Những điều cần biết về mã độc tấn công đòi tiền chuộc Petya

Một cuộc tấn công mạng lớn trên thế giới vào ngày hôm qua (27/6) đã làm gián đoạn khoảng 2.000 máy tính trên nhiều quốc gia bao gồm Anh, Mỹ, Pháp và Đức, với một loại mã độc tống tiền tương tự WannaCry.

Theo Telegraph, khi bị nhiễm mã độc, các máy tính sẽ ngừng hoạt động và hiển thị thông tin đòi tiền chuộc với mức phí 300 USD (khoảng 6.8 triệu đồng). Cuộc tấn công lan rộng đã ảnh hưởng đến các công ty và tổ chức đa quốc gia bao gồm ngân hàng quốc gia Ukraina, công ty quảng cáo của Anh WPP và công ty vận chuyển Maersk...

Ransomware là gì?

Ransomware là một dạng tấn công qua mạng, nó mã hóa tất cả các tập tin quan trọng trên máy tính và yêu cầu phải trả tiền để giải mã các dữ liệu này. Các máy tính bị nhiễm ransomware sẽ không thể sử dụng được, nó hiển thị một thông báo đòi tiền chuộc của tổ chức đứng đằng sau vụ tấn công.

Những dữ liệu bị ransomware mã hóa thường rất khó để khôi phục lại, nếu không muốn nói là không thể. Các chuyên gia bảo mật thường khuyến nghị các nạn nhân không nên trả tiền cho tin tặc, bởi vì trong trường hợp có thể giải mã, các dữ liệu cũng sẽ không được khôi phục lại đầy đủ và nó có thể đã bị rò rỉ ra ngoài.

Ransomware Petya là gì?

Các chuyên gia cho rằng NotPetya, một biến thể của Petya, đã xuất hiện hơn một năm nay chính là thủ phạm đã gây ra cuộc tấn công trên phạm vi toàn cầu vào hôm thứ Ba. Petya là một dạng mã độc nguy hiểm có thể mã hóa ổ cứng máy tính cũng như các dữ liệu của nạn nhân được lưu trữ trên máy tính đó. Rất khó để khôi phục các thông tin trên các máy tính bị ransomware này lây nhiễm, và loại ransomware này cũng có thể được sử dụng để đánh cắp các thông tin nhạy cảm.

Ransomware Petya trên một máy ATM của ngân hàng quốc gia Ukraina

Petya khác gì so với WannaCry?

Các chuyên gia bảo mật cho biết loại ransomware này có thể lây lan theo cùng phương thức với cuộc tấn công WannaCry, làm lây nhiễm hàng trăm ngàn máy tính, kể cả NHS hồi đầu năm nay. Giống như WannaCry, Petya có thể đã lợi dụng Eternal Blue, một công cụ do Cơ quan An ninh Quốc gia Mỹ tạo ra và đã bị nhóm tin tặc Shadow Brokers tung lên mạng nhằm khai thác lỗ hổng trong phần mềm của Microsoft.

Tại sao Petya nguy hiểm hơn WannaCry?

Trả lời VnReview.vn, ông Ngô Tuấn Anh, Phó chủ tịch phụ trách An ninh mạng của Bkav nhận định Petya gây hậu quả nghiêm trọng hơn mã độc WannaCry: "Khi lây nhiễm vào máy tính, WannaCry mã hóa các file trong ổ cứng, người dùng vẫn có thể đăng nhập được vào hệ điều hành, vẫn thấy được các dữ liệu của mình, và có những dữ liệu chưa bị mã hóa thì vẫn có thể sử dụng được. Nhưng với Petya thì nó sẽ reboot lại máy tính, mã hóa MFT (Master File Table) và thay đổi MBR (Master Boot Record), khiến cho máy tính hoàn toàn không khởi động được, mất hết các thông tin meta về các file trong ổ cứng tên file, kích thước, vị trí trên ổ cứng".

Theo chuyên gia Bkav, mã độc này lây nhiễm dựa trên 2 cách thức: thứ nhất là thông qua các lỗ hổng SMB, đây là lỗ hồng mà WannaCry từng khai thác. Bên cạnh đó nó còn sử dụng thêm 2 công cụ đi kèm nên có khả năng lây nhiễm rộng hơn trong hệ thống mạng LAN, thậm chí có thể lây nhiễm cả vào các máy tính đã vá lỗ hổng từ trước đó mà WannaCry đã khai thác.

Thống kê vào tháng 5/2017 của Bkav cho thấy có tới 52% máy tính ở Việt Nam đang tồn tại lỗ hổng EternalBlue có thể bị khai thác bởi WannaCry. Và với khả năng lây nhiễm mạnh và nguy hiểm hơn cả WannaCry, Việt Nam đang đứng trước nguy cơ lớn bị mã độc Petya tấn công. Dù vậy, cho tới thời điểm hiện tại, Bkav vẫn chưa ghi nhận trường hợp nào nhiễm mã độc này tại Việt Nam.

Vụ tấn công đã gây ra những hậu quả gì?

Vụ tấn công đã làm ảnh hưởng khoảng 2.000 máy tính trên nhiều quốc gia bao gồm Vương Quốc Anh, Mỹ, Pháp và Đức. Nhiều tổ chức nhà nước và các tổ chức công cộng đã bị ảnh hưởng, trong đó cả công ty quảng cáo đa quốc gia WPP và ngân hàng quốc gia Ukraina đều đã báo cáo về vấn đề và họ đang gặp phải.

Quốc gia bị ảnh hưởng nhiều nhất trong đợt tấn công là Ukraina, và các hệ thống trong nhà máy điện hạt nhân Chernobyl được các chuyên gia chuyển sang đế độ hoạt động thủ công như một biện pháp phòng ngừa.

Bạn có nên lo lắng không?

Những máy tính đã được cài đặt các bản cập nhật mới nhất của Microsoft có thể an toàn trước cuộc tấn công này. Người dùng nên kiểm tra xem họ đã cài đặt phiên bản Windows mới nhất chưa và lưu ý không click vào các liên kết (link) không rõ nguồn gốc có thể chứa các phần mềm độc hại.

Nếu trở thành nạn nhân, bạn có nên trả tiền chuộc?

Các chuyên gia bảo mật khuyến cáo nạn nhân không nên trả tiền chuộc vì điều đó sẽ cổ vũ cho những kẻ tấn công. Ngay cả khi nạn nhân đã trả tiền, không có gì đảm bảo rằng tất cả các tập tin sẽ được trả lại đầy đủ và toàn vẹn. Thay vào đó, điều tốt nhất mà người dùng nên làm là khôi phục lại tất cả các tệp từ các bản sao lưu. Nếu không thể làm gì được, trên internet hiện đang có một số công cụ có thể giải mã và giúp khôi phục các dữ liệu này.

Ngoài ra, để phòng ngừa nguy cơ mã độc tấn công, chuyên gia Bkav khuyến cáo người dùng nên sao lưu dữ liệu thường xuyên, cập nhật bản vá cho hệ điều hành, đồng thời chỉ mở các file văn bản nhận từ Internet trong môi trường cách ly Safe Run. Đặc biệt đối với quản trị hệ thống, cần rà soát kỹ hệ thống server bởi với WMIC và PSEXEC mã độc có thể dễ dàng lây nhiễm từ một server ra toàn bộ hệ thống có cùng domain. Người dùng cũng cần cài phần mềm diệt virus thường trực trên máy tính để được bảo vệ tự động. Riêng người dùng Bkav Pro hoặc Bkav Endpoint được tự động bảo vệ trước loại mã độc này

Thanh Long