Mã độc mới không phải Petya (Petrwrap)? Làm gì để đối phó với mã độc này?

www.tuoitre.vn -   29/06/2017 11:30:00 5339

Theo thông tin mới nhất từ Kaspersky Lab, mã độc đang hoành hành từ ngày 27/6 không phải là mã độc Petya mà là một mã độc chưa từng thấy trước đây. Hãng đặt tên cho mã độc này là New Petya hoặc NotPetya hay ExPetr.

Mã độc mới không phải Petya (Petrwrap)? Làm gì để đối phó với mã độc này?

Các chuyên gia bảo mật của Kaspersky Lab thì mã độc mới này có những đặc điểm hoàn toàn khác với mã độc Petya đã từng xuất hiện trước đó. Do đó, họ đã phân loại mã độc này thành một dòng hoàn toàn khác. Hãng quyết định đặt tên cho mã này là ExPetr (hay NotPetya – tên không chính thức)

Hình thức tấn công của loại mã độc mới này có phần phức tạp, liên quan đến nhiều thủ thuật tấn công. Trước mắt, hãng xác nhận rằng mã độc này đã khai thác lỗ hổng EternalBlue để lây lan trong mạng doanh nghiệp.

Các dòng sản phẩm của Kaspersky Lab phát hiện mã độc tống tiền mới với các tên sau:

  • Trojan-Ransom.Win32.ExPetr.a
  • HEUR:Trojan-Ransom.Win32.ExPetr.gen
  • UDS:DangerousObject.Multi.Generic (được phát hiện bởi Kaspersky Security Network)
  • PDM:Trojan.Win32.Generic (được phát hiện bởi tính năng System Watcher)
  • PDM:Exploit.Win32.Generic (được phát hiện bởi tính năng System Watcher)

Các doanh nghiệp cần làm gì để chống lại dòng mã độc mới này?

  1. Đảm bảo rằng 2 tính năng Kaspersky Security Network và System Watcher đã được kích hoạt trên các giải pháp bảo mật của Kaspersky được cài trên thiết bị.
  2. Cập nhật dữ liệu diệt virus bằng tay ngay lập tức
  3. Cài đặt các bản vá lỗi của Windows. Đặc biệt là bản vá lỗ hổng bảo mật EternalBlue.
  4. Để tăng cường bảo mật, người dùng doanh nghiệp có thể sử dụng Application Privilege Control, là một thành phần của Kaspersky Endpoint Security, để ngăn chặn bất kỳ hành vi xâm nhập nào của một nhóm các ứng dụng đến tập tin với tên perfc.dat và ngăn cản tiện ích PSExec (một phần của Sysinternals Suite) khởi chạy.
  5. Ngoài ra, người dùng cũng nên sử dụng thành phần Application Startup Control trong Kaspersky Endpoint Security để chặn hoạt động của tiện ích PSExec, nhưng hãy dùng Application Privilege Control để chặn perfc.dat.
  6. Thiết lập và kích hoạt chế độ Ngăn chặn mặc định trong thành phần Application Startup Control của Kaspersky Endpoint Security để bảo đảm đã tăng cường lớp bảo hộ chống lại cuộc tấn công này cũng như các cuộc tấn công khác.
  7. Doanh nghiệp cũng có thể sử dụng AppLocker để vô hiệu hóa việc khởi chạy các tập tin perfc.dat nói trên và tiện ích PSExec.

Người dùng cá nhân cần làm gì để chống lại dòng mã độc mới này?

Được biết, mã độc mới nhắm mục tiêu tấn công chính là các doanh nghiệp lớn. Nhưng dù sao đi nữa, người dùng cũng nên tự bảo vệ mình nếu lỡ như kẻ tấn công muốn chuyển hướng mục tiêu. Đây là danh sách những việc mà người dùng nên thực hiện ngay:

  1. Sao lưu dữ liệu quan trọng vào một nơi lưu trữ an toàn.
  2. Nếu đang sử dụng bất kỳ giải pháp bảo mật nào của Kaspersky, hãy bảo đảm rằng đã kích hoạt tính năng Kaspersky Security Network và System Watcher.
  3. Cập nhật dữ liệu diệt virus mới nhất ngay lập tức.
  4. Cài tất cả những bản vá lỗi mới nhất của Windows. Đặc biệt là bản vá lỗ hổng bảo mật EternalBlue.

Và cuối cùng là tuyệt đối đừng trả tiền chuộc cho kẻ tấn công bằng bất kỳ hình thức nào. Bởi theo thông tin cập nhật từ nhà cung cấp email của Đức Posteo, email của kẻ tấn công đã bị vô hiệu hóa. Một khi email bị vô hiệu, nạn nhân sẽ chẳng thể trả tiền cho kẻ tấn công và lấy lại dữ liệu. Về phía hãng, hãng cũng khuyến cáo người dùng rằng việc trả tiền cho kẻ tấn công cũng chỉ làm cho vấn đề trở nên thêm trầm trọng mà thôi. Bởi ExPetr không cài ID cài đặt (thành phần cần thiết để giải mã dữ liệu), đồng nghĩa với việc không thể trích xuất dữ liệu. Nói ngắn gọn, nạn nhân không thể phục hồi dữ liệu được nữa.

Minh Hương

TIN CÙNG CHUYÊN MỤC

Chuyên gia Kaspersky: Số lượng mã độc đà...

24/11/2022 08:00:00 64
Trong Quý 3/2022, các nhà nghiên cứu tại Kaspersky nhận thấy sự gia tăng mạnh mẽ của mã độc đào tiền...

Phần mềm độc hại Notorious Emotet quay t...

21/11/2022 08:00:00 19
Phần mềm độc hại khét tiếng Emotet đã quay trở lại với sức mạnh mới như một phần của chiến dịch mals...

Phát hiện ứng dụng Google Play Store độc...

11/11/2022 08:00:00 11
Google đã xóa hai ứng dụng Android độc hại mới đã được phát hiện trên Cửa hàng Play, một trong số đó...

Cập nhật bản Windows mới càng sớm càng t...

10/11/2022 08:00:00 15
Bản cập nhật hàng tháng mới nhất của Microsoft đã được phát hành và sửa lỗi cho những 68 lỗ hổng bảo...

Công cụ Facebook ẩn cho phép xoá email h...

09/11/2022 08:00:00 57
Facebook dường như đã âm thầm tung ra một công cụ cho phép người dùng xóa thông tin liên hệ của họ, ...

Nửa đầu 2022: Việt Nam ghi nhận tấn công...

08/11/2022 08:00:00 309
Mặc dù phần mềm độc hại thường nhắm vào dữ liệu cá nhân nhưng các tổ chức, doanh nghiệp với chính sá...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ