Mã độc Petya 2017 thực chất không phải là ransomware

Yêu cầu đòi tiền chuộc dữ liệu trên một máy tính bị nhiễm Petya/NotPetya.

Cụ thể hơn, biến thể mới nhất của Petya sẽ xóa vĩnh viễn dữ liệu, và người dùng sẽ không có cách nào để khôi phục.

Theo các chuyên gia tại Comae Technologies, dường như hacker đã cố tình sử dụng cái tên Petya vốn dĩ từng liên quan đến một dòng mã độc tống tiền bị phát hiện hồi năm 2016 để làm lệch hướng của giới truyền thông và kể cả các chuyên gia công nghệ khi xem Petya 2017 là ransomware.

Tuy nhiên, tác giả của mã độc mới đã thiết kế đặc biệt cho Petya 2017 để nó trông giống phiên bản Petya đầu tiên và thực tế là giới truyền thông đã hoàn toàn bị hacker xỏ mũi.

Trong một thông cáo báo chí phát đi gần đây, hãng bảo mật Nga Kaspersky khẳng định, Petya 2017 không phải là hậu duệ của mã độc tống tiền Petya 2016, và hãng này tạm gọi mã độc mới là NotPetya hay ExPetr (căn cứ vào tên code của mã độc được các chuyên gia của Kaspersky phát hiện).

Thậm chí, Kaspersky còn cho rằng Petya 2017 hay NotPetya là một biến thể của siêu mã độc tống tiền WannaCry.

Quay trở lại với phân tích của Comae Technologies, nếu như Petya 2016 khác hầu hết ramsomware từng bị phát hiện trước đây ở việc thay vì chỉ đơn giản là nhằm vào các tập tin dữ liệu cá nhân thì nó lại khiến toàn bộ ổ cứng của máy tính rơi vào trạng thái "không thể truy cập" bằng cách chỉnh sửa "mục lục" Master Boot Record (MBR) của ổ cứng.

Trong khi đó, Petya 2017 hoàn toàn ngược lại. Mã độc này chẳng hề thực hiện việc mã hóa MBR hay lưu dữ liệu để "triệu hồi" ở thời điểm sau đó, song nó lại "quẳng vào thùng rác" 25 khối sector đầu tiên của một ổ cứng.

Nếu một quyển sách bị mất mục lục, thì bạn vẫn có thể đọc một trang bất kỳ nếu muốn. Nhưng với ổ cứng, mất MBR là xem nhưng bạn đã lạc lối!.