Virus petya xâm nhập vào máy tính như thế nào Virus ransomware Petya tấn công các công ty Nga và Ukraine
Cuộc tấn công của virus Petya gây bất ngờ khó chịu cho người dân ở nhiều quốc gia. Hàng nghìn máy tính bị lây nhiễm, khiến người dùng mất dữ liệu quan trọng được lưu trữ trên ổ cứng.
Tất nhiên, hiện tại sự cường điệu xung quanh vụ việc này đã lắng xuống nhưng không ai có thể đảm bảo rằng điều này sẽ không xảy ra lần nữa. Đây là lý do tại sao việc bảo vệ máy tính của bạn khỏi mối đe dọa có thể và không chấp nhận những rủi ro không cần thiết. Làm thế nào để làm điều này một cách hiệu quả nhất sẽ được thảo luận dưới đây.
Hậu quả của cuộc tấn công
Để bắt đầu, chúng ta nên nhớ hoạt động ngắn ngủi của Petya.A đã dẫn đến những hậu quả gì. Chỉ trong vài giờ, hàng chục người Ukraine và công ty Nga. Nhân tiện, ở Ukraine, công việc của các bộ phận máy tính của các tổ chức như “Dneprenergo”, “ Nova Poshta" và "Tàu điện ngầm Kiev". Hơn nữa, một số tổ chức chính phủ, ngân hàng và nhà khai thác di động không được bảo vệ khỏi virus Petya.
Tại các quốc gia thuộc Liên minh Châu Âu, ransomware cũng gây ra nhiều rắc rối. Các công ty Pháp, Đan Mạch, Anh và quốc tế đã báo cáo sự gián đoạn tạm thời do cuộc tấn công của virus máy tính Petya.
Như bạn có thể thấy, mối đe dọa thực sự nghiêm trọng. Và mặc dù những kẻ tấn công chọn các tổ chức tài chính lớn làm nạn nhân, người dùng thường xuyên phải chịu đựng không ít.
Petya hoạt động như thế nào?
Để hiểu cách bảo vệ bản thân khỏi virus Petya, trước tiên bạn cần hiểu cách thức hoạt động của nó. Vì vậy, khi ở trên máy tính, phần mềm độc hại sẽ tải xuống một ransomware đặc biệt từ Internet, lây nhiễm Master Boot Record. Đây là một khu vực riêng biệt trên ổ cứng, ẩn khỏi tầm mắt của người dùng và dành cho việc tải xuống hệ điều hành.
Đối với người dùng, quá trình này trông giống như công việc tiêu chuẩn Kiểm tra chương trìnhĐĩa sau khi hệ thống gặp sự cố đột ngột. Máy tính đột ngột khởi động lại và trên màn hình xuất hiện thông báo về kiểm tra kỹđĩa bị lỗi và vui lòng không tắt nguồn.
Ngay khi quá trình này kết thúc, trình bảo vệ màn hình sẽ xuất hiện với thông tin về việc máy tính bị chặn. Kẻ tạo ra virus “Petya” yêu cầu người dùng phải trả khoản tiền chuộc 300 USD (hơn 17,5 nghìn rúp), hứa sẽ gửi lại chìa khóa cần thiết để PC tiếp tục hoạt động.
Phòng ngừa
Điều hợp lý là việc ngăn ngừa nhiễm trùng sẽ dễ dàng hơn nhiều virus máy tính“Petya,” hơn là giải quyết hậu quả của nó sau này. Để bảo mật PC của bạn:
- Luôn cài đặt cập nhật mới nhất cho hệ điều hành. Về nguyên tắc, điều tương tự cũng áp dụng cho tất cả phần mềm được cài đặt trên PC của bạn. Nhân tiện, “Petya” không thể gây hại cho máy tính theo chạy MacOS và Linux.
- Sử dụng các phiên bản mới nhất của phần mềm chống vi-rút và đừng quên cập nhật cơ sở dữ liệu của nó. Vâng, lời khuyên là tầm thường, nhưng không phải ai cũng làm theo.
- Không mở tập tin không tin cậy, gửi cho bạn qua email. Ngoài ra, hãy luôn kiểm tra các ứng dụng được tải xuống từ các nguồn đáng ngờ.
- Làm điều đó thường xuyên bản sao lưu tài liệu và tập tin quan trọng. Tốt nhất là lưu trữ chúng trên một phương tiện riêng biệt hoặc trên đám mây ( Google Drive, "Yandex. Disk", v.v.). Nhờ điều này, ngay cả khi có điều gì đó xảy ra với máy tính của bạn, thông tin có giá trị sẽ không bị tổn hại.
Tạo một tập tin dừng
Các nhà phát triển chương trình chống vi-rút hàng đầu đã tìm ra cách loại bỏ vi-rút Petya. Chính xác hơn, nhờ nghiên cứu của mình, họ có thể hiểu được ransomware đang cố gắng tìm kiếm gì trên máy tính ở giai đoạn lây nhiễm ban đầu. tập tin cục bộ. Nếu thành công, virus sẽ ngừng hoạt động và không gây hại cho PC.
Nói một cách đơn giản, bạn có thể tự tạo một loại tệp dừng và do đó bảo vệ máy tính của mình. Đối với điều này:
- Mở cài đặt Tùy chọn thư mục và bỏ chọn “Ẩn phần mở rộng cho các loại tệp đã biết”.
- Tạo bằng notepad tập tin mới và đặt nó vào thư mục C:/Windows.
- Đổi tên tài liệu đã tạo, gọi nó là "perfc". Sau đó đi đến và kích hoạt tùy chọn Chỉ đọc.
Bây giờ virus Petya, một khi đã xâm nhập vào máy tính của bạn, sẽ không thể làm hại nó. Nhưng hãy nhớ rằng những kẻ tấn công có thể sửa đổi phần mềm độc hại trong tương lai và phương pháp dừng tệp sẽ không hiệu quả.
Nếu nhiễm trùng đã xảy ra
Khi máy tính tự khởi động lại và Check Disk khởi động, vi rút sẽ bắt đầu mã hóa các tập tin. Trong trường hợp này, bạn vẫn có thể có thời gian để lưu dữ liệu của mình bằng cách làm theo các bước sau:
- Tắt nguồn PC ngay lập tức. Đây là cách duy nhất bạn có thể ngăn chặn sự lây lan của virus.
- Tiếp theo bạn cần kết nối ổ cứng sang một PC khác (không phải dưới dạng PC khởi động!) và sao chép thông tin quan trọng từ nó.
- Sau này, bạn cần định dạng hoàn toàn ổ cứng bị nhiễm. Đương nhiên, khi đó bạn sẽ phải cài đặt lại hệ điều hành và các phần mềm khác trên đó.
Ngoài ra, bạn có thể thử sử dụng một phương pháp đặc biệt đĩa khởi độngđể chữa virus Petya. Ví dụ: Kaspersky Anti-Virus cung cấp cho các mục đích này chương trình kaspersky Đĩa cứu hộ, bỏ qua hệ điều hành.
Có đáng để trả tiền cho những kẻ tống tiền không?
Như đã đề cập trước đó, những người tạo ra Petya đang yêu cầu khoản tiền chuộc 300 USD từ những người dùng có máy tính bị nhiễm virus. Theo những kẻ tống tiền, sau khi trả số tiền quy định, nạn nhân sẽ được gửi một chiếc chìa khóa giúp loại bỏ việc chặn thông tin.
Vấn đề là người dùng muốn đưa máy tính của mình trở lại bình thường cần phải viết thư cho những kẻ tấn công qua email. Tuy nhiên, tất cả các email ransomware nhanh chóng bị chặn bởi các dịch vụ được ủy quyền, vì vậy đơn giản là không thể liên hệ với họ.
Hơn nữa, nhiều nhà phát triển phần mềm chống vi-rút hàng đầu tự tin rằng việc mở khóa máy tính bị nhiễm Petya bằng bất kỳ mã nào là hoàn toàn không thể.
Như bạn có thể hiểu, bạn không nên trả tiền cho những kẻ tống tiền. Nếu không, bạn sẽ không chỉ có một chiếc PC không hoạt động mà còn mất một khoản tiền lớn tiền bạc.
Sẽ có những cuộc tấn công mới?
Virus Petya được phát hiện lần đầu tiên vào tháng 3 năm 2016. Sau đó các chuyên gia bảo mật đã nhanh chóng nhận ra mối đe dọa và ngăn chặn nó phân phối đại chúng. Nhưng đến cuối tháng 6/2017, vụ tấn công lại tái diễn, dẫn đến hậu quả rất nghiêm trọng.
Khó có khả năng mọi chuyện sẽ kết thúc ở đó. Các cuộc tấn công bằng ransomware không phải là hiếm, vì vậy điều quan trọng là phải luôn bảo vệ máy tính của bạn. Vấn đề là không ai có thể dự đoán đợt lây nhiễm tiếp theo sẽ xảy ra theo hình thức nào. Dù vậy, bạn luôn nên làm theo các khuyến nghị đơn giản được đưa ra trong bài viết này để giảm thiểu rủi ro đến mức tối thiểu.
Vào ngày 27 tháng 6, các cơ quan chính phủ Ukraine và các công ty tư nhân đã bị tấn công bởi một loại virus ransomware có tên Petya.A. Nội các Bộ trưởng, Oschadbank, Ukrenergo, Nova Poshta, Sân bay Boryspil, Nhà máy điện hạt nhân Chernobyl và các tổ chức khác đã bị tấn công mạng. "GORDON" cho biết cách thức hoạt động của virus Petya.A và liệu bạn có thể bảo vệ mình khỏi nó hay không.
Ảnh: Evgeny Borodai / VKontakte
Denis KONDAKPetya.A là gì?
Đây là một loại “virus ransomware” mã hóa dữ liệu trên máy tính và yêu cầu 300 USD cho chìa khóa để giải mã nó. Nó bắt đầu lây nhiễm máy tính Ukraine vào khoảng trưa ngày 27/6, sau đó lan sang các nước: Nga, Anh, Pháp, Tây Ban Nha, Litva, v.v. Trên trang web Virus Microsoft Hiện nay Nó có mức độ đe dọa "nghiêm trọng".
Sự lây nhiễm xảy ra do lỗ hổng tương tự trong Microsoft Windows, như trường hợp của virus WannaCry, hồi tháng 5 đã lây nhiễm hàng nghìn máy tính trên khắp thế giới và khiến các công ty thiệt hại khoảng 1 tỷ USD.
Vào buổi tối, cảnh sát mạng báo cáo rằng một cuộc tấn công virus nhằm vào báo cáo điện tử và luồng tài liệu. Theo các quan chức thực thi pháp luật, vào lúc 10h30 sáng. cập nhật tiếp theo M.E.Doc, được sử dụng để tải phần mềm độc hại xuống máy tính.
Petya đã được phân phối bằng cách sử dụng E-mail, chuyển chương trình này thành sơ yếu lý lịch của nhân viên. Nếu một người cố mở sơ yếu lý lịch, vi-rút sẽ yêu cầu cấp cho anh ta quyền quản trị viên. Nếu người dùng đồng ý, máy tính sẽ khởi động lại, ổ cứng sẽ được mã hóa và xuất hiện cửa sổ yêu cầu “tiền chuộc”.
BĂNG HÌNH
Quá trình lây nhiễm virus Petya. Video: Phần mềm G DATA AG / YouTube
Đồng thời, bản thân virus Petya cũng có một lỗ hổng: có thể lấy được chìa khóa để giải mã dữ liệu bằng cách sử dụng chương trình đặc biệt. Phương pháp này được biên tập viên Maxim Agadzhanov của Geektimes mô tả vào tháng 4 năm 2016.
Tuy nhiên, một số người dùng thích trả tiền chuộc. Theo dữ liệu từ một trong những ví Bitcoin nổi tiếng, những người tạo ra virus đã nhận được 3,64 bitcoin, tương ứng với khoảng 9.100 USD.
Ai bị ảnh hưởng bởi virus?
Ở Ukraine, nạn nhân của Petya.A chủ yếu là khách hàng doanh nghiệp: các cơ quan chính phủ, ngân hàng, truyền thông, công ty năng lượng và các tổ chức khác.
Trong số những doanh nghiệp khác, các doanh nghiệp sau đã bị tấn công: Nova Poshta, Ukrenergo, OTP Bank, Oschadbank, DTEK, Rozetka, Boris, Ukrzaliznytsia, TNK, Antonov, Epicenter, Channel 24, cũng như sân bay Boryspil, Nội các Bộ trưởng Ukraine, Nhà nước Dịch vụ tài chính và những người khác.
Cuộc tấn công cũng lan rộng ra các khu vực. Ví dụ, n và nhà máy điện hạt nhân Chernobyl ngừng hoạt động do bị tấn công mạng quản lý tài liệu điện tử và trạm chuyển sang giám sát mức độ phóng xạ thủ công. Công việc bị đình trệ ở Kharkov siêu thị lớn"Tăng trưởng" và tại sân bay, việc làm thủ tục chuyến bay được chuyển sang chế độ thủ công.
Bởi vì Virus Petya.Và máy tính tiền đã ngừng hoạt động ở siêu thị Rost. Ảnh: Kh...evy Kharkov / VKontakte
Theo ấn phẩm, ở Nga các công ty Rosneft, Bashneft, Mars, Nivea và các công ty khác đã bị tấn công.
Làm thế nào để bảo vệ bản thân khỏi Petya.A?
Hướng dẫn cách bảo vệ bạn khỏi Petya.A đã được Cơ quan An ninh Ukraine và cảnh sát mạng công bố.
Cảnh sát mạng khuyên người dùng cài đặt Cập nhật Windows từ trang web chính thức của Microsoft, hãy cập nhật hoặc cài đặt phần mềm chống vi-rút, không tải xuống các tệp đáng ngờ từ email và ngay lập tức ngắt kết nối máy tính khỏi mạng nếu nhận thấy vấn đề.
SBU nhấn mạnh rằng trong trường hợp nghi ngờ, máy tính không thể khởi động lại được vì quá trình mã hóa tệp diễn ra chính xác trong quá trình khởi động lại. Cơ quan tình báo khuyến cáo người Ukraina nên giữ tập tin có giá trị sang một phương tiện riêng biệt và tạo một bản sao lưu của hệ điều hành.
Chuyên gia an ninh mạng Vlad Styran đã viết trên Facebook rằng sự lây lan của virus trong mạng nội bộ có thể dừng bằng cách chặn các cổng TCP 1024-1035, 135, 139 và 445 trong Windows. Có hướng dẫn trên Internet về cách thực hiện việc này.
Các chuyên gia từ công ty Symantec của Mỹ
MOSCOW, ngày 27 tháng 6 – RIA Novosti. Virus ransomware đã gây ra cuộc tấn công quy mô lớn vào các công ty dầu mỏ, viễn thông và tài chính ở Nga và Ukraine. RIA Novosti đã được Group-IB, một công ty chuyên phát hiện sớm các mối đe dọa mạng, thông báo về điều này.
“Nó chặn máy tính và yêu cầu 300 đô la bitcoin. Cuộc tấn công xảy ra vào khoảng 14:00. Đánh giá qua các bức ảnh, đây là công cụ khóa mật mã Petya,” dịch vụ báo chí của công ty giải thích, đồng thời lưu ý rằng cách Petya lan truyền trên mạng cục bộ cũng tương tự như cách thức này. Virus WannaCry.
Sau đó, nhà phát triển phần mềm diệt virus Dr.Web đã làm rõ rằng phần mềm độc hại này khác với Petya, nhưng xác nhận rằng Trojan này lây lan độc lập, giống như WannaCry gây chấn động.
Ngược lại, Kaspersky Lab cho biết loại virus này không thuộc bất kỳ họ chương trình tương tự nào đã biết trước đây.
Theo dữ liệu sơ bộ, nhiều công ty đã bị ảnh hưởng bởi virus, bao gồm Bashneft và Rosneft, cũng như Zaporozhyeoblenergo, Dneproenergo và Dnieper Electric Power System của Ukraine.
"Mondelez International, Oschadbank, Mars, Novaya Poshta, Nivea, TESA và những hãng khác. Hệ thống tàu điện ngầm ở Kiev cũng là đối tượng bị hacker tấn công. Máy tính của chính phủ Ukraine, cửa hàng Auchan, nhà khai thác Ukraine("Kyivstar", LifeCell, "UkrTeleCom"), Privatbank. Sân bay Boryspil cũng bị cho là bị hacker tấn công”, đại diện Group-IB cho biết thêm.
Virus đã gây ra sự gián đoạn trong hoạt động của tàu điện ngầm Kyiv: hành khách không thể thanh toán chi phí đi lại bằng cách sử dụng thẻ ngân hàng. Ngược lại, Phó Thủ tướng Ukraine Pavel Rozenko cho biết tất cả máy tính trong nội các đều là đối tượng bị hacker tấn công.
Sân bay Kyiv Boryspil cảnh báo về khả năng chuyến bay bị chậm trễ.
Quyền giám đốc sân bay Evgeniy Dykhne viết trên trang của mình: “Hôm nay có một tình huống khẩn cấp xảy ra tại sân bay và tại một số doanh nghiệp lớn trong khu vực công - một cuộc tấn công bằng thư rác. Facebook.
Báo Ukrayinska Pravda dẫn lời người quản lý ca của nhà máy điện hạt nhân Chernobyl cho biết, việc quản lý tài liệu điện tử không hoạt động tại nhà máy điện hạt nhân Chernobyl do bị hacker tấn công.
Theo người đối thoại của ấn phẩm, một số máy tính tại trạm đã bị nhiễm vi-rút. Vì vậy, ngay khi tin tặc tấn công bắt đầu, lệnh được đưa ra cho các chuyên gia máy tính là tắt máy tính của nhân viên.
“Không có bình luận nào về tình hình bức xạ tại nhà ga. Có nghĩa là, tại khu công nghiệp của chúng tôi, tại các công trình, tình hình bức xạ không hề xấu đi”, ấn phẩm trích lời. một nhân viên nhà máy điện hạt nhân.
Virus này cũng đã được phát hiện ở Litva. Đại diện Cơ quan Điều tiết Truyền thông của nước này đã báo cáo điều này với BNS. Ông không chỉ rõ doanh nghiệp nào có thể bị ảnh hưởng bởi phần mềm độc hại.
Trước đó, Rosneft đã báo cáo về một cuộc tấn công vào máy chủ của họ. Công ty lưu ý rằng nó ngay lập tức chuyển sang hệ thống dự phòng quản lý sản xuất, giúp tránh việc ngừng sản xuất dầu.
Virus WannaCry đã tấn công hàng trăm nghìn máy tính trên toàn thế giới vào ngày 12/5. Sau đó, tin tặc đã sử dụng phần mềm độc hại đã được sửa đổi của Cơ quan An ninh Quốc gia Hoa Kỳ: một công cụ tình báo được gọi là màu xanh vĩnh cửu được kết hợp với phần mềm ransomware WannaCry.
tiếng Đức hành chính liên bang on an ninh thông tin tin rằng một cuộc tấn công mạng quy mô lớn ảnh hưởng đến hàng chục quốc gia trên thế giới có nguồn gốc từ lãnh thổ Ukraine. Bộ nhấn mạnh rằng họ coi thông tin này là hợp lý về sự lây lan của virus Petya thông qua chương trình tiếng Ukraina báo cáo kế toán M.E.Doc.
“Nguồn và trọng tâm chính của cuộc tấn công mạng dường như là ở Ukraine, mặc dù cuộc tấn công đã đạt quy mô toàn cầu”, BSI cho biết trong một tuyên bố đăng trên trang web chính thức của tổ chức.
“Theo báo cáo, phần mềm độc hại được phát tán thông qua chức năng cập nhật của M.E.Doc, một chương trình kế toán được sử dụng rộng rãi ở Ukraine. Sơ bộ, BSI coi luận điểm này là hợp lý,” bộ phận làm rõ.
Giám đốc điều hành BSI Arne Schönbohm cho biết làn sóng tấn công mạng hiện nay một lần nữa cho thấy các doanh nghiệp và tổ chức có thể dễ bị tổn thương như thế nào trong thế giới kỹ thuật số.
“Do cuộc khủng hoảng nghiêm trọng, chúng tôi kêu gọi bảo mật thông tinưu tiên hàng đầu,” Schonbom nói.
Thông tin đó kênh chính sự lây lan của virus Petya ở Ukraine đã trở thành chương trình kế toán M.E.Doc do Ukraine sản xuất, trước đây được phân phối bởi cơ quan báo chí của Cục Cảnh sát mạng Ukraine.
Đáp lại, các nhà phát triển M.E.Doc cho rằng kết luận của các chuyên gia an ninh mạng là sai lầm vì Phiên bản hiện tại Gói dịch vụ được phát hành vào ngày 22 tháng 6 và tất cả các tệp đã được quét vi-rút.
“Nhóm phát triển M.E.Doc bác bỏ thông tin này và tuyên bố rằng những kết luận như vậy rõ ràng là sai lầm, bởi vì nhà phát triển M.E.Doc, với tư cách là nhà cung cấp có trách nhiệm sản phẩm phần mềm, giám sát sự an toàn và độ tinh khiết của mã riêng của nó. Vì mục đích này, các thỏa thuận đã được ký kết với các công ty chống vi-rút lớn để cung cấp khả năng thực thi tập tin nhị phânđể phân tích và xác nhận sự an toàn của chúng. Ngoài ra, trước khi phát hành mỗi bản cập nhật, M.E.Doc chuyển các tệp của mình cho các công ty chống vi-rút để phân tích”, công ty cho biết.
Vào tối ngày 28 tháng 6, một cuộc họp báo của các nhà phát triển M.E.Doc về các cuộc tấn công mạng sẽ được tổ chức tại Kyiv.
Điều thú vị là chương trình M.E.Doc, thường được gọi là sự thay thế thực sựĐây không phải là lần đầu tiên 1C của Nga, vốn bị trừng phạt, trở thành nguồn gây ra vấn đề cho người dùng. Do đó, vào tháng 5 năm nay, một loại virus ransomware tương tự, XData, đã được phát tán thông qua hệ thống cập nhật M.E.Doc. Tuy nhiên, hậu quả của cuộc tấn công đó ít thảm khốc hơn nhiều, Time lưu ý.
Nói về đặc điểm của cuộc tấn công mạng mới, nhà nghiên cứu Mathieu Suich trò chuyện với Cái mới Thời báo York có tên cuộc tấn công mới"một phiên bản cải tiến và mang tính hủy diệt hơn của WannaCry."
Theo công ty phần mềm Symantec của Mỹ, Virus ransomware Petya sử dụng công cụ EternalBlue tương tự như Virus WannaCry, cuộc tấn công vào tháng 5 đã vô hiệu hóa hơn 200 nghìn máy tính ở 150 quốc gia.
“Các nhà phân tích của Symantec đã xác nhận rằng virus ransomware Petya, giống như WannaCry, sử dụng cách khai thác EternalBlue để lây lan,” công ty lưu ý.
Khai thác là một chương trình độc hại khai thác các lỗ hổng trong phần mềm. Người ta tin rằng sự phát triển của EternalBlue đã cho phép WannaCry lây lan do lỗ hổng trong giao thức mạng Windows (SMB), NSA có liên quan nhưng cơ quan này phủ nhận những tuyên bố này.
Đồng thời, nhà báo Thomas Fox-Brewster của chuyên mục Forbes lưu ý rằng để coi loại vi-rút hiện tại là một loại phần mềm độc hại hoàn toàn mới, sẽ chính xác hơn nếu gọi nó là NotPetya, vì nó khác khá nhiều so với các loại trước đó. được các chuyên gia biết đến Virus Petya.
Ngoài việc khai thác EternalBlue, còn có báo cáo rằng vi-rút mới sử dụng các tuyến phân phối khác. Cựu nhà phân tích của NSA David Kennedy nói rằng NotPetya tìm thấy mật khẩu trong bộ nhớ của một máy tính bị nhiễm virus để chuyển chúng sang các hệ thống khác.
Chuyên gia bảo mật Kevin Beaumont cho biết, virus cũng lây lan bằng cách sử dụng công cụ thực thi quy trình từ xa PsExec: ví dụ: nếu một máy tính bị nhiễm có quyền truy cập quản trị vào mạng thì mọi máy tính trên mạng đó đều có thể bị nhiễm.
“Sự kết hợp nguy hiểm này có thể là lý do khiến đợt bùng phát virus hiện nay lây lan nhanh chóng trên toàn thế giới, mặc dù hầu hết các lỗ hổng đáng lẽ phải được vá sau các cuộc tấn công trước đó tấn công toàn thế giới. Robert Lipovsky, nhân viên của công ty chống vi-rút ESET, cho biết chỉ cần một máy tính dễ bị tấn công có quyền truy cập vào mạng nội bộ, sau đó vi-rút sẽ chiếm quyền quản trị viên và lây lan sang các máy tính khác.
- Một nhân viên của Kaspersky Lab nói với RT về đặc điểm của loại virus mới
Một đặc điểm nguy hiểm khác của loại virus mới này là nó có thể tấn công thành công các máy tính có hệ điều hành được cập nhật, trong đó có Windows 10, trong khi WannaCry chỉ lây nhiễm các phiên bản hệ điều hành cũ hơn.
Người đứng đầu bộ phận nghiên cứu chống vi-rút tại Kaspersky Lab, Vyacheslav Zakorzhevsky, trong cuộc trò chuyện với RT, cho biết công ty cũng quyết định đặt tên riêng cho loại vi-rút mới do đặc điểm của nó.
“Một năm trước, một loại ransomware có tên Petya đã xuất hiện, nó cũng ảnh hưởng đến một số công ty trên thế giới. Phần mềm tống tiền mới mới xuất hiện ngày hôm qua và chúng tôi gọi nó là ExPetr vì một số điểm tương đồng với Mã độc tống tiền Petya, nhưng chức năng của nó hoàn toàn khác. Đây là một mối đe dọa tiên tiến hơn xét từ góc độ kỹ thuật, vì vậy nó xứng đáng có một cái tên riêng”, Zakorzhevsky nhấn mạnh.
Ông nói thêm rằng, theo dữ liệu sơ bộ từ Kaspersky Lab, các cuộc tấn công vào cả công ty Nga và Ukraine đều được thực hiện bởi cùng một phiên bản. Phần mềm tống tiền ExPetr, nói thêm rằng quy mô thực sự của cuộc tấn công hiện tại có thể sẽ chỉ được hiểu rõ sau vài ngày nữa.
“Về phương hướng tấn công Ukraine, còn quá sớm để đưa ra kết luận rõ ràng. Có thể là do bọn tội phạm có nhiều dữ liệu, chẳng hạn như về địa chỉ email từ cuộc tấn công trước đó hoặc một số cuộc tấn công khác cách hiệu quả thâm nhập, quyền lực chính đặc biệt rơi vào Ukraine và Nga, nhưng điều này vẫn còn phải xem”, chuyên gia lưu ý.
- Reuters
Trước đó, cựu sĩ quan tình báo Mỹ Edward Snowden đã cáo buộc Cơ quan An ninh Quốc gia Mỹ về quy mô của cuộc tấn công mạng hiện nay. Ông nói rằng ransomware Petya hoạt động với khai thác EternalBlue, khai thác mà các cơ quan tình báo đã sử dụng để khai thác lỗ hổng Windows và không làm gì để khắc phục lỗ hổng này trong 5 năm.
Snowden cũng kêu gọi NSA phải chịu trách nhiệm.
“Đã bao nhiêu lần sự phát triển vũ khí kỹ thuật số của NSA gây ra thiệt hại cho cơ sở hạ tầng dân sự trước khi phát sinh trách nhiệm pháp lý?” anh ấy hỏi.
Snowden nói: “Hãy nhìn xem, mọi người có thể không đồng ý về việc giám sát, nhưng khi NSA tập trung vào tấn công thay vì phòng thủ đang đóng cửa các bệnh viện của Mỹ thì đã đến lúc phải hành động”.
Vào thứ Ba, ngày 27 tháng 6, hàng chục tổ chức chính phủ và tư nhân ở một số quốc gia đã trở thành nạn nhân của một cuộc tấn công mạng quy mô lớn. Cú đánh chính giáng vào Ukraine và Nga, sau đó virus bắt đầu lây lan sang Châu Âu, Châu Mỹ và Châu Á. Chương trình độc hại mã hóa dữ liệu trên ổ cứng của máy tính bị nhiễm và yêu cầu “tiền chuộc” 300 USD để giải mã thông tin. Các chuyên gia an ninh mạng và cơ quan tình báo trên khắp thế giới đang điều tra các cuộc tấn công mới, bao gồm cả FBI và Bộ An ninh Nội địa Hoa Kỳ.
Virus Petya là một ransomware khác chặn các tập tin của người dùng. Phần mềm ransomware này có thể rất nguy hiểm và lây nhiễm sang bất kỳ PC nào, nhưng mục tiêu chính của nó là máy tính của công ty.
Điều này được thảo luận trên trang web Bedynet.ru
Phần mềm độc hại này xâm nhập vào máy tính của nạn nhân và thực hiện các hoạt động của nó một cách bí mật và máy tính có thể gặp rủi ro. Petya mã hóa các tập tin bằng thuật toán RSA-4096 và AES-256, nó thậm chí còn được sử dụng cho mục đích quân sự. Mã như vậy không thể được giải mã nếu không có khóa riêng. Tương tự như các ransomware khác như Locky virus, CryptoWall virus và CryptoLocker, khóa riêng này được lưu trữ ở đâu đó máy chủ từ xa, chỉ có thể truy cập được bằng cách trả tiền chuộc cho người tạo ra vi-rút.
Không giống như các phần mềm ransomware khác, khi vi-rút này chạy, nó sẽ khởi động lại máy tính của bạn ngay lập tức và khi khởi động lại, một thông báo xuất hiện trên màn hình: "KHÔNG TẮT PC CỦA BẠN! NẾU BẠN DỪNG QUY TRÌNH NÀY, BẠN CÓ THỂ PHÁT HIỆN TẤT CẢ DỮ LIỆU CỦA BẠN! " VUI LÒNG ĐẢM BẢO MÁY TÍNH CỦA BẠN ĐƯỢC KẾT NỐI VỚI BỘ SẠC!"
Mặc dù nó có thể trông giống như lỗi hệ thống, trên thực tế, trong khoảnh khắc này Petya âm thầm thực hiện mã hóa trong chế độ ẩn. Nếu người dùng cố gắng khởi động lại hệ thống hoặc dừng mã hóa tệp, khung màu đỏ nhấp nháy sẽ xuất hiện trên màn hình cùng với dòng chữ “Nhấn phím bất kỳ”.
Cuối cùng sau khi nhấn phím sẽ xuất hiện một cửa sổ mới kèm theo thông báo đòi tiền chuộc. Trong ghi chú này, nạn nhân được yêu cầu trả 0,9 bitcoin, tương đương khoảng 400 USD. Tuy nhiên, mức giá này chỉ dành cho một máy tính; do đó, đối với những công ty có nhiều máy tính, con số có thể lên tới hàng nghìn. Điều khiến phần mềm ransomware này trở nên khác biệt là nó cho bạn cả tuần để trả tiền chuộc, thay vì 12-72 giờ thông thường mà các loại vi rút khác trong danh mục này đưa ra.
Hơn nữa, vấn đề với Petya không dừng lại ở đó. Một khi virus này xâm nhập vào hệ thống, nó sẽ cố gắng ghi đè tập tin khởi động Windows, hay còn gọi là trình hướng dẫn ghi khởi động, cần thiết để khởi động hệ điều hành. Bạn sẽ không thể loại bỏ virus Petya khỏi máy tính của mình trừ khi bạn khôi phục cài đặt Master Boot Recorder (MBR). Thật không may, ngay cả khi bạn cố gắng sửa các cài đặt này và loại bỏ vi-rút khỏi hệ thống của mình, các tệp của bạn vẫn sẽ được mã hóa vì việc loại bỏ vi-rút không giải mã các tệp mà chỉ loại bỏ các tệp lây nhiễm. Tất nhiên, việc loại bỏ virus là điều quan trọng nếu bạn muốn tiếp tục làm việc với máy tính của mình. Chúng tôi khuyên bạn nên sử dụng các công cụ chống vi-rút đáng tin cậy như Reimage để loại bỏ Petya.
Virus này lây lan như thế nào và nó có thể xâm nhập vào máy tính như thế nào?
Virus Petya thường lây lan qua các email spam có chứa liên kết tải xuống Dropbox cho một tệp có tên “ứng dụng folder-gepackt.exe” được đính kèm với chúng. Virus được kích hoạt khi tải xuống và mở tập tin cụ thể. Vì bạn đã biết loại virus này lây lan như thế nào nên bạn nên có một số ý tưởng về cách bảo vệ máy tính của mình khỏi virus tấn công. Tất nhiên bạn phải cẩn thận khi mở tập tin điện tử, được gửi bởi người dùng đáng ngờ và không biết nguồn gốc, thể hiện thông tin không như bạn mong đợi.
Bạn cũng nên tránh các email rơi vào danh mục “thư rác”, vì hầu hết các nhà cung cấp dịch vụ email đều tự động lọc email và đặt chúng vào các thư mục thích hợp. Tuy nhiên, bạn không nên tin tưởng vào những bộ lọc này vì các mối đe dọa tiềm ẩn có thể lọt qua chúng. Ngoài ra, hãy đảm bảo rằng hệ thống của bạn được cung cấp một công cụ chống vi-rút đáng tin cậy. Cuối cùng, bạn nên giữ bản sao lưu ở đâu đó ổ đĩa ngoài, trong trường hợp nguy hiểm.
Làm cách nào để loại bỏ virus Petya khỏi PC của tôi?
Bạn không thể xóa Petya khỏi máy tính của mình bằng quy trình gỡ cài đặt đơn giản vì nó sẽ không hoạt động với quy trình này phần mềm độc hại. Điều này có nghĩa là bạn nên loại bỏ virus này một cách tự động. Tự động loại bỏ Virus Petya phải được thực hiện bằng cách sử dụng một phương pháp đáng tin cậy tác nhân chống vi-rút, nó sẽ phát hiện và loại bỏ vi-rút này khỏi máy tính của bạn. Tuy nhiên, nếu bạn gặp phải một số vấn đề khi gỡ cài đặt, chẳng hạn như vi-rút này có thể đang chặn chương trình chống vi rút, bạn luôn có thể kiểm tra hướng dẫn gỡ bỏ.
Bước 1: Khởi động lại máy tính của bạn để Chế độ an toàn với mạng
Windows 7/Vista/XP Nhấp vào Bắt đầu → Tắt máy → Khởi động lại → OK.
Chọn Chế độ an toàn với mạng từ danh sách
Windows 10 / Windows 8Trong cửa sổ Đăng nhập Windows nhấp chuột Nút nguồn. Sau đó nhấn và giữ Phím Shift và nhấp vào Khởi động lại..
Bây giờ chọn Khắc phục sự cố → Tùy chọn nâng cao → Cài đặt khởi động và nhấp vào Khởi động lại.
Khi máy tính của bạn hoạt động, trong cửa sổ Cài đặt khởi động, chọn Bật Chế độ an toàn với mạng.
Bước 2: Loại bỏ Petya
Đăng nhập bằng tài khoản bị nhiễm và khởi chạy trình duyệt của bạn. Tải xuống Reimage hoặc một chương trình chống phần mềm gián điệp đáng tin cậy khác. Cập nhật nó trước khi quét và xóa nó tập tin độc hại liên quan đến ransomware và loại bỏ hoàn toàn Petya.
Nếu ransomware đang chặn Chế độ an toàn với kết nối mạng, hãy thử phương pháp sau.
Bước 1: Khởi động lại máy tính của bạn để chuyển sang Chế độ An toàn bằng Dấu nhắc Lệnh
Windows 7/Vista/XP
Nhấp vào Bắt đầu → Tắt máy → Khởi động lại → OK.
Khi máy tính của bạn đang hoạt động, hãy nhấn F8 nhiều lần cho đến khi cửa sổ Tùy chọn khởi động nâng cao xuất hiện.
Từ danh sách, chọn Dấu nhắc lệnh
Bây giờ gõ rstrui.exe và nhấn Enter lần nữa.
Khi một cửa sổ mới xuất hiện, nhấp vào Tiếp theo và chọn điểm khôi phục trước đó của bạn. Nhiễm trùng Petya. Sau đó, nhấp vào Tiếp theo. Trong cửa sổ "Khôi phục hệ thống" xuất hiện, chọn "Tiếp theo"
Chọn điểm khôi phục của bạn và nhấp vào "Tiếp theo"
Bây giờ hãy nhấp vào Có để bắt đầu khôi phục hệ thống. Nhấp vào "Có" và bắt đầu Khôi phục Hệ thống Khi bạn đã khôi phục hệ thống của mình về ngày trước đó, hãy khởi động và quét máy tính của bạn để đảm bảo quá trình xóa thành công.
"Bạn không cần phải trả tiền." InAU đã nêu.
