Tất cả về Petya: ransomware nhưng không phải là ransomware, cơ chế tấn công, cách phòng ngừa

Tất cả về Petya: ransomware nhưng không phải là ransomware, cơ chế tấn công, cách phòng ngừa

Discussion in 'Thông tin công nghệ' started by Duy Luân, 29/6/17. Replies: 76. Views: 32,070.

Duy Luân
Theo dõi

Tất cả về Petya: ransomware nhưng không phải là ransomware, cơ chế tấn công, cách phòng ngừa

Thảo luận trong 'Thông tin công nghệ' bắt đầu bởi Duy Luân, 29/6/17. Trả lời: 76, Xem: 32070.

Chia sẻ

  1. Duy Luân

    Duy Luân Không có gì!

    Tham gia:
    16/2/08
    Được thích:
    237,661
    Best Answers:
    3
    Duy Luân
    VIP
    #1 Duy Luân, 29/6/17
    Sửa lần cuối: 29/6/17
    Petya là con ransomware đang lây lan rất nhanh trên phạm vi toàn cầu và những người bị lây nhiễm gần như không có cách nào để lấy lại dữ liệu của mình. Nó cực kì nguy hiểm vì tới nay vẫn chưa có ai tìm được cách khôi phục lại data cũng như không liên hệ được với hacker ngay cả khi bạn chấp nhận trả tiền chuộc vì địa chỉ email của hắn ta đã bị cắt nhiều tháng trước. Nhưng thật sự đây có phải là một con ransomware hay chỉ đơn thuần là một virus được tạo ra nhằm phá hoại một số nạn nhân cụ thể và sử dụng công cụ đòi tiền chuộc như một cách đánh lừa dư luận?

    Petya tấn công như thế nào?

    Dấu hiệu đầu tiên của Petya xuất hiện vào ngày 27/6 ở Ukraine. Ngân hàng Trung Ương Ukraine và Sân bay Quốc tế Kiev đã bị tấn công bởi con ransomware này, ngoài ra còn có tin rằng hệ thống giám sát phóng xạ của nhà máy Chernoby cũng bị ảnh hưởng. Một số nhà phân tích nghĩ rằng Petya đã có mặt tại Ukraine được vài tháng nhưng tới nay mới bùng phát thành đại dịch. Từ đây, nó bắt đầu lan rộng ra và mới đây Microsoft đã xác nhận có thêm 64 quốc gia khác đã bị ảnh hưởng. Cũng cần nói thêm rằng Petya chỉ tấn công các máy tính Windows.

    Triệu chứng mà bạn thấy khi máy tính của bạn bị Petya tấn công đó là màn hình đen chữ đỏ ghi thông tin chuyển khoản và yêu cầu nộp 300$ tiền bitcoin để nhận lại key giải mã các file đã bị mã hóa. Đây chính xác là những gì mà một con ransomware sẽ làm: lây nhiễm, mã hóa file của người dùng rồi thông báo đòi tiền chuộc nhầm trục lợi cho hacker đã tạo ra nó.

    Đang tải Petya_ransomware_virus_pha_hoai.png…

    Theo các chuyên gia, Petya mã hóa 1MB đầu tiên của mọi file thuộc các extension như bên dưới, trong đó tất nhiên bao gồm nhiều file tài liệu mà với các công ty, cơ quan nhà nước sẽ rất quan trọng và liên quan đến chuyện sống còn của tổ chức. Dù chỉ mã hóa 1MB nhưng nó đã làm sai lệch cấu trúc file khiến các phần mềm không thể đọc được trọn vẹn nội dung gốc, đồng nghĩa với việc file đã trở nên vô dụng. Petya thực hiện quy trình mã hóa này trước khi máy tính reboot nên một số lời đồn rằng nếu không reboot thì dữ liệu sẽ không mất là sai.

    Symantec nói Petya còn ghê gớm hơn WannaCry vì nó sửa thông tin trong Master Boot Record. Nếu bạn chưa biết thì MBR chứa thông tin về các phân vùng logic và hệ thống file system cũng như các đoạn mã cần thiết để máy tính chạy lên. Nhưng theo công ty MalwareTech, đơn vị đã tìm ra kill switch của WannaCry, thì việc này không gây ảnh hưởng gì cả vì 24 sector trong ổ đĩa mà Petya đã "phá hủy" không chứa bất kì dữ liệu nào do các hệ thống Windows chỉ bắt đầu có dữ liệu từ sector thứ 64 trở đi mà thôi (tức là 63 sector trước đó hoàn toàn trống).

    Petya lây nhiễm bằng cùng một lỗ hổng EternalBlue mà WannaCry sử dụng. Điều này có nghĩa là nếu máy tính của bạn được update đầy đủ thì sẽ không bị ảnh hưởng gì cả, còn những máy quá cũ hay không được cập nhật sẽ có nguy cơ bị lây nhiễm rất cao nên trước mắt anh em hãy đi update Windows của mình với tất cả các bản vá mới nhất đi (vào Windows Update để thực hiện nhé).

    Danh sách các file sẽ bị Patya mã hóa

    Petya có thật sự là ransomware không?

    Nhưng mọi chuyện không dừng ở đó, điểm đáng chú ý đó là địa chỉ email mà Petya ghi trên màn hình đã bị cắt nhiều tháng trước. Điều này đồng nghĩa với việc các nạn nhân sẽ không bao giờ liên lạc được với hacker ngay cả khi họ muốn chi tiền và muốn nhận key giải mã. Mà khi không liên lạc được, xác suất nạn nhân chuyển tiền là rất thấp. Thật vậy, tài khoản Bitcoin mà Petya sử dụng chỉ mới nhận được 10.000$ mà thôi, một con số vô cùng khiêm tốn so với một con ransomware có quy mô ảnh hưởng toàn cầu.

    Thông tin trên khiến các nhà nghiên cứu nghi ngờ rằng Petya thực chất là một con virus chuyên đi phá hoại và nó chỉ giả dạng như là một ransomware để tránh những điều tra về nguồn gốc và mục đích thật sự của vụ tấn công. Theo lời nhà nghiên cứu Nicholas Weaver đến từ Viện nghiên cứu khoa học máy tính thuộc Đại học Berkeley, Petya là "một vụ tấn công cố ý, mang tính hủy diệt hoặc có thể làm một phép thử nào đó giả dạng làm ransomware". Chính vì lý do trên nên người ta còn gọi Petya là "NotPetya".

    Đang tải Petya_ransomware_virus_pha_hoai_2.png…

    Suy rộng hơn, Petya được viết ra để tấn công vào một số nạn nhân cụ thể. Nó được thả ra ở những công ty, tổ chức, chính phủ rất cụ thể và phá hoại dữ liệu của những nơi này, còn việc lây lan hay đòi tiền chuộc thực chất chỉ là một cách đánh lừa dư luận. Việc tận dụng cùng lỗ hổng với WannaCry cũng có thể là một trong những cách thức được hacker sử dụng để lái dư luận theo hướng ransomware thay vì tìm hiểu Petya như là một con virus.

    Do mức độ lây lan của Petya rất khó kiểm soát nên hacker muốn đánh ai đó sẽ cần thả nó trúng mục tiêu, dựa vào đây có thể dự đoán rằng mục tiêu ban chính nằm ở ngay tại Ukraine, những quốc gia khác nằm trong tầm ảnh hưởng chỉ đơn giản là bị vạ lây. Bạn nghĩ thử xem, giả sử bạn thả một con virus tại Pháp rồi đợi nó lây qua đúng mục tiêu ở Ukraine thì xác suất thành công sẽ thấp hơn, thôi thì bạn mang qua Ukraine thả luôn cho rồi.

    Không loại trừ khả năng đây chỉ mới là một bài test "nhỏ" của hacker để chuẩn bị cho những đột tấn công lớn hơn theo sau. Có khả năng hacker đang chuẩn bị đánh mass, tức là đánh một lúc nhiều mục tiêu quan trọng theo yêu cầu của ai đó hay của những chính phủ đen tối nào đó.

    Làm sao để phòng ngừa?

    Nói như vậy không có nghĩa là đã hết hi vọng. Nhà nghiên cứu Amit Serper đã tìm được một cách ngăn ngừa vụ tấn công của Petya chỉ bằng cách tạo ra một file đặt trong hệ thống. Cơ chế hoạt động của Petya đó là nó sẽ tìm một file tên "perfc" nằm trong thư mục C:\Windows. Nếu file này đã tồn tại, Petya sẽ không hoạt động. Một số nhà nghiên cứu khác cũng đã xác nhận cách của Amit Serper là đúng.


    Vậy nên nếu bạn lo lắng mình sẽ bị tấn công, hãy vào C:\Windows tạo một file trống và đặt tên nó là perfc (không có bất kì đuôi mở rộng nào), nhớ set quyền Read Only cho file bằng cách click phải chuột, chọn Properties và chọn chỉ phép đọc file.

    Những cách khác bạn có thể làm để cho máy tính của mình trở nên an toàn hơn có thể xem ở đây: Tổng quan về WannaCry và cách phòng ngừa. Tóm tắt như sau:
    1. Cập nhật hệ điều hành lên bản mới nhất, chạy đầy đủ tất cả bản vá Windows Update. Nếu đang dùng macOS cũng nên cẩn trọng, rất cẩn trọng
    2. Tắt giao thức SMBv1 đi, hướng dẫn ở đây
    3. Anh em làm server cũng nhớ tắt SMBv1, set rule chặn port 455, 3389, 1389 trong firwall
    4. Không click váo các link lạ, các email lạ, link web khiêu dâm và các nội dung tương tự trừ khi anh em biết rõ ai là người gửi cho mình và họ đang gửi cái gì
    Tham khảo: MalwareTech, TechCrunch, Mashable
     

    File đính kèm:

    Chia sẻ

    nakheel, lhxung2009, kixx19 người khác thích nội dung này.
    #1 Duy Luân, 29/6/17
    Sửa lần cuối: 29/6/17
  2. Stevenytu

    Tham gia:
    7/12/11
    Được thích:
    485
    Best Answers:
    0
    Stevenytu
    TÍCH CỰC
    mod duy luân gì cũng biết :D
     
    uralus thích nội dung này.
  3. ken0106

    Tham gia:
    26/12/09
    Được thích:
    1,196
    Best Answers:
    0
    ken0106
    TÍCH CỰC
    Thuyết âm mưu: MS bắt mọi người mua bản quyền Windows =))
     
    baothangnd, ngduchoai8, plamduy2 người khác thích nội dung này.
    1. thanh.vohong

      Tham gia:
      10/6/08
      Được thích:
      3,585
      Best Answers:
      0
      thanh.vohong
      CAO CẤP
      thanh.vohong @ken0106 Thuyết âm binh: dùng đồ lậu.
       
      xingcaitruongbird thích nội dung này.
  4. adagioleonard

    Tham gia:
    1/3/12
    Được thích:
    3,511
    Best Answers:
    0
    adagioleonard
    VIP
    Mình rất muốn bị nhiễm petya mà mãi chưa đc nè :D
     
  5. HPSS

    Tham gia:
    7/12/11
    Được thích:
    1,403
    Best Answers:
    0
    HPSS
    TÍCH CỰC
    Mac có vẻ an toàn hơn vì lượng người dùng ít :D
     
    1. kiemphisongdao

      Tham gia:
      1/6/13
      Được thích:
      1,611
      Best Answers:
      0
      kiemphisongdao
      TÍCH CỰC
      kiemphisongdao @HPSS Đang ăn, tí phun.....
       
      demen72 thích nội dung này.
  6. minhanh199

    minhanh199 Thành viên

    Tham gia:
    14/7/14
    Được thích:
    1,154
    Best Answers:
    0
    minhanh199
    Chả có gì đáng sợ vì mình chả có gì đáng sợ.
     
    yesterday77, tuan.tuantruongbird thích nội dung này.
  7. jin_279

    Tham gia:
    16/5/12
    Được thích:
    158
    Best Answers:
    0
    jin_279
    ĐẠI BÀNG
    mình thiết nghĩ về một ý tưởng ransomware tối ưu hơn. đầu tiên nó sẽ lây lan như mọi con khác nhưng cao hơn là nó sẽ biến tất cả những thứ có nhắc đến tên nó trên internet thành nguồn lây nhiễm luôn :D
     
    henryhorsefunny thích nội dung này.
  8. blogkien

    Tham gia:
    18/6/12
    Được thích:
    368
    Best Answers:
    0
    blogkien
    TÍCH CỰC
    Tạo 1 file Notepad

    Mở ra, click vào File -> chọn Save as...

    Hộp thoại hiện ra, nhập "perfc" rồi lưu lại, bạn sẽ có được cái file cần (nhớ để dấu ngoặc kép khi đặt tên file nhé)

    Hình minh họa

    Đang tải upload_2017-6-29_12-17-44.png…
     
    trongvuneu, Tuấn_lúa, thanhdat37961 người khác thích nội dung này.
    1. xrokhanx

      Tham gia:
      28/6/11
      Được thích:
      56
      Best Answers:
      0
      xrokhanx
      ĐẠI BÀNG
      xrokhanx @blogkien File TXT kìa.
       
    2. hoangdacviet

      Tham gia:
      28/7/10
      Được thích:
      82
      Best Answers:
      0
      hoangdacviet
      ĐẠI BÀNG
      hoangdacviet @Ryzen nhầm ruig. phải thế này mới chắc



      vntim.blogspot.com/2017/06/vi-ien-tu-momo-la-gi-ma-khuyen-mai-nhan-100k.html
       
    3. blogkien

      Tham gia:
      18/6/12
      Được thích:
      368
      Best Answers:
      0
      blogkien
      TÍCH CỰC
      blogkien @vxx9x Đó là mình chưa nhấn save bạn ạ, sau khi nhấn nó sẽ tạo ra 1 file trắng.
       
    4. blogkien

      Tham gia:
      18/6/12
      Được thích:
      368
      Best Answers:
      0
      blogkien
      TÍCH CỰC
      blogkien @Ryzen Chưa nhấn save nên mới không thấy file trắng thôi.
       
  9. Hán Đức Toàn

    Tham gia:
    1/2/14
    Được thích:
    42
    Best Answers:
    0
  10. xyzmen

    Tham gia:
    13/9/09
    Được thích:
    1,597
    Best Answers:
    0
    xyzmen
    TÍCH CỰC
    tạo cái file trống perfc rồi hổng biết máy có bị trục trặc gì hok? rồi có khi nào sau nó cứ nhè máy nào có cái file này mà măm thì hỏng (vì lúc này chắc có khá nhiều người tạo file này rồi...)
     
  11. cbr150r

    Tham gia:
    17/1/12
    Được thích:
    728
    Best Answers:
    0
    cbr150r
    TÍCH CỰC
    tắt 3389 đi là hay đấy :)
     
  12. BB_Minh

    Tham gia:
    30/9/08
    Được thích:
    219
    Best Answers:
    0
    BB_Minh
    ĐẠI BÀNG
    Chuyển sang Macbook mà dùng
     
  13. Hán Đức Toàn

    Tham gia:
    1/2/14
    Được thích:
    42
    Best Answers:
    0
  14. Respira

    Tham gia:
    8/2/13
    Được thích:
    130
    Best Answers:
    0
    Respira
    ĐẠI BÀNG
    Mac chắc không có tổ chức nào dủng làm hệ điều hành, nên khỏi sợ trường hợp trâu bò húc nhau ruồi muỗi chết như vậy :p
     
  15. nonut

    Tham gia:
    5/2/10
    Được thích:
    1,802
    Best Answers:
    0
    nonut
    TÍCH CỰC
    Mình dùng Excel, chuyên lưu các file dạng XLSB, vừa nhẹ vừa tích hợp luôn Macro, tốt hơn hẳn XLSX và XLSM :D he he, ko ảnh hưởng gì hết

    P/s: mà cũng luôn bật Windows Update, dùng bản Creator Update nên cũng chẳng sợ gì luôn
     
  16. milicaanj

    Tham gia:
    2/10/07
    Được thích:
    77
    Best Answers:
    0
    milicaanj
    ĐẠI BÀNG
    300 Bcoin ~ US$900.000 thôi nếu dính thì cũng đành huhu
     
    1. chamcham737877

      Tham gia:
      2/8/09
      Được thích:
      184
      Best Answers:
      0
      chamcham737877
      TÍCH CỰC
      chamcham737877 @7Kang 300$ tiền bitcoin. Dấu $ là dollar (hiểu là dollar Mỹ) quy ra bitcoin để ko ai biết đc người nhận
       
    2. 2pink

      Tham gia:
      22/4/09
      Được thích:
      181
      Best Answers:
      0
      2pink
      ĐẠI BÀNG
      2pink @milicaanj 300 Đô Bitcoin, chứ không phải là 300 Bitcoin. Lấy 300$ mua Bitcoin rồi chuyển cho nó thôi
       
    3. truongbird

      Tham gia:
      26/2/16
      Được thích:
      163
      Best Answers:
      0
      truongbird
      ĐẠI BÀNG
      truongbird @7Kang bạn ấy nói vậy tại cái bạn trên kia nói 300 bitcoin. 300$ bitcoin mới đúng
       
    4. XuanThanh1101989

      XuanThanh1101989 Dự bị

      Tham gia:
      10/9/12
      Được thích:
      2
      Best Answers:
      0
      XuanThanh1101989
      Trứng
      XuanThanh1101989 @7Kang 300$ bằng bitcoin chứ ko phải 300 bitcoin
       
  17. J_Android

    J_Android Anh Duong Talents

    Tham gia:
    27/7/09
    Được thích:
    2,826
    Best Answers:
    0
    J_Android
    VIP
    có khi nào người dùng XP hay Win7 buộc phải chuyển lên win10 nếu không muốn bị, thứ nữa là cày bitcoin đang hạ nhiệt cần có gì đó đẩy chút để bán nhiều vga card :D
     
  18. Thế à?

    Thế à? Thành viên

    Tham gia:
    17/6/17
    Được thích:
    50
    Best Answers:
    0
    Thế à?
    Kết nối GG Drive khi khởi động máy để đồng bộ dữ liệu, sau đó tắt drive đi. Vậy nếu có dính thì reset luôn ổ cứng cho xong.
     
  19. alakazam1994

    Tham gia:
    8/8/10
    Được thích:
    3,171
    Best Answers:
    0
    alakazam1994
    CAO CẤP
    Đang xài cái win 7 cổ lỗ sĩ không biết bao giờ thì bị nhiễm virus đây.
     
  20. uralus

    Tham gia:
    6/8/08
    Được thích:
    20
    Best Answers:
    0
    uralus
    ĐẠI BÀNG
    Mod Duy Luân post bài nào đều đáng đọc & bookmark lại để dùng dần..
     
    1. Duy Luân

      Duy Luân Không có gì!

      Tham gia:
      16/2/08
      Được thích:
      237,661
      Best Answers:
      3
      Duy Luân
      VIP
      Duy Luân @uralus Cảm ơn bạn :D
       

Chia sẻ

Đang tải...