Cách tấn công của virus Ransomware “Petya” tương tự như WannaCry đã thực hiện

Nhiều khách hàng đang là nạn nhân của Virus tống tiền

Phòng nghiên cứu F-Secure Labs đã xác nhận rằng ransomware được sử dụng lần này thuộc dòng Pansa ransomware, và nó hoạt động giống như một con sâu mạng, lây lan qua cùng một lỗ hổng SMB (sử dụng khai thác EternalBlue do NSA phát triển) như WannaCry.

Ông Jarkko đại diện của F-Secure Labs đã mô tả Petya được biết đến như là một công cụ của ransomware trong một bài đăng blog mà ông viết vào năm 2016. Thay vì chỉ mã hóa các tệp tin, nó sẽ khóa toàn bộ đĩa, không thể sử dụng được cho đến khi virus này bị loại khỏi.

Bất kỳ nạn nhân nào của Petya có thể thấy như sau: Các vũ khí lây nhiễm cho chiến dịch này vẫn còn là ẩn số, nhưng kết quả cuối cùng về cơ bản là giống nhau. Hầu hết các loại virus crypto-ransomware nhắm mục tiêu và mã hóa các tập tin trên ổ cứng của nạn nhân. Điều này có nghĩa là nạn nhân không thể truy cập các tệp tin này nhưng vẫn có thể sử dụng hệ điều hành. Petya đưa nó đến cấp độ tiếp theo bằng cách tự nó mã hóa các phần của ổ cứng để bạn không thể truy cập bất cứ thứ gì trên ổ đĩa, bao gồm Windows.

F-Secure cho rằng, về phương diện kỹ thuật Ransomware “Petya” đã có một lịch trình được tạo để khởi động lại máy tính bị nhiễm sau 1 giờ (trông giống như hành động với người dùng). Trong khi chờ đợi khởi động lại, Petya sẽ tìm kiếm các máy trong mạng để lây lan đến. Sau khi thu thập địa chỉ IP để lây nhiễm, Petya khai thác lỗ hổng SMB và tự hủy bản sao của nó vào máy tính mục tiêu. Sau khi khởi động lại, quá trình mã hoá bắt đầu trong quá trình khởi động, sau đó hiển thị thông tin về tiền chuộc.

Ransomware “Petya” bùng phát trên toàn thế giới, bao gồm Pháp, Ấn Độ, Tây Ban Nha, Anh, Mỹ, Nga... Và giống như WannaCry, Petya nó hoàn toàn nắm bắt các hệ thống mà người ta tin tưởng, chẳng hạn như máy ATM ở Ukraine.