CMC cảnh báo khẩn về mã độc tống tiền Petya và cách thức phòng chống

Quy mô lây nhiễm của Petya như thế nào?

14h chiều ngày 27 tháng 6 năm 2017 theo giờ Việt Nam mã độc được phát hiện. Mã độc tống tiền “Petya”, trong khoảng 24h phát tán, đã gây ra sự gián đoạn nghiêm trọng tại nhiều quốc gia lớn ở châu Âu như Ukraine, Tây Ban Nha, Isarel, Anh, Hà Lan và Hoa Kỳ.Quốc gia bị ảnh hưởng nặng nề nhất bởi Petya là Ukraine.

Hiện tại, một loạt các ngành tại Châu Âu gồm cả khối chính phủ, vận tải bao gồm nhà ga, sân bay, ngành năng lượng, hóa dầu, ngân hàng bao gồm cả hệ thống ATM và cả hệ thống hạt nhân Chernobyl đều báo cáo đã bị lây nhiễm bởi mã độc này.

Hình ảnh bị lây nhiễm Petya khi khởi động lại, máy tính không khởi động được.

Cũng như WannaCry, Petya khả năng lây lan qua mạng nội bộ giữa các máy tính với nhau. Các máy tính có mở cổng 445 đều có nguy cơ bị lây nhiễm. Petya dùng 2 cách chính để lây nhiễm sang máy bên cạnh: Lỗi SMB chia sẻ tập tin của Windows EternalBlue (giống như đã bị WannaCry khai thác). Sử dụng công cụ của tin tặc để trích xuất mật khẩu của các máy tính bên cạnh từ bộ nhớ của máy đã bị nhiễm và cài đặt từ xa bằng công cụ psexec hợp pháp của Microsoft.

Petya nguy hiểm như thế nào?

Petya đã xuất hiện vào khoảng đầu năm 2016, tuy nhiên đây là biến thể Petya mới, được biên dịch vào ngày 18/6/2017. Mã độc này thực chất đóng vai trò lây lan và đòi tiền chuộc. Việc mã hóa toàn bộ bảng Phân vùng và sector 0 của ổ cứng được thực hiện bởi một virus tên là Petya (được phát hiện từ năm 2016). Petya được nhúng trong Petya sau khi đã bị thay đổi một số thông tin bao gồm thông tin hiển thị tới người dùng và mã khóa mới.

Petya lây lan qua file đính kèm vào các hòm thư điện tử. Khi người sử dụng mở một file tài liệu office được tạo sẵn để khai thác lỗi bảo mật CVE-2017-0199 (ảnh hưởng tới Microsoft Office 2007 SP3, Microsoft Office 2010 SP2, Microsoft Office 2013 SP1, Microsoft Office 2016). Lỗi bảo mật này đã được Microsoft vá vào 11/4/2017. Nếu người sử dụng mở tập tin đính kèm, mã độc với md5 71b6a493388e7d0b40c83ce903bc6b04sẽ được download ngầm và thực thi trên máy của nạn nhân.