Mã độc Petrwrap là gì? Cách phòng chống mã độc tống tiền Petrwrap?

www.tuoitre.vn -   28/06/2017 01:00:00 4149

Ngày 27/6, Kaspersky Lab ghi nhận một làn sóng mã độc tống tiền lây lan và tấn công toàn thế giới, mục tiêu chính của kẻ tấn công là các doanh nghiệp ở Ukraine, Nga và Châu Âu. Vậy mã độc này là gì và làm sao để phòng chống mã độc Petrwrap?

Mã độc Petrwrap là gì?

Mã độc Petrwrap hay còn gọi là Petya, một dòng mã độc tương tự WannaCry, mã độc khóa dữ liệu trên máy tính của nạn nhân để đòi tiền chuộc. Mã độc này đã tấn công hàng loạt hệ thống máy tính của các cơ quan chức năng, doanh nghiệp tại Ukraine, Nga và một số nước Châu Âu để đòi tiền chuộc 300 USD bằng bitcoin cho mỗi nạn nhân.

Hình ảnh dưới đây là màn hình máy tính nạn nhân bị dính mã độc Petrwrap:

Mã độc Petwrap là gì? Cách phòng chống mã độc tống tiền Petwrap?

Petrwrap lây lan như thế nào?

Tính đến nay, Kaspersky Lab đã ghi nhận hơn 2,000 cuộc tấn công từ mã độc Petrwrap. Biểu đồ sau cho thấy tỉ lệ các nước bị tấn công bởi mã độc tống tiền này:

Mã độc Petwrap là gì? Cách phòng chống mã độc tống tiền Petwrap?

Để thu thập thông tin để lây lan mã độc, Petrwrap sử dụng các công cụ tùy chỉnh như Mimikatz. Các công cụ này sẽ trích xuất các thông tin xác thực từ quá trình chạy Isass.exe. Sau khi khai thác, các thông tin được chuyển đến các công cụ PsExec hoặc WMIC để phân phối trong cùng mạng lưới.

Ngoài ra, mã độc còn khai thác chung một lỗ hổng bảo mật mà mã độc WannaCry từng khai thác – lỗ hổng bảo mật EternalBlue. Lỗ hổng EternalRomance – một lỗ hổng vận hành điều khiển từ xa trên Windows XP đến Windows 2008 qua cổng TCP 445 – đã được vá lỗi với bản MS17-010 cũng được khai thác.

Mã độc sẽ chờ trong khoảng từ 10 – 60 phút sau khi lây nhiễm sang thiết bị nạn nhân để khởi động lại máy. Khởi động được lên lịch qua thiết lập hệ thống và công cụ shutdown.exe.

Một khi hệ thống khởi động, mã độc sẽ bắt đầu mã hóa bảng MFT trong các phân vùng NTFS, ghi đè lên MBR mở ra một đoạn ghi chú đòi tiền chuộc tùy chỉnh.

Có nên trả tiền chuộc cho kẻ tấn công?

Câu trả lời là không. Được biết kẻ tấn công đã đòi 300 USD bằng bitcoin qua 1 tài khoản Bitcoin thống nhất. Không giống WannaCry, hacker yêu cầu nạn nhân gửi số ví tiền qua email wowsmith123456@posteo.net để xác nhận giao dịch. Kaspersky Lab đã thấy các báo cáo tài khoản email này đã bị đóng, do đó dù nạn nhân có chuyển tiền đi nữa cũng không thể thực hiện giao dịch trong thời điểm này.

Cách phòng chống mã độc Petwarp

Khởi chạy tính năng phòng chống mã độc System Watcher được tích hợp trong giải pháp bảo mật Kaspersky Internet Security. Rất may là tính năng này của Kaspersky Lab đã ngăn chặn thành công cuộc tấn công này. Giải pháp sẽ ngay lập tức phục hồi những thay đổi ảnh hưởng hệ thống máy tính khi có dấu hiệu bất thường của các mã độc.

Thường xuyên cập nhật dữ liệu diệt virus mới trên các giải pháp bảo mật. Đặc biệt trong giai đoạn này, người dùng nên mỗi ngày kiểm tra cập nhật từ 2 đến 3 lần.

Đảm bảo rằng thiết bị đã được cập nhật bản vá mới nhất của Microsoft Windows và các ứng dụng của bên thứ ba. Đặc biệt cài bản vá lỗi MS17-010 ngay lập tức nếu chưa vá lỗi.

Không khởi chạy bất kỳ tập tin nào từ những nguồn không đáng tin cậy.

Sao lưu tất cả các dữ liệu quan trọng vào các ổ lưu trữ riêng biệt, giữ chúng ngoại tuyến để bảo đảm an toàn.

Minh Hương

TIN CÙNG CHUYÊN MỤC

Đọc nhanh tài liệu Word với tính năng AI...

30/08/2024 12:00:00 83
Một tính năng mới rất hữu ích dành cho người dùng Word, cho phép xử lý các tài liệu dài dễ dàng hơn ...

Google tung bản vá bảo mật khẩn cấp cho ...

29/08/2024 12:00:00 69
Hãykiểm tra xem trình duyệt của mình đã tự động cập nhật lên phiên bản mới nhất chưa bằng cách mở cà...

Phần mềm độc hại Android mới NGate đánh ...

28/08/2024 08:00:00 71
Các nhà nghiên cứu an ninh mạng đã phát hiện ra phần mềm độc hại Android mới có thể chuyển tiếp dữ l...

Thời đại AI lên ngôi, ảnh chụp không hẳn...

28/08/2024 12:00:00 80
Với sự xuất hiện của AI, bất kỳ ai cũng có thể tạo ảnh giả với độ chân thực không kém chuyên gia pho...

Trung tâm siêu dữ liệu đang được Google ...

27/08/2024 12:00:00 48
Lý do khiến Google có thể lựa chọn xây trung tâm dữ liệu tại Việt Nam đến từ việc hãng kiếm được ngà...

Google cảnh báo về lỗ hổng bảo mật CVE-2...

26/08/2024 08:00:00 33
Google đã tiết lộ rằng một lỗ hổng bảo mật đã được vá như một phần của bản cập nhật phần mềm được tu...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ