Tổng quan Petya Ransomware: Malware nguy hiểm hơn cả WannaCry ransomware.

Tổng quan Petya Ransomware: Malware nguy hiểm hơn cả WannaCry ransomware.
10 ngày trước bởi Avast Vietnam
3115 lượt xem

Liên tục cập nhập...

Bản tin 27/06/2017:

Hơn một tháng sau chiến dịch Wannacry ransomware tấn công vào các hệ thống máy tính trên toàn cầu và đến nay vẫn còn nhiều vụ lây nhiễm do các biến thể khác của Wannacry ransomware gây ra, thì hôm nay một cuộc tấn công quy mô khác bởi biến thể mới của Petya ransomware đã làm tê liệt nhiều hệ thống máy tính ở Ukraine, Châu Âu, Hoa Kỳ và lan rộng trên toàn cầu với khả năng lây lan nhanh và nguy hiễm hơn so với Wannacry ransomware. Các nhà nghiên cứu cũng đã xác định được điểm mà ransomware Petya này bắt đầu lan bắt nguồn từ quốc gia Ukraina, những kẻ tấn công đã làm hỏng thành công phần mềm kế toán M.E.Doc và đưa Petya vào bản cập nhập (M.E.Doc là phần mềm kế toán phổ biến trong nhiều ngành khác nhau, bao gồm cả các tổ chức tài chính và chính phủ ở Ukraina). Một vài người trong số họ đã thực hiện một cập nhật của M.E.Doc, cho phép kẻ tấn công khởi động chiến dịch ransomware lan rộng toàn cầu.

Sơ lược về Patye ransomwrae

Petya ransomware lần đầu tiên được phát hiện vào tháng 03 năm 2016.

Tuy nhiên, trong đợt lây nhiễm lần này biến thể mới của Petya ransomware với rất nhiều tên gọi như: Petwrap, Petna, NotPetya, EternalPetya, Nyetya, WhateverPetya, ExPetr, newPetya, GoldenEye. Petya ransomware được viết bằng ngôn ngữ C và được biên dịch trong MS Visual Studio.  

Phương thức tấn công

Petya ransomware không những khai thác và lây lan thông qua lỗ hổng MS17-010 (lỗ hổng WannaCry và EternalBlue đang sử dụng) mà còn có thể lây nhiễm vào máy tính đã vá lỗ hổng này thông qua công cụ khác là:

-      WMIC: là công cụ có sẵn trong Windows với giao diện dòng lệnh đơn giản cho phép truy cập và thiết lập cấu hình trên các máy tính đang chạy các phiên bản khác nhau của Microsoft Windows.

-      PSEXE: là công cụ cho phép truy cập vào máy tính Windows từ xa mà người dùng không biết thông qua dịch vụ SMB

-      Lỗ hổng CVE 2017-0199: Lỗ hổng trong Microsoft Office/WordPad cho phép tin tặc chiếm quyền điều khiển hệ thống (Các phiên bản bị ảnh hưởng bao gồm: Microsoft Office 2007 SP3, Microsoft Office 2010 SP2, Microsoft Office 2013 SP1, Microsoft Office 2016, Microsoft Windows Vista SP2, Windows Server 2008 SP2, Windows 7 SP1, Windows 8.1)

Mức độ nguy hiểm

1.    Có thể nói lây nhiễm Petya ransomware lần này thuộc thế hệ thứ 3 bởi Petya thực hiện các thói quen mã hoá riêng và tự sửa đổi mã hoá trong thời gian chạy để kiểm soát việc thực hiện việc mã hoá. Trong giai đoạn khởi tạo, phần mềm độc hại này duy trì một biến toàn cầu điều khiển hành vi của nó, nó thay đổi hành vi của nó dựa trên sự hiện diện của các quá trình liên quan đến một số ứng dụng chống virus đang chạy trong hệ thống mà cụ thể, nó tìm tên của các tiến trình thuộc Kaspersky Antivirus và Symantec Antivirus và thay đổi hành vi của nó nếu nó tìm thấy có sự hiện diện của 02 phần mềm diệt virus này, đây là các giá trị CRC kiểm tra mối đe dọa và tên quá trình tương ứng:

Giá trị CRC

Tên quy trình khớp

0x651B3005

NS.exe

0x6403527E

CcSvcHst.exe

0x2E214B44

Avp.exe

 

2.    Thông thường các loại ransomware dĩ nhiên nó sẽ mã hóa dữ liệu và đòi tiền chuộc (trong tường hợp này của Petya, số tiền chuộc là 300 USD), nhưng lần này Petya mã hóa kiểu khác, nó không những mã hóa các file dữ liệu sang dạng khác mà xử lý luôn cả ổ đĩa vật lý, mã hóa bảng quản lý tập tin MFT (Master File Table: là thành phần quan trọng nhất trong hệ thống NTFS, MFT chứa thông tin về tất cả các tập tin và thư mục trong ổ đĩa logic. MFT được xem là điểm bắt đầu để đi đến các tập tin trên một ổ đĩa logic, có thể xem nó như là “mục lục” của ổ đĩa logic, giống như kiểu bạn bị lạc giữa rừng) hoặc ghi đè MBR (Master Boot Record: là thông tin lưu trữ các phân vùng trên một ổ đĩa logic và hệ thống file system cũng như các đoạn mã cần thiết để máy tính khởi động),  phá huỷ VBR (Volume Boot Record)

3.    Một điểm đáng chú ý nữa là địa chỉ thư điện tử email mà Petya cung cấp trên màn hình hiển thị đã được báo cáo về việc tài khoản email do tin tặc sử dụng đã bị khóa nhiều tháng trước bởi chính nhà cung cấp dịch vụ email của hòm thư này là Posteo. Việc này đồng nghĩa với việc các nạn nhân sẽ không liên lạc được với tin tặc ngay cả khi họ muốn chi tiền và muốn nhận key giải mã, và như vậy xác suất nạn nhân chuyển tiền và nhận được key giải mã cũng rất thấp. Thực tế khi kiểm tra tài khoản Bitcoin mà Petya sử dụng thì chỉ mới nhận được gần 10.000$, một con số rất thấp so với một con ransomware có quy mô ảnh hưởng toàn cầu. Điều này khiến các nhà nghiên cứu nghi ngờ rằng Petya thực chất như  là một con virus/malware giả dạng  một ransomware mang tính chất phá hoại vì nó không được lập trình để trả lại tập tin cho bạn kể cả khi bạn đã trả tiền chuộc, điều này để tránh những điều tra về nguồn gốc và mục đích thật sự của vụ tấn công  ==> Đây là lý do chính mà Petya ransomware có rất nhiều tên gọi khác nhau như: Petwrap, Petna, NotPetya, EternalPetya, Nyetya, WhateverPetya, ExPetr, newPetya, GoldenEye.

4.    Petya được viết ra để tấn công vào các nạn nhân có mục đích cụ thể. Nó được thả ra ở những công ty, tổ chức, chính phủ rất cụ thể và phá hoại dữ liệu của những nơi này. Ngoài ra mức độ lây lan của Petya cũng rất khó kiểm soát và có khả năng hacker tấn công nhiều mục tiêu quan trọng theo yêu cầu của ai đó hay của những chính phủ nào đó.

CÁC GIẢI PHÁP CẦN THỰC HIỆN NGAY: 

          Dựa vào phương thức tấn công của Petya ransomware như đã phân tích và trong quá trình code Petya đã xảy ra một số lỗi khiến cho việc thực thi petya không gây ảnh hưởng về 24 sector ban đầu trong ổ đĩa mà Petya phá hủy do các hệ thống Windows chỉ bắt đầu có dữ liệu từ sector thứ 64 trở đi, các sector 63 về trước đó hoàn toàn trống, điều này có nghĩa là nếu máy tính của bạn được update đầy đủ thì sẽ giảm nguy cơ bị ảnh hưởng bởi Petya. Bên cạnh đó dựa trên kill-switch của Petya, tạo tập tin “C:\Windows\perfc” (file không có bất kì phần mở rộng và nhớ set quyền Read Only) để ngăn ngừa nhiễm ransomware vì đây  là tập tin mã độc kiểm tra trước thực hiện các hành vi lây nhiễm và mã hoá trên máy tính.

1. Luôn luôn sao lưu dự phòng các dữ liệu, thường xuyên kiểm tra để đảm bảo nội dung sao lưu là an toàn và có thể hồi phục. Cách này sẽ giúp bạn không bị rơi vào tình huống làm "con tin" khi lây nhiễm ransomware, vì đã có giải pháp phục hồi lại dữ liệu. Đây là giải pháp tốt nhất.

2. Cập nhật ngay các các bản vá bảo mật MS17-010, CVE 2017-0199phiên bản hệ điều hành windows đang sử dụng. 

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199  

3. Luôn mở tường lửa và khóa cổng mạng 137-138-139-445-3389, đóng giao thức SMB1. (SMB2 và SMB3 không bị ảnh hưởng: khuyến cáo không nên tắt các giao thức này), Vô hiệu hóa WMIC (Windows Management Instrumentation Command-line)

4. Cập nhập ngay phần mềm diệt virus đang sử dụng hoặc cài đặt ngay phần mềm diệt virus uy tín. Không bấm vào đường link lạ hoặc các email lạ.

Phân tích toàn diện Petya ransomware: https://goo.gl/1YRGPY   

Tỷ lệ phát hiện WannaCry Ransomware trên VirusTotal: https://goo.gl/V3PzKT

0 Bình luận