiều quốc gia lớn ở châu Âu như Ukraine, Tây Ban Nha, Isarel, Anh, Hà Lan và Hoa Kỳ. Quốc gia bị ảnh hưởng nặng nề nhất bởi Petya là Ukraine.

Hiện tại, một loạt các hệ thống thông tin bao gồm cả khối chính phủ nhiều nước châu Âu, các hệ thống vận tải như nhà ga, sân bay, ngành năng lượng, hóa dầu, ngân hàng, hệ thống ATM và cả hệ thống nhà máy điện hạt nhân Chernobyl đều báo cáo đã bị lây nhiễm bởi mã độc này.

Petya nguy hiểm và khó chịu hơn cả WannaCry

Petya đã xuất hiện vào khoảng đầu năm 2016, tuy nhiên đây là biến thể Petya mới, được biên dịch vào ngày 18 tháng sáu năm 2017. Mã độc này thực chất đóng vai trò lây lan và đòi tiền chuộc.

Việc mã hóa toàn bộ bảng Phân vùng và sector 0 của ổ cứng được thực hiện bởi một virus tên là Petya (được phát hiện từ năm 2016). Patya được nhúng trong Petya sau khi đã bị thay đổi một số thông tin bao gồm thông tin hiển thị tới người dùng và mã khóa mới.

Theo các chuyên gia trong lĩnh vực an ninh mạng, tốc độc lây lan của Petya tương đương với mã độc WannaCry xuất hiện vào tháng 5 năm 2017. Các máy tính bị lây nhiễm sẽ tự động bị tắt nguồn, khi khởi động lại sẽ có một thông báo đòi tiền chuộc với trị giá là 300$/máy tính.

Mã độc đang lan rộng nhanh chóng thông qua lỗ hổng Windows SMB tương tự như cách ransomware WannaCry lây nhiễm 300.000 hệ thống và máy chủ trên toàn thế giới chỉ trong 72 giờ vào tháng trước. Nguy hiểm hơn, mã độc này còn tận dụng các công cụ WMIC và PSEXEC để lây lan sang các máy tính khác trong mạng nội bộ dù các máy tính đã được cập nhật bản vá Windows SMB.

Petya lây nhiễm vào hệ thống thế nào?

Theo các chuyên gia của Công ty CP An ninh an toàn thông tin CMC (CMC Infosec), Petya được phát tán qua file đính kèm vào các hòm thư điện tử. Khi người sử dụng mở một file tài liệu office được tạo sẵn để khai thác lỗi bảo mật CVE-2017-0199 (ảnh hưởng tới Microsoft Office 2007 SP3, Microsoft Office 2010 SP2, Microsoft Office 2013 SP1, Microsoft Office 2016). Nếu người sử dụng mở tập tin đính kèm, mã độc sẽ được download ngầm và thực thi trên máy của nạn nhân.

Cũng như WannaCry, Petya khả năng lây lan qua mạng nội bộ giữa các máy tính với nhau. Các máy tính có mở cổng 445 đều có nguy cơ bị lây nhiễm. Petya dùng 02 cách chính để lây nhiễm sang máy bên cạnh:

Ở phương thức lây lan thứ nhất, lỗi SMB chia sẻ tập tin của Windows EternalBlue (giống như đã bị WannaCry khai thác). Với phương thức lây lan thứ hai, Petya sử dụng công cụ của tin tặc để trích xuất mật khẩu của các máy tính bên cạnh từ bộ nhớ của máy đã bị nhiễm và cài đặt từ xa bằng công cụ psexec hợp pháp của Microsoft.

Chia sẻ về Petya, ông Vũ Ngọc Sơn - Phó Chủ tịch mảng chống động của Tập đoàn Bkav cho biết:

“Petya là một loại ransomware "vô cùng khó chịu" và không giống bất kỳ loại mã độc tống tiền nào trước đây. Petya không những thực hiện mã hoá tập tin dữ liệu trên máy nạn nhân, mà còn khởi động lại máy tính, mã hóa bảng master file của ổ cứng (MFT) và làm cho Master Boot Record (MBR) ngừng hoạt động, khiến người dùng không thể truy cập vào bất kỳ file nào trên ổ cứng.

Ransomware Petya thay thế MBR của máy tính bằng mã độc của chính nó, hiển thị thông báo đòi tiền chuộc và khiến máy tính không thể khởi động.”

Theo thống kê sơ bộ của Bkav, trên thế giới đã có 36 giao dịch trả tiền chuộc cho Petya được thực hiện thông qua bitcoin, tương đương với số tiền hơn 9.000 USD.

Theo VietNamNet
Bài liên quan:
Ý kiến bạn đọc (0)
Tên   Email

Các bài mới:
Các bài cũ hơn:
Lên đầu trang