Petya - lại một hệ quả nữa từ bộ tool hack của NSA

tmnt53

VIP Members
25/04/2015
98
132 bài viết
Petya - lại một hệ quả nữa từ bộ tool hack của NSA
Petya là một con ransomware mới đang lây nhiễm rất nhanh, cũng sử dụng Eternalblue để lây nhiễm như con WannaCry. Hiện tại nó đã lây nhiễm vào rất nhiều hệ thống, kể cả tàu không gian :v

19429741_1474279629302573_5589825653283600384_n.png

Đây là một phiên bản Petya mới, phiên bản cũ 2016 của Petya có thể lấy tại: https://github.com/ytisf/theZoo/tree/master/malwares/Binaries/Ransomware.Petya
Video về mẫu năm 2016 của Petya:


Khi lây nhiễm vào máy nạn nhân, Petya sẽ reboot lại máy tính, mã hóa MFT (Master File Table) và thay đổi MBR (Master Boot Record), khiến cho máy tính hoàn toàn không khởi động được, mất hết các thông tin meta về các file trong ổ cứng: tên file, kích thước, vị trí trên ổ cứng.

Theo Hackernews, Petya lây nhiễm sử dụng 3 phương thức:
  • CVE-2017-0199
  • MS17-010 (EternalBlue)
  • PSEXEC và auth-reuse

CVE-2017-0199
Petya trước tiên được phát tán qua CVE-2017-0199. Đây là CVE mới, nghiêm trọng nhất trên Word cho tới thời điểm này (mọi phiên bản Word 2016 trở về trước, chưa vá đều bị dính; https://whitehat.vn/threads/khai-thac-lo-hong-hta-cve-2017-0199-trong-microsoft-office.8684/). Do vậy, chúng ta phải:
  • Cẩn trọng trước các văn bản Word (execel, doc, rtf,…) không rõ nguồn gốc.
  • Nếu có thể, hãy update Word để không bị dính CVE này.
  • Cài đặt phần mềm diệt virus. Hiện tại, các AV nổi tiếng đều nhận diện tốt mẫu này.
MS17-010
Đây chính là phương thức lây nhiễm giống như WannaCry, một CVE của dịch vụ SMBv1 trên Windows. Khi Petya vào được một máy, nó sẽ lây nhiễm vào các máy khác trong mạng LAN qua lỗ hổng này. Do đó, cũng như WannaCry, để phòng chống trước lỗ hổng này, ta cần (https://whitehat.vn/threads/cach-va-lo-hong-windows-ngan-ngua-wannacry-ransomware.8831/):
  • Update Windows để vá lỗ hổng.
  • Hoặc disable SMBv1.
PSEXEC và auth-reuse.
Phương pháp lây nhiễm này vẫn còn chưa rõ ràng, các chuyên gia vẫn đang phân tích mẫu. Khi lây nhiễm vào một máy trong mạng, ngoài MS17-010, Petya có thể lây nhiễm tiếp qua các máy khác trong mạng bằng auth-reuse. Hiện mình chưa rõ phương pháp lây nhiễm này của Petya, nhưng theo như các chuyên gia, ngay cả các máy đã được update full vẫn có thể bị lây sang.

Tóm lại, cách an toàn nhất là:
  • Update full windows.
  • Cài phần mềm diệt Virus.
Chúc máy tính các bạn an toàn!

Link tham khảo:
 
Chỉnh sửa lần cuối bởi người điều hành:
Wanna chưa qua
Petya đã tới :))
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
petya petya ransomware
Bên trên