Cảnh báo về mức độ nguy hiểm của mã độc tống tiền Petya

Hai công ty an ninh mạng Việt Nam là Bkav và CMC InfoSec vừa phát đi thông tin liên quan đến mã độc mới xuất hiện Petya đang khiến cả thế giới “điên đảo”.

Bkav cho biết, Petya còn nguy hiểm hơn WannaCry do mã hóa toàn bộ ổ cứng và có khả năng lây lan rộng trong mạng nội bộ. Mã độc này đang lan rộng nhanh chóng thông qua lỗ hổng Windows SMB tương tự như cách ransomware WannaCry lây nhiễm 300.000 hệ thống và máy chủ trên toàn thế giới chỉ trong 72 giờ vào tháng trước. Nguy hiểm hơn, mã độc này còn tận dụng các công cụ WMIC và PSEXEC để lây lan sang các máy tính khác trong mạng nội bộ dù các máy tính đã được cập nhật bản vá Windows SMB.

Công ty an ninh mạng này cho rằng, Petya là một loại ransomware “vô cùng khó chịu” và không giống bất kỳ loại mã độc tống tiền nào trước đây. Petya không những thực hiện mã hoá tập tin dữ liệu trên máy nạn nhân, mà còn khởi động lại máy tính, mã hóa bảng master file của ổ cứng (MFT) và làm cho Master Boot Record (MBR) ngừng hoạt động, khiến người dùng không thể truy cập vào bất kỳ file nào trên ổ cứng. Ransomware Petya thay thế MBR của máy tính bằng mã độc của chính nó, hiển thị thông báo đòi tiền chuộc và khiến máy tính không thể khởi động.

Theo thống kê của Bkav, đã có 36 giao dịch trả tiền chuộc được thực hiện thông qua bitcoin, tương đương với số tiền hơn 9.000 USD.

Một công ty an ninh mạng khác của Việt Nam là CMC InfoSec cũng đưa ra những cảnh báo về mã độc Petya. Theo CMC InfoSec, Petya lây lan qua file đính kèm vào các hòm thư điện tử. Khi người sử dụng mở một file tài liệu office được tạo sẵn để khai thác lỗi bảo mật CVE-2017-0199 (ảnh hưởng tới Microsoft Office 2007 SP3, Microsoft Office 2010 SP2, Microsoft Office 2013 SP1, Microsoft Office 2016). Lỗi bảo mật này đã được Microsoft vá vào 11 tháng 4 năm 2017. Nếu người sử dụng mở tập tin đính kèm, mã độc sẽ được tải ngầm và thực thi trên máy của nạn nhân.

CMC Infosec cho hay, người dùng hiện sử dụng Yahoo Mail hay Gmail khá an toàn trước virus Petya bởi hệ thống mã độc của các hãng đủ khả năng cách lý email có mã độc. Tuy nhiên, dễ lây nhiễm nhất là hòm thư điện tử do doanh nghiệp, tổ chức tự vận hành, đặc biệt là các máy chủ chạy mail servers trên Windows. 

Công ty này cho rằng, thời điểm hiện tại chưa phát hiện trường hợp lây nhiễm cụ thể tại Việt Nam, tuy nhiên, với tình trạng các máy chủ và máy cá nhân dùng không được vá như hiện tại, việc lây lan ồ ạt tại Việt Nam trong thời gian ngắn là điều có thể xảy ra.

CMC Infosec khuyến cáo người dùng không mở các tập tin đính kèm nếu không chắc chắn là an toàn và không liên hệ tới địa chỉ email wowsmith123456@posteo.net để tìm cách trả tiền chuộc vì hòm thư này đã bị khóa. Trong khi, các tổ chức, doanh nghiệp sở hữu địa chỉ email dạng ten@abc.gov.vn hoặc ten@abc.com.vn dễ bị lây nhiễm cần hết sức lưu ý.

Trong khi đó, theo Bkav, để phòng ngừa nguy cơ mã độc tấn công, người dùng nên sao lưu dữ liệu thường xuyên, cập nhật bản vá cho hệ điều hành, đồng thời chỉ mở các file văn bản nhận từ Internet trong môi trường cách ly Safe Run. Đặc biệt, đối với quản trị hệ thống, cần rà soát kỹ các server bởi với hai công cụ WMIC và PSEXEC mã độc có thể dễ dàng lây nhiễm từ một server quản trị domain ra tất cả máy tính trong hệ thống. Người dùng cũng cần cài phần mềm diệt virus thường trực trên máy tính để được bảo vệ tự động.

Trước đó, chiều tối ngày 27/6 (giờ Việt Nam), hàng loạt máy tính trên khắp thế giới lại bị mã độc tống tiền Petya tấn công. Petya đã làm tê liệt hàng loạt ngân hàng, sân bay, máy ATM và một số doanh nghiệp lớn tại châu Âu.

Đặc biệt, hàng loạt cơ quan chính phủ, ngân hàng, công ty và sân bay tại Ukraina đang chịu ảnh hưởng của cuộc tấn công mạng. Nhiều công ty lớn trên thế giới như hãng quảng cáo Anh, WPP, hãng dầu khổng lồ Rosneft của Nga, công ty vận tải Đan Mạch Maersk hay hãng dược Merck của Mỹ cũng cho biết bị mã độc tấn công.