Mã độc Petrwrap là gì? Cách phòng chống mã độc tống tiền Petrwrap?

Ngày 27/6, Kaspersky Lab ghi nhận một làn sóng mã độc tống tiền lây lan và tấn công toàn thế giới, mục tiêu chính của kẻ tấn công là các doanh nghiệp ở Ukraine, Nga và Châu Âu. Vậy mã độc này là gì và làm sao để phòng chống mã độc Petrwrap?

Mã độc Petrwrap là gì?

Mã độc Petrwrap hay còn gọi là Petya, một dòng mã độc tương tự WannaCry, mã độc khóa dữ liệu trên máy tính của nạn nhân để đòi tiền chuộc. Mã độc này đã tấn công hàng loạt hệ thống máy tính của các cơ quan chức năng, doanh nghiệp tại Ukraine, Nga và một số nước Châu Âu để đòi tiền chuộc 300 USD bằng bitcoin cho mỗi nạn nhân.

Hình ảnh dưới đây là màn hình máy tính nạn nhân bị dính mã độc Petrwrap:

Petrwrap lây lan như thế nào?

Tính đến nay, Kaspersky Lab đã ghi nhận hơn 2,000 cuộc tấn công từ mã độc Petrwrap. Biểu đồ sau cho thấy tỉ lệ các nước bị tấn công bởi mã độc tống tiền này:

Để thu thập thông tin để lây lan mã độc, Petrwrap sử dụng các công cụ tùy chỉnh như Mimikatz. Các công cụ này sẽ trích xuất các thông tin xác thực từ quá trình chạy Isass.exe. Sau khi khai thác, các thông tin được chuyển đến các công cụ PsExec hoặc WMIC để phân phối trong cùng mạng lưới.

Ngoài ra, mã độc còn khai thác chung một lỗ hổng bảo mật mà mã độc WannaCry từng khai thác – lỗ hổng bảo mật EternalBlue. Lỗ hổng EternalRomance – một lỗ hổng vận hành điều khiển từ xa trên Windows XP đến Windows 2008 qua cổng TCP 445 – đã được vá lỗi với bản MS17-010 cũng được khai thác.

Mã độc sẽ chờ trong khoảng từ 10 – 60 phút sau khi lây nhiễm sang thiết bị nạn nhân để khởi động lại máy. Khởi động được lên lịch qua thiết lập hệ thống và công cụ shutdown.exe.

Một khi hệ thống khởi động, mã độc sẽ bắt đầu mã hóa bảng MFT trong các phân vùng NTFS, ghi đè lên MBR mở ra một đoạn ghi chú đòi tiền chuộc tùy chỉnh.

Có nên trả tiền chuộc cho kẻ tấn công?

Câu trả lời là không. Được biết kẻ tấn công đã đòi 300 USD bằng bitcoin qua 1 tài khoản Bitcoin thống nhất. Không giống WannaCry, hacker yêu cầu nạn nhân gửi số ví tiền qua email wowsmith123456@posteo.net để xác nhận giao dịch. Kaspersky Lab đã thấy các báo cáo tài khoản email này đã bị đóng, do đó dù nạn nhân có chuyển tiền đi nữa cũng không thể thực hiện giao dịch trong thời điểm này.

Cách phòng chống mã độc Petwarp

Khởi chạy tính năng phòng chống mã độc System Watcher được tích hợp trong giải pháp bảo mật Kaspersky Internet Security. Rất may là tính năng này của Kaspersky Lab đã ngăn chặn thành công cuộc tấn công này. Giải pháp sẽ ngay lập tức phục hồi những thay đổi ảnh hưởng hệ thống máy tính khi có dấu hiệu bất thường của các mã độc.

Thường xuyên cập nhật dữ liệu diệt virus mới trên các giải pháp bảo mật. Đặc biệt trong giai đoạn này, người dùng nên mỗi ngày kiểm tra cập nhật từ 2 đến 3 lần.

Đảm bảo rằng thiết bị đã được cập nhật bản vá mới nhất của Microsoft Windows và các ứng dụng của bên thứ ba. Đặc biệt cài bản vá lỗi MS17-010 ngay lập tức nếu chưa vá lỗi.

Không khởi chạy bất kỳ tập tin nào từ những nguồn không đáng tin cậy.

Sao lưu tất cả các dữ liệu quan trọng vào các ổ lưu trữ riêng biệt, giữ chúng ngoại tuyến để bảo đảm an toàn.

Minh Hương