Mã độc tống tiền Petrwrap (Petya ransomware), có gì hot?
Dân tình lại đang nháo nhào lên vì con Petrwrap, một biến thể của Petya ransomware này.
Các bạn ở Nga ngố, Ukraina, Thụy Sĩ, Đan Mạch, Anh ... liên tục báo về là hệ thống bị lây nhiễm, công nhân ngồi chơi hút thuốc uống trà đá cả ngày.
Vậy con này có gì hot, sơ bộ là:
Phương thức mã hóa
Petya là ransomware nên dĩ nhiên nó sẽ mã hóa dữ liệu và đòi tiền chuộc rồi (300 đô la trump), nhưng lần này nó mã hóa kiểu khác. Petya ransomware không mã hóa các file dữ liệu sang dạng khác mà xử lý luôn cả ổ đĩa vật lý, mã hóa bảng quản lý tập tin MFT (Master File Table). MFT (Master File Table) là thành phần quan trọng nhất trong hệ thống NTFS. MFT chứa thông tin về tất cả các tập tin và thư mục trong ổ đĩa logic. MFT được xem là điểm bắt đầu để đi đến các tập tin trên một ổ đĩa logic, có thể xem nó như là “mục lục” của ổ đĩa logic. Kiểu đang đi vào rừng mà mất bản đồ, chỉ có khóc. Ngoài ra nó còn ghi đè MBR (master boot record) nữa, bị đè cái này thì windows không boot lên được nữa, nằm dài chờ chết thôi.
Hình thức lây lan
Petrwrap ransomware nguy hiểm ở chỗ, một máy trong mạng bị nhiễm thì các máy còn lại có nguy cơ chết rất cao. Tạm thời các chuyên gia nhận định là Petrwrap ransomware phát tán qua 3 con đường:
Máy đã bị nhiễm: trả tiền ư, đừng có ngốc thế, cài lại máy và backup lại các dữ liệu đi.
Phòng chống:
P/S: con này cũng có một cái công tắc nhé, đó là: "C:\Windows\perfc"
Các bạn ở Nga ngố, Ukraina, Thụy Sĩ, Đan Mạch, Anh ... liên tục báo về là hệ thống bị lây nhiễm, công nhân ngồi chơi hút thuốc uống trà đá cả ngày.
Vậy con này có gì hot, sơ bộ là:
Phương thức mã hóa
Petya là ransomware nên dĩ nhiên nó sẽ mã hóa dữ liệu và đòi tiền chuộc rồi (300 đô la trump), nhưng lần này nó mã hóa kiểu khác. Petya ransomware không mã hóa các file dữ liệu sang dạng khác mà xử lý luôn cả ổ đĩa vật lý, mã hóa bảng quản lý tập tin MFT (Master File Table). MFT (Master File Table) là thành phần quan trọng nhất trong hệ thống NTFS. MFT chứa thông tin về tất cả các tập tin và thư mục trong ổ đĩa logic. MFT được xem là điểm bắt đầu để đi đến các tập tin trên một ổ đĩa logic, có thể xem nó như là “mục lục” của ổ đĩa logic. Kiểu đang đi vào rừng mà mất bản đồ, chỉ có khóc. Ngoài ra nó còn ghi đè MBR (master boot record) nữa, bị đè cái này thì windows không boot lên được nữa, nằm dài chờ chết thôi.
Hình thức lây lan
Petrwrap ransomware nguy hiểm ở chỗ, một máy trong mạng bị nhiễm thì các máy còn lại có nguy cơ chết rất cao. Tạm thời các chuyên gia nhận định là Petrwrap ransomware phát tán qua 3 con đường:
- Windows SMBv1 vulnerability tương tự như con muốn khóc wannacry
- Windows Management Instrumentation Command-line (WMIC): Giao diện dòng lệnh đơn giản để làm việc với WMI. Sử dụng WMIC, bạn có thể quản lý nhiều máy tính đang chạy các phiên bản khác nhau của Microsoft Windows.
- PSEXEC: Với psexec bạn hoàn toàn có thể remote vào máy người dùng trong khi họ vẫn đang sử dụng máy tính bình thường và không hề hay biết. Psexec là 1 công cụ nhanh và mạnh sử dụng để chạy cửa sổ command-prompts trên máy remote và sử dụng các lệnh Dos để thu thập thông tin như IPconfig hoặc wmic ….
Máy đã bị nhiễm: trả tiền ư, đừng có ngốc thế, cài lại máy và backup lại các dữ liệu đi.
Phòng chống:
- Vá lỗ hổng liên quan EternalBlue (MS17-010)
- Disable WMIC
P/S: con này cũng có một cái công tắc nhé, đó là: "C:\Windows\perfc"
Chỉnh sửa lần cuối:
