Petya - lại một hệ quả nữa từ bộ tool hack của NSA
Petya là một con ransomware mới đang lây nhiễm rất nhanh, cũng sử dụng Eternalblue để lây nhiễm như con WannaCry. Hiện tại nó đã lây nhiễm vào rất nhiều hệ thống, kể cả tàu không gian :v
Đây là một phiên bản Petya mới, phiên bản cũ 2016 của Petya có thể lấy tại: https://github.com/ytisf/theZoo/tree/master/malwares/Binaries/Ransomware.Petya
Video về mẫu năm 2016 của Petya:
Khi lây nhiễm vào máy nạn nhân, Petya sẽ reboot lại máy tính, mã hóa MFT (Master File Table) và thay đổi MBR (Master Boot Record), khiến cho máy tính hoàn toàn không khởi động được, mất hết các thông tin meta về các file trong ổ cứng: tên file, kích thước, vị trí trên ổ cứng.
Theo Hackernews, Petya lây nhiễm sử dụng 3 phương thức:
CVE-2017-0199
Petya trước tiên được phát tán qua CVE-2017-0199. Đây là CVE mới, nghiêm trọng nhất trên Word cho tới thời điểm này (mọi phiên bản Word 2016 trở về trước, chưa vá đều bị dính; https://whitehat.vn/threads/khai-thac-lo-hong-hta-cve-2017-0199-trong-microsoft-office.8684/). Do vậy, chúng ta phải:
Đây chính là phương thức lây nhiễm giống như WannaCry, một CVE của dịch vụ SMBv1 trên Windows. Khi Petya vào được một máy, nó sẽ lây nhiễm vào các máy khác trong mạng LAN qua lỗ hổng này. Do đó, cũng như WannaCry, để phòng chống trước lỗ hổng này, ta cần (https://whitehat.vn/threads/cach-va-lo-hong-windows-ngan-ngua-wannacry-ransomware.8831/):
Phương pháp lây nhiễm này vẫn còn chưa rõ ràng, các chuyên gia vẫn đang phân tích mẫu. Khi lây nhiễm vào một máy trong mạng, ngoài MS17-010, Petya có thể lây nhiễm tiếp qua các máy khác trong mạng bằng auth-reuse. Hiện mình chưa rõ phương pháp lây nhiễm này của Petya, nhưng theo như các chuyên gia, ngay cả các máy đã được update full vẫn có thể bị lây sang.
Tóm lại, cách an toàn nhất là:
Link tham khảo:
Đây là một phiên bản Petya mới, phiên bản cũ 2016 của Petya có thể lấy tại: https://github.com/ytisf/theZoo/tree/master/malwares/Binaries/Ransomware.Petya
Video về mẫu năm 2016 của Petya:
Khi lây nhiễm vào máy nạn nhân, Petya sẽ reboot lại máy tính, mã hóa MFT (Master File Table) và thay đổi MBR (Master Boot Record), khiến cho máy tính hoàn toàn không khởi động được, mất hết các thông tin meta về các file trong ổ cứng: tên file, kích thước, vị trí trên ổ cứng.
Theo Hackernews, Petya lây nhiễm sử dụng 3 phương thức:
- CVE-2017-0199
- MS17-010 (EternalBlue)
- PSEXEC và auth-reuse
CVE-2017-0199
Petya trước tiên được phát tán qua CVE-2017-0199. Đây là CVE mới, nghiêm trọng nhất trên Word cho tới thời điểm này (mọi phiên bản Word 2016 trở về trước, chưa vá đều bị dính; https://whitehat.vn/threads/khai-thac-lo-hong-hta-cve-2017-0199-trong-microsoft-office.8684/). Do vậy, chúng ta phải:
- Cẩn trọng trước các văn bản Word (execel, doc, rtf,…) không rõ nguồn gốc.
- Nếu có thể, hãy update Word để không bị dính CVE này.
- Cài đặt phần mềm diệt virus. Hiện tại, các AV nổi tiếng đều nhận diện tốt mẫu này.
Đây chính là phương thức lây nhiễm giống như WannaCry, một CVE của dịch vụ SMBv1 trên Windows. Khi Petya vào được một máy, nó sẽ lây nhiễm vào các máy khác trong mạng LAN qua lỗ hổng này. Do đó, cũng như WannaCry, để phòng chống trước lỗ hổng này, ta cần (https://whitehat.vn/threads/cach-va-lo-hong-windows-ngan-ngua-wannacry-ransomware.8831/):
- Update Windows để vá lỗ hổng.
- Hoặc disable SMBv1.
Phương pháp lây nhiễm này vẫn còn chưa rõ ràng, các chuyên gia vẫn đang phân tích mẫu. Khi lây nhiễm vào một máy trong mạng, ngoài MS17-010, Petya có thể lây nhiễm tiếp qua các máy khác trong mạng bằng auth-reuse. Hiện mình chưa rõ phương pháp lây nhiễm này của Petya, nhưng theo như các chuyên gia, ngay cả các máy đã được update full vẫn có thể bị lây sang.
Tóm lại, cách an toàn nhất là:
- Update full windows.
- Cài phần mềm diệt Virus.
Link tham khảo:
Chỉnh sửa lần cuối bởi người điều hành: