Petya Ransomware lan rộng nhanh chóng trên toàn thế giới, giống như WannaCry
Theo nhiều nguồn tin, một biến thể mới của Petya ransomware , còn gọi là Petwrap, đang lan rộng nhanh chóng với sự trợ giúp của lỗ hổng Windows SMBv1 tương tự như ransomware WannaCry lợi dụng để lây nhiễm 300.000 hệ thống và máy chủ trên toàn thế giới chỉ trong 72 giờ vào tháng trước.
Ngoài ra, nhiều nạn nhân cũng đã thông báo rằng ransomware Petya cũng đã bị nhiễm dù hệ thống của họ đã vá lỗi.
“Petya sử dụng khai thác NSA Eternalblue nhưng cũng lan truyền trong các mạng nội bộ với WMIC và PSEXEC. Đó là lý do tại sao các hệ thống vá lỗi có thể bị tấn công.” Mikko Hypponen xác nhận , Giám đốc Nghiên cứu của F-Secure.
Petya là họ ransomware khó chịu và hoạt động rất khác so với bất kỳ phần mềm độc hại ransomware khác. Không giống như các công cụ ransomware truyền thống khác, Petya không mã hóa các tập tin trên một hệ thống.
Thay vào đó, Petya khởi động lại máy tính nạn nhân và mã hóa bảng Master File của MFT và làm cho Master Boot Record (MBR) không hoạt động, hạn chế truy cập vào toàn bộ hệ thống bằng cách nắm bắt thông tin về tên file, kích cỡ và vị trí trên đĩa vật lý.
Petya ransomware thay thế MBR của máy tính bằng mã độc hại của chính nó, hiển thị thông báo về tiền chuộc và để máy tính không thể khởi động.
Không phải trả tiền chuộc
Những người sử dụng bị nhiễm bệnh được khuyên không phải trả tiền chuộc vì tin tặc đứng đằng sau Perasa ransomware không thể nhận được email của bạn nữa.
Posteo, nhà cung cấp dịch vụ thư điện tử của Đức, đã tạm ngưng địa chỉ email wowsmith123456@posteo.net, được sử dụng bởi bọn tội phạm để liên lạc với nạn nhân sau khi nhận tiền chuộc để gửi chìa khóa giải mã.
Vào thời điểm này, 23 nạn nhân đã trả tiền cho Bitcoin đến địa chỉ ‘ 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX ‘ để giải mã các tệp tin bị nhiễm bệnh Petya, tổng cộng khoảng $ 6775.
Petya! Petya! Một cuộc tấn công Ransomware khác trên toàn cầu
Ảnh chụp màn hình của nhiễm trùng Petya mới nhất, chia sẻ trên Twitter, cho thấy rằng ransomware hiển thị một văn bản, đòi hỏi trị giá 300 đô la của Bitcoins. Đây là những gì các văn bản thể hiện:
” Nếu bạn thấy văn bản này, thì các tập tin của bạn không còn có thể truy cập nữa, bởi vì chúng được mã hóa. Có lẽ bạn đang bận tìm cách khôi phục các tệp của mình, nhưng đừng lãng phí thời gian của bạn Không ai có thể phục hồi các tệp của bạn mà không có dịch vụ giải mã của chúng tôi.”
Theo một nghiên cứu gần đây của VirusTotal , hiện chỉ có 16/61 dịch vụ chống vi-rút phát hiện thành công phần mềm độc hại ransomware Petya.
Petya Ransomware tấn công Ngân hàng, Viễn thông, Doanh nghiệp & Công ty Điện lực
Có nhiều báo cáo từ một số ngân hàng, bao gồm Ngân hàng quốc gia Ukraine (NBU) và Oschadbank, cũng như các công ty khác khẳng định họ đã bị Petya tấn công.Petya ransomware đã tấn công – nhà cung cấp dầu mỏ Nga Rosneft, nhà cung cấp điện của bang Ucraina, “Kyivenergo” và “Ukrenergo” trong vài giờ qua.
” Dịch vụ báo chí của Kyivenergo cho biết:” Chúng tôi đã bị tấn công, hai giờ trước, chúng tôi phải tắt tất cả máy tính của chúng tôi. Chúng tôi đang chờ sự chấp thuận của Dịch vụ An ninh Ukraine (SBU) để chuyển đổi chúng “.
Maersk, một công ty logistics quốc tế, cũng đã xác nhận trên Twitter rằng các cuộc tấn công ransomware mới nhất của Petya đã đóng cửa các hệ thống CNTT tại nhiều địa điểm và các đơn vị kinh doanh.
“Chúng tôi có thể khẳng định rằng các hệ thống IT của Maersk đang hoạt động trên nhiều trang web và các đơn vị kinh doanh khác nhau.Chúng tôi hiện đang khẳng định tình hình này.Niềm tin của nhân viên, hoạt động của chúng tôi và kinh doanh của khách hàng là ưu tiên hàng đầu của chúng tôi.Chúng tôi sẽ cập nhật khi chúng tôi có thêm thông tin, “Công ty nói.
Các ransomware cũng ảnh hưởng đến nhiều trạm làm việc tại công ty khai thác mỏ của Ucraina Evraz.
Các thiệt hại nghiêm trọng nhất được báo cáo bởi các doanh nghiệp Ucraina cũng bao gồm các hệ thống bị xâm phạm tại các khu đô thị của Ukraine và sân bay Boryspil của Kiev .
Ba nhà khai thác viễn thông Ukraine, Kyivstar, LifeCell, Ukrtelecom, cũng bị ảnh hưởng trong cuộc tấn công mới nhất của Petya.
Làm thế nào Petya Ransomware lây lan nhanh như vậy?
Symantec, công ty bảo mật không gian mạng, cũng xác nhận rằng Petya ransomware đang khai thác lỗ hổng EternalBlue của SMBv1 , giống như WannaCry, và tận dụng các máy Windows chưa được vá.
” Petya ransomware thành công trong việc lây lan bởi vì nó kết hợp cả tấn công phía máy khách (CVE-2017-0199) và một mối đe dọa dựa trên mạng (MS17-010) ” , nhà nghiên cứu bảo mật sử dụng Twitter đã xử lý HackerFantastic tweeted .
EternalBlue là một lỗ hổng Windows SMB được phát tán bởi nhóm hacker khét tiếng Shadow Brokers trong khối dữ liệu vào tháng Tư, nhóm này đã tuyên bố đã đánh cắp nó từ cơ quan tình báo Hoa Kỳ NSA cùng với các cuộc tấn công vào Windows khác.
Microsoft đã vá lỗ hổng cho tất cả các phiên bản hệ điều hành Windows, nhưng nhiều người sử dụng vẫn dễ bị tổn thương, và một chuỗi các biến thể của phần mềm độc hại đang khai thác lỗ hổng này để cung cấp ransomware.
Chỉ ba ngày trước, một báo cáo về cuộc tấn công WannaCry mới nhất vào Honda Motor Corp và khoảng 55 hệ thống đèn camera ra giao thông.
Vâng, khá ngạc nhiên là ngay cả sau khi biết về vấn đề WannaCry trong một khoảng thời gian khá dài, các tập đoàn và công ty lớn vẫn chưa thực hiện các biện pháp an ninh thích hợp để bảo vệ chống lại mối đe dọa như vậy.
Làm thế nào để bảo vệ bản thân khỏi các cuộc tấn công Ransomware
Cài đặt ngay bản vá lỗ hổng EternalBlue (MS17-010) và vô hiệu hóa giao thức chia sẻ tệp SMBv1 không an toàn, giao thức này đã 30 năm tuổi trên các hệ thống và máy chủ Windows.
Vì Petya Ransomware cũng lợi dụng các công cụ WMIC và PSEXEC để lây nhiễm vào các máy tính Windows đã được vá đầy đủ, bạn cũng nên tắt WMIC (Windows Management Instrumentation Command-line).
Ngăn chặn sự lây nhiễm & Petya Kill-Switch
Nhà nghiên cứu phát hiện ra các hệ thống mã hóa Piresa ransomware sau khi khởi động lại máy tính.Vì vậy, nếu hệ thống của bạn bị nhiễm Petsa ransomware và nó cố gắng khởi động lại, chỉ cần không bật nó trở lại, tuy nhiên điều này sẽ rất khó cho người dùng cuối và các hệ thống máy chủ truy vấn từ xa.
” Nếu máy khởi động lại và bạn thấy thông báo này, hãy tắt ngay lập tức! Đây là quá trình mã hóa Nếu bạn không bật nguồn, các tệp tin sẽ ổn ” HackerFantastic tweeted . ” Sử dụng một đĩa LiveCD hoặc máy bên ngoài để phục hồi các tập tin ”
PT Security , một công ty an ninh trên mạng có trụ sở tại Anh và Amit Serper của Cybereason, đã phát hiện ra một công cụ Kill-Switch cho công cụ ransomware Petya. Theo một tweet, công ty đã khuyên người dùng tạo một tệp tin ” C: \ Windows \ perfc ” để ngăn ngừa nhiễm ransomware.
Để bảo vệ chống lại bất kỳ sự lây nhiễm ransomware nào, bạn nên luôn nghi ngờ các tệp và tài liệu không mong muốn được gửi qua email và không nên nhấp vào các liên kết bên trong trừ khi xác minh nguồn.
Để luôn nắm bắt chặt chẽ những dữ liệu quý giá của bạn, hãy giữ lại một quy trình sao lưu tốt, tạo bản sao cho một thiết bị lưu trữ bên ngoài không phải lúc nào cũng kết nối với máy tính của bạn.
Hơn nữa, hãy đảm bảo rằng bạn chạy bộ phần mềm chống vi rút hiệu quả và hiệu quả trên hệ thống của bạn và cập nhật nó. Quan trọng nhất là luôn duyệt Internet một cách an toàn.
Theo: Hackingnews.com