Tham dự Tech Lounge

Tham dự Tech Lounge


Tất cả về Petya: ransomware nhưng không phải là ransomware, cơ chế tấn công, cách phòng ngừa

Duy Luân
28/6/2017 22:40Phản hồi: 76
Tất cả về Petya: ransomware nhưng không phải là ransomware, cơ chế tấn công, cách phòng ngừa
Petya là con ransomware đang lây lan rất nhanh trên phạm vi toàn cầu và những người bị lây nhiễm gần như không có cách nào để lấy lại dữ liệu của mình. Nó cực kì nguy hiểm vì tới nay vẫn chưa có ai tìm được cách khôi phục lại data cũng như không liên hệ được với hacker ngay cả khi bạn chấp nhận trả tiền chuộc vì địa chỉ email của hắn ta đã bị cắt nhiều tháng trước. Nhưng thật sự đây có phải là một con ransomware hay chỉ đơn thuần là một virus được tạo ra nhằm phá hoại một số nạn nhân cụ thể và sử dụng công cụ đòi tiền chuộc như một cách đánh lừa dư luận?

Petya tấn công như thế nào?


Dấu hiệu đầu tiên của Petya xuất hiện vào ngày 27/6 ở Ukraine. Ngân hàng Trung Ương Ukraine và Sân bay Quốc tế Kiev đã bị tấn công bởi con ransomware này, ngoài ra còn có tin rằng hệ thống giám sát phóng xạ của nhà máy Chernoby cũng bị ảnh hưởng. Một số nhà phân tích nghĩ rằng Petya đã có mặt tại Ukraine được vài tháng nhưng tới nay mới bùng phát thành đại dịch. Từ đây, nó bắt đầu lan rộng ra và mới đây Microsoft đã xác nhận có thêm 64 quốc gia khác đã bị ảnh hưởng. Cũng cần nói thêm rằng Petya chỉ tấn công các máy tính Windows.

Triệu chứng mà bạn thấy khi máy tính của bạn bị Petya tấn công đó là màn hình đen chữ đỏ ghi thông tin chuyển khoản và yêu cầu nộp 300$ tiền bitcoin để nhận lại key giải mã các file đã bị mã hóa. Đây chính xác là những gì mà một con ransomware sẽ làm: lây nhiễm, mã hóa file của người dùng rồi thông báo đòi tiền chuộc nhầm trục lợi cho hacker đã tạo ra nó.

Petya_ransomware_virus_pha_hoai.png

Theo các chuyên gia, Petya mã hóa 1MB đầu tiên của mọi file thuộc các extension như bên dưới, trong đó tất nhiên bao gồm nhiều file tài liệu mà với các công ty, cơ quan nhà nước sẽ rất quan trọng và liên quan đến chuyện sống còn của tổ chức. Dù chỉ mã hóa 1MB nhưng nó đã làm sai lệch cấu trúc file khiến các phần mềm không thể đọc được trọn vẹn nội dung gốc, đồng nghĩa với việc file đã trở nên vô dụng. Petya thực hiện quy trình mã hóa này trước khi máy tính reboot nên một số lời đồn rằng nếu không reboot thì dữ liệu sẽ không mất là sai.

Symantec nói Petya còn ghê gớm hơn WannaCry vì nó sửa thông tin trong Master Boot Record. Nếu bạn chưa biết thì MBR chứa thông tin về các phân vùng logic và hệ thống file system cũng như các đoạn mã cần thiết để máy tính chạy lên. Nhưng theo công ty MalwareTech, đơn vị đã tìm ra kill switch của WannaCry, thì việc này không gây ảnh hưởng gì cả vì 24 sector trong ổ đĩa mà Petya đã "phá hủy" không chứa bất kì dữ liệu nào do các hệ thống Windows chỉ bắt đầu có dữ liệu từ sector thứ 64 trở đi mà thôi (tức là 63 sector trước đó hoàn toàn trống).

Petya lây nhiễm bằng cùng một lỗ hổng EternalBlue mà WannaCry sử dụng. Điều này có nghĩa là nếu máy tính của bạn được update đầy đủ thì sẽ không bị ảnh hưởng gì cả, còn những máy quá cũ hay không được cập nhật sẽ có nguy cơ bị lây nhiễm rất cao nên trước mắt anh em hãy đi update Windows của mình với tất cả các bản vá mới nhất đi (vào Windows Update để thực hiện nhé).

Danh sách các file sẽ bị Patya mã hóa

Petya có thật sự là ransomware không?

Nhưng mọi chuyện không dừng ở đó, điểm đáng chú ý đó là địa chỉ email mà Petya ghi trên màn hình đã bị cắt nhiều tháng trước. Điều này đồng nghĩa với việc các nạn nhân sẽ không bao giờ liên lạc được với hacker ngay cả khi họ muốn chi tiền và muốn nhận key giải mã. Mà khi không liên lạc được, xác suất nạn nhân chuyển tiền là rất thấp. Thật vậy, tài khoản Bitcoin mà Petya sử dụng chỉ mới nhận được 10.000$ mà thôi, một con số vô cùng khiêm tốn so với một con ransomware có quy mô ảnh hưởng toàn cầu.

Thông tin trên khiến các nhà nghiên cứu nghi ngờ rằng Petya thực chất là một con virus chuyên đi phá hoại và nó chỉ giả dạng như là một ransomware để tránh những điều tra về nguồn gốc và mục đích thật sự của vụ tấn công. Theo lời nhà nghiên cứu Nicholas Weaver đến từ Viện nghiên cứu khoa học máy tính thuộc Đại học Berkeley, Petya là "một vụ tấn công cố ý, mang tính hủy diệt hoặc có thể làm một phép thử nào đó giả dạng làm ransomware". Chính vì lý do trên nên người ta còn gọi Petya là "NotPetya".

Petya_ransomware_virus_pha_hoai_2.png

Suy rộng hơn, Petya được viết ra để tấn công vào một số nạn nhân cụ thể. Nó được thả ra ở những công ty, tổ chức, chính phủ rất cụ thể và phá hoại dữ liệu của những nơi này, còn việc lây lan hay đòi tiền chuộc thực chất chỉ là một cách đánh lừa dư luận. Việc tận dụng cùng lỗ hổng với WannaCry cũng có thể là một trong những cách thức được hacker sử dụng để lái dư luận theo hướng ransomware thay vì tìm hiểu Petya như là một con virus.

Quảng cáo



Do mức độ lây lan của Petya rất khó kiểm soát nên hacker muốn đánh ai đó sẽ cần thả nó trúng mục tiêu, dựa vào đây có thể dự đoán rằng mục tiêu ban chính nằm ở ngay tại Ukraine, những quốc gia khác nằm trong tầm ảnh hưởng chỉ đơn giản là bị vạ lây. Bạn nghĩ thử xem, giả sử bạn thả một con virus tại Pháp rồi đợi nó lây qua đúng mục tiêu ở Ukraine thì xác suất thành công sẽ thấp hơn, thôi thì bạn mang qua Ukraine thả luôn cho rồi.

Không loại trừ khả năng đây chỉ mới là một bài test "nhỏ" của hacker để chuẩn bị cho những đột tấn công lớn hơn theo sau. Có khả năng hacker đang chuẩn bị đánh mass, tức là đánh một lúc nhiều mục tiêu quan trọng theo yêu cầu của ai đó hay của những chính phủ đen tối nào đó.

Làm sao để phòng ngừa?

Nói như vậy không có nghĩa là đã hết hi vọng. Nhà nghiên cứu Amit Serper đã tìm được một cách ngăn ngừa vụ tấn công của Petya chỉ bằng cách tạo ra một file đặt trong hệ thống. Cơ chế hoạt động của Petya đó là nó sẽ tìm một file tên "perfc" nằm trong thư mục C:\Windows. Nếu file này đã tồn tại, Petya sẽ không hoạt động. Một số nhà nghiên cứu khác cũng đã xác nhận cách của Amit Serper là đúng.


Vậy nên nếu bạn lo lắng mình sẽ bị tấn công, hãy vào C:\Windows tạo một file trống và đặt tên nó là perfc (không có bất kì đuôi mở rộng nào), nhớ set quyền Read Only cho file bằng cách click phải chuột, chọn Properties và chọn chỉ phép đọc file.

Quảng cáo


Những cách khác bạn có thể làm để cho máy tính của mình trở nên an toàn hơn có thể xem ở đây: Tổng quan về WannaCry và cách phòng ngừa. Tóm tắt như sau:
  1. Cập nhật hệ điều hành lên bản mới nhất, chạy đầy đủ tất cả bản vá Windows Update. Nếu đang dùng macOS cũng nên cẩn trọng, rất cẩn trọng
  2. Tắt giao thức SMBv1 đi, hướng dẫn ở đây
  3. Anh em làm server cũng nhớ tắt SMBv1, set rule chặn port 455, 3389, 1389 trong firwall
  4. Không click váo các link lạ, các email lạ, link web khiêu dâm và các nội dung tương tự trừ khi anh em biết rõ ai là người gửi cho mình và họ đang gửi cái gì
Tham khảo: MalwareTech, TechCrunch, Mashable
76 bình luận
Chia sẻ

Xu hướng

Stevenytu
TÍCH CỰC
7 năm
mod duy luân gì cũng biết 😁
ken0106
TÍCH CỰC
7 năm
Thuyết âm mưu: MS bắt mọi người mua bản quyền Windows =))
@ken0106 Thuyết âm binh: dùng đồ lậu.
Mình rất muốn bị nhiễm petya mà mãi chưa đc nè 😁
HPSS
TÍCH CỰC
7 năm
Mac có vẻ an toàn hơn vì lượng người dùng ít 😁
@HPSS Đang ăn, tí phun.....
Chả có gì đáng sợ vì mình chả có gì đáng sợ.
jin_279
TÍCH CỰC
7 năm
mình thiết nghĩ về một ý tưởng ransomware tối ưu hơn. đầu tiên nó sẽ lây lan như mọi con khác nhưng cao hơn là nó sẽ biến tất cả những thứ có nhắc đến tên nó trên internet thành nguồn lây nhiễm luôn 😁
blogkien
TÍCH CỰC
7 năm
Tạo 1 file Notepad

Mở ra, click vào File -> chọn Save as...

Hộp thoại hiện ra, nhập "perfc" rồi lưu lại, bạn sẽ có được cái file cần (nhớ để dấu ngoặc kép khi đặt tên file nhé)

Hình minh họa

upload_2017-6-29_12-17-44.png
xrokhanx
ĐẠI BÀNG
7 năm
@blogkien File TXT kìa.
@Ryzen nhầm ruig. phải thế này mới chắc



vntim.blogspot.com/2017/06/vi-ien-tu-momo-la-gi-ma-khuyen-mai-nhan-100k.html
blogkien
TÍCH CỰC
7 năm
@vxx9x Đó là mình chưa nhấn save bạn ạ, sau khi nhấn nó sẽ tạo ra 1 file trắng.
blogkien
TÍCH CỰC
7 năm
@Ryzen Chưa nhấn save nên mới không thấy file trắng thôi.
da.eddie
ĐẠI BÀNG
7 năm
Ohhh
xyzmen
CAO CẤP
7 năm
tạo cái file trống perfc rồi hổng biết máy có bị trục trặc gì hok? rồi có khi nào sau nó cứ nhè máy nào có cái file này mà măm thì hỏng (vì lúc này chắc có khá nhiều người tạo file này rồi...)
cbr150r
TÍCH CỰC
7 năm
tắt 3389 đi là hay đấy 😃
BB_Minh
TÍCH CỰC
7 năm
Chuyển sang Macbook mà dùng
da.eddie
ĐẠI BÀNG
7 năm
Ohhh
Respira
ĐẠI BÀNG
7 năm
Mac chắc không có tổ chức nào dủng làm hệ điều hành, nên khỏi sợ trường hợp trâu bò húc nhau ruồi muỗi chết như vậy :p
Mình dùng Excel, chuyên lưu các file dạng XLSB, vừa nhẹ vừa tích hợp luôn Macro, tốt hơn hẳn XLSX và XLSM 😁 he he, ko ảnh hưởng gì hết

P/s: mà cũng luôn bật Windows Update, dùng bản Creator Update nên cũng chẳng sợ gì luôn
milicaanj
ĐẠI BÀNG
7 năm
300 Bcoin ~ US$900.000 thôi nếu dính thì cũng đành huhu
@7Kang 300$ tiền bitcoin. Dấu $ là dollar (hiểu là dollar Mỹ) quy ra bitcoin để ko ai biết đc người nhận
2pink
ĐẠI BÀNG
7 năm
@milicaanj 300 Đô Bitcoin, chứ không phải là 300 Bitcoin. Lấy 300$ mua Bitcoin rồi chuyển cho nó thôi
truongbird
ĐẠI BÀNG
7 năm
@7Kang bạn ấy nói vậy tại cái bạn trên kia nói 300 bitcoin. 300$ bitcoin mới đúng
@7Kang 300$ bằng bitcoin chứ ko phải 300 bitcoin
có khi nào người dùng XP hay Win7 buộc phải chuyển lên win10 nếu không muốn bị, thứ nữa là cày bitcoin đang hạ nhiệt cần có gì đó đẩy chút để bán nhiều vga card 😁
Kết nối GG Drive khi khởi động máy để đồng bộ dữ liệu, sau đó tắt drive đi. Vậy nếu có dính thì reset luôn ổ cứng cho xong.
Đang xài cái win 7 cổ lỗ sĩ không biết bao giờ thì bị nhiễm virus đây.
uralus
ĐẠI BÀNG
7 năm
Mod Duy Luân post bài nào đều đáng đọc & bookmark lại để dùng dần..
@uralus Cảm ơn bạn 😁

Xu hướng

Bài mới









  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2024 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: Số 70 Bà Huyện Thanh Quan, P. Võ Thị Sáu, Quận 3, TPHCM
  • Số điện thoại: 02822460095
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019