Thực đơn
trang chủSự cố

Virus Petya. Nó là gì và làm thế nào để bảo vệ chính mình? Virus Petya: làm thế nào để không bị nhiễm, làm cách nào để giải mã, nó đến từ đâu - tin tức mới nhất về ransomware Petya (ExPetr)

Công ty Rosneft đã phải hứng chịu một cuộc tấn công mạnh mẽ của hacker, như đã đưa tin trên Twitter của họ.

“Một cuộc tấn công mạnh mẽ của hacker đã được thực hiện trên máy chủ của công ty. Chúng tôi hy vọng rằng điều này không liên quan gì đến các thủ tục pháp lý đang diễn ra”, tuyên bố cho biết. Trang web của Rosneft không có sẵn tại thời điểm công bố ghi chú.

Công ty dầu mỏ báo cáo rằng họ đã liên hệ với cơ quan thực thi pháp luật liên quan đến vụ việc. Nhờ hành động kịp thời của cơ quan an ninh, công việc của Rosneft không bị gián đoạn và vẫn tiếp tục diễn ra bình thường.

Đại diện công ty nói với phóng viên Gazeta.Ru: “Một cuộc tấn công của hacker có thể dẫn đến hậu quả nghiêm trọng, tuy nhiên, do công ty đã chuyển sang hệ thống dự phòng để quản lý các quy trình sản xuất nên cả hoạt động sản xuất và chuẩn bị dầu đều không bị dừng lại”.

Họ cảnh báo rằng bất kỳ ai lan truyền thông tin sai lệch “sẽ bị coi là đồng phạm của những người tổ chức vụ tấn công và sẽ phải chịu trách nhiệm cùng với họ”.

Ngoài ra, các máy tính của công ty Bashneft cũng bị nhiễm virus, họ báo cáo. "Vedomosti". Virus ransomware, giống như WannaCry khét tiếng, đã chặn tất cả dữ liệu máy tính và yêu cầu chuyển khoản tiền chuộc bằng bitcoin tương đương 300 USD cho bọn tội phạm.

Thật không may, đây không phải là nạn nhân duy nhất của một cuộc tấn công quy mô lớn của hacker - kênh Telegram của CyberSecurity and Co. báo cáo về một vụ hack mạng của Mondelez International (nhãn hiệu Alpen Gold và Milka), Oschadbank, Mars, Nova Poshta, Nivea, TESA và các công ty khác.

Tác giả của kênh, Alexander Litreyev, cho biết loại virus này có tên là Petya.A và nó thực sự giống với WannaCry, loại virus đã lây nhiễm hơn 300 nghìn máy tính trên khắp thế giới vào tháng 5 năm nay. Petya.A tấn công ổ cứng và mã hóa bảng tệp chính (MFT). Theo Litreev, virus này được phát tán trong các email lừa đảo có tệp đính kèm bị nhiễm virus.

TRONG Blog Kaspersky Lab đã xuất bản một ấn phẩm có thông tin về cách thức lây nhiễm xảy ra. Theo tác giả, virus lây lan chủ yếu qua các nhà quản lý nhân sự, vì các bức thư được ngụy trang dưới dạng tin nhắn từ một ứng viên cho một vị trí cụ thể.

“Một chuyên gia nhân sự nhận được một email giả có liên kết tới Dropbox, được cho là cho phép bạn truy cập và tải xuống một “sơ yếu lý lịch”. Nhưng tệp trong liên kết không phải là một tài liệu văn bản vô hại mà là một kho lưu trữ tự giải nén với phần mở rộng .EXE”, chuyên gia cho biết.

Sau khi mở tệp, người dùng sẽ nhìn thấy “màn hình xanh chết chóc”, sau đó Petya.A chặn hệ thống.

Các chuyên gia của Group-IB nói với Gazeta.Ru rằng bộ mã hóa Petya gần đây đã được nhóm Cobalt sử dụng để che giấu dấu vết của một cuộc tấn công có chủ đích vào các tổ chức tài chính.

Lại là hacker Nga

Ukraine bị ảnh hưởng nặng nề nhất bởi virus Petya.A. Trong số các nạn nhân có Zaporozhyeoblenergo, Dneproenergo, Kiev Metro, các nhà khai thác di động Ukraina Kyivstar, LifeCell và UkrTeleCom, cửa hàng Auchan, PrivatBank, sân bay Boryspil và các tổ chức và công trình khác.

Tổng cộng, hơn 80 công ty ở Nga và Ukraine đã bị tấn công.

Một thành viên của Rada Ukraine từ Mặt trận Bình dân, thành viên hội đồng Bộ Nội vụ, Anton Gerashchenko, nói rằng các cơ quan đặc biệt của Nga phải chịu trách nhiệm về vụ tấn công mạng.

“Theo thông tin sơ bộ, đây là một hệ thống được tổ chức bởi các cơ quan đặc biệt của Nga. Mục tiêu của cuộc tấn công mạng này là các ngân hàng, phương tiện truyền thông, Ukrzaliznytsia, Ukrtelecom. Vi-rút xâm nhập vào máy tính trong vài ngày, thậm chí vài tuần, dưới dạng nhiều loại tin nhắn email khác nhau; những người dùng mở những tin nhắn này đã khiến vi-rút lây lan trên tất cả các máy tính. Đây là một ví dụ khác về việc sử dụng các cuộc tấn công mạng trong một cuộc chiến tranh hỗn hợp chống lại đất nước chúng tôi”, ông Gerashchenko nói.

Cuộc tấn công ransomware WannaCry xảy ra vào giữa tháng 5 năm 2017 và làm tê liệt hoạt động của một số công ty quốc tế trên thế giới. Thiệt hại do virus WannaCry quy mô lớn gây ra cho cộng đồng toàn cầu ước tính lên tới 1 tỷ USD.

Phần mềm độc hại khai thác lỗ hổng trong hệ điều hành Windows, chặn máy tính và yêu cầu tiền chuộc. Sự lây lan của virus đã bị chặn lại một cách tình cờ bởi một lập trình viên người Anh - anh ta đã đăng ký tên miền mà chương trình truy cập.

Mặc dù thực tế là cuộc tấn công mạng WannaCry có quy mô toàn cầu, nhưng tổng cộng chỉ có 302 trường hợp thanh toán tiền chuộc được ghi nhận, do đó tin tặc có thể kiếm được 116 nghìn USD.

Mô tả virus Petya. Mọi thứ chúng ta cần biết về virus Petya

Virus Petya là một ransomware khác chặn các tập tin của người dùng. Loại ransomware này có thể rất nguy hiểm và lây nhiễm sang bất kỳ PC nào, nhưng mục tiêu chính của nó là máy tính của các công ty Đức. Phần mềm độc hại này xâm nhập vào máy tính của nạn nhân và thực hiện các hoạt động của nó một cách bí mật và máy tính có thể gặp rủi ro. Petya mã hóa các tập tin bằng thuật toán RSA-4096 và AES-256, nó thậm chí còn được sử dụng cho mục đích quân sự. Mã như vậy không thể được giải mã nếu không có khóa riêng. Giống như các ransomware khác như Locky virus, CryptoWall virus và CryptoLocker, khóa riêng này được lưu trữ trên một số máy chủ từ xa, chỉ có thể truy cập được bằng cách trả tiền chuộc cho người tạo ra virus.

Không giống như các phần mềm ransomware khác, khi vi-rút này chạy, nó sẽ khởi động lại máy tính của bạn ngay lập tức và khi khởi động lại, trên màn hình sẽ xuất hiện thông báo: “KHÔNG TẮT PC CỦA BẠN! NẾU BẠN DỪNG QUY TRÌNH NÀY, BẠN CÓ THỂ PHÁ HỦY TẤT CẢ DỮ LIỆU CỦA MÌNH! VUI LÒNG ĐẢM BẢO MÁY TÍNH CỦA BẠN ĐƯỢC KẾT NỐI VỚI BỘ SẠC! Mặc dù điều này có vẻ giống như một lỗi hệ thống nhưng Petya thực sự đang âm thầm thực hiện mã hóa ở chế độ ẩn. Nếu người dùng cố gắng khởi động lại hệ thống hoặc dừng mã hóa tệp, khung màu đỏ nhấp nháy sẽ xuất hiện trên màn hình cùng với dòng chữ “BẤM PHÍM BẤT CỨ!” Cuối cùng sau khi nhấn phím sẽ xuất hiện một cửa sổ mới kèm theo thông báo đòi tiền chuộc. Trong ghi chú này, nạn nhân được yêu cầu trả 0,9 bitcoin, tương đương khoảng 400 USD. Tuy nhiên, mức giá này chỉ dành cho một máy tính; do đó, đối với những công ty có nhiều máy tính, con số có thể lên tới hàng nghìn. Điều khiến phần mềm ransomware này trở nên khác biệt là nó cho bạn cả tuần để trả tiền chuộc, thay vì 12-72 giờ như thông thường mà các loại vi rút khác trong danh mục này đưa ra.

Hơn nữa, vấn đề với Petya không dừng lại ở đó. Khi vi-rút này xâm nhập vào hệ thống, nó sẽ cố gắng ghi lại các tệp khởi động Windows, hay còn gọi là Boot Writer, cần thiết để khởi động hệ điều hành. Bạn sẽ không thể loại bỏ virus Petya khỏi máy tính của mình trừ khi bạn khôi phục cài đặt Master Boot Recorder (MBR). Thật không may, ngay cả khi bạn cố gắng sửa các cài đặt này và loại bỏ vi-rút khỏi hệ thống của mình, các tệp của bạn vẫn sẽ được mã hóa vì việc loại bỏ vi-rút không giải mã các tệp mà chỉ loại bỏ các tệp lây nhiễm. Tất nhiên, việc loại bỏ virus là điều quan trọng nếu bạn muốn tiếp tục làm việc với máy tính của mình. Chúng tôi khuyên bạn nên sử dụng các công cụ chống vi-rút đáng tin cậy như Reimage để loại bỏ Petya.

Virus Petya lây lan.

Virus này lây lan như thế nào và nó có thể xâm nhập vào máy tính như thế nào?

Virus Petya thường lây lan qua các email spam có chứa liên kết tải xuống Dropbox cho một tệp có tên “ứng dụng folder-gepackt.exe” được đính kèm với chúng. Virus được kích hoạt khi một tệp cụ thể được tải xuống và mở. Vì bạn đã biết vi-rút này lây lan như thế nào nên bạn nên có một số ý tưởng về cách bảo vệ máy tính của mình khỏi sự tấn công của vi-rút. Tất nhiên, bạn nên cẩn thận khi mở các tệp điện tử được gửi bởi những người dùng đáng ngờ và các nguồn không xác định cung cấp thông tin không như bạn mong đợi. Bạn cũng nên tránh các email rơi vào danh mục “thư rác”, vì hầu hết các nhà cung cấp dịch vụ email đều tự động lọc email và đặt chúng vào các thư mục thích hợp. Tuy nhiên, bạn không nên tin tưởng vào những bộ lọc này vì các mối đe dọa tiềm ẩn có thể lọt qua chúng. Ngoài ra, hãy đảm bảo rằng hệ thống của bạn được cung cấp một công cụ chống vi-rút đáng tin cậy. Cuối cùng, chúng tôi luôn khuyên bạn nên sao lưu trên một số ổ đĩa ngoài để phòng trường hợp nguy hiểm.

Loại bỏ virus Petya.

Làm cách nào để loại bỏ virus Petya khỏi PC của tôi?

Như chúng tôi đã đề cập, việc loại bỏ vi-rút Petya là điều cần thiết để đảm bảo an toàn cho các tệp trong tương lai của bạn. Ngoài ra, việc khôi phục dữ liệu từ ổ đĩa ngoài chỉ có thể được thực hiện khi vi-rút và tất cả các thành phần của nó bị loại bỏ hoàn toàn khỏi PC. Nếu không, Petya có thể xâm nhập và lây nhiễm các tệp của bạn trên ổ đĩa ngoài.
Bạn không thể xóa Petya khỏi máy tính của mình bằng quy trình gỡ cài đặt đơn giản vì nó sẽ không hoạt động với phần mềm độc hại này. Điều này có nghĩa là bạn nên loại bỏ virus này một cách tự động. Việc loại bỏ vi-rút Petya tự động phải được thực hiện bằng công cụ chống vi-rút đáng tin cậy sẽ phát hiện và loại bỏ vi-rút này khỏi máy tính của bạn. Tuy nhiên, nếu bạn gặp phải một số vấn đề khi gỡ cài đặt, chẳng hạn như vi-rút này có thể đang chặn chương trình chống vi-rút của bạn, bạn luôn có thể kiểm tra hướng dẫn gỡ cài đặt được cung cấp ở cuối bài viết.

Hướng dẫn diệt virus Petya thủ công:

  • Phương pháp 1: Gỡ cài đặt Petya bằng Chế độ an toàn với mạng
  • Phương pháp 2: Gỡ cài đặt Petya bằng System Restore
  • Khôi phục dữ liệu của bạn sau virus Petya

Gỡ cài đặt Petya bằng Chế độ an toàn với mạng


Nếu ransomware đang chặn Chế độ an toàn với kết nối mạng, hãy thử phương pháp sau.

Gỡ cài đặt Petya bằng System Restore

  • Bước 1: Khởi động lại máy tính của bạn để sử dụng Chế độ An toàn với Dấu nhắc Lệnh


    Windows 7/Vista/XP

    Windows 10/Windows 8

  • Bước 2: Khôi phục các tập tin và cài đặt hệ thống của bạn


    Khi bạn đã khôi phục hệ thống của mình về ngày trước đó, hãy khởi động và quét máy tính của bạn để đảm bảo việc xóa thành công.

Cuối cùng, bạn phải luôn cân nhắc việc bảo vệ khỏi phần mềm tống tiền tiền điện tử. Để bảo vệ máy tính của bạn khỏi Petya và các ứng dụng tương tự khác, hãy sử dụng chương trình chống phần mềm gián điệp đáng tin cậy như Reimage, Plumbytes Anti-Malware hoặc Malwarebytes Anti Malware

Cuộc tấn công của virus Petya gây bất ngờ khó chịu cho người dân ở nhiều quốc gia. Hàng nghìn máy tính bị lây nhiễm, khiến người dùng mất dữ liệu quan trọng được lưu trữ trên ổ cứng.

Tất nhiên, hiện tại sự cường điệu xung quanh vụ việc này đã lắng xuống nhưng không ai có thể đảm bảo rằng điều này sẽ không xảy ra lần nữa. Đó là lý do tại sao việc bảo vệ máy tính của bạn khỏi các mối đe dọa có thể xảy ra và không gặp phải những rủi ro không cần thiết là rất quan trọng. Làm thế nào để làm điều này một cách hiệu quả nhất sẽ được thảo luận dưới đây.

Hậu quả của cuộc tấn công

Để bắt đầu, chúng ta nên nhớ hoạt động ngắn ngủi của Petya.A đã dẫn đến những hậu quả gì. Chỉ trong vài giờ, hàng chục công ty Ukraine và Nga đã bị ảnh hưởng. Nhân tiện, ở Ukraine, công việc của bộ phận máy tính của các tổ chức như Dneprenergo, Nova Poshta và Kiev Metro gần như bị tê liệt hoàn toàn. Hơn nữa, một số tổ chức chính phủ, ngân hàng và nhà khai thác di động không được bảo vệ khỏi virus Petya.

Ở các quốc gia thuộc Liên minh Châu Âu, ransomware cũng gây ra nhiều rắc rối. Các công ty Pháp, Đan Mạch, Anh và quốc tế đã báo cáo các vấn đề hoạt động tạm thời liên quan đến cuộc tấn công của virus máy tính Petya.

Như bạn có thể thấy, mối đe dọa thực sự nghiêm trọng. Và mặc dù những kẻ tấn công đã chọn các tổ chức tài chính lớn làm nạn nhân nhưng người dùng bình thường cũng phải chịu thiệt hại không kém.

Petya hoạt động như thế nào?

Để hiểu cách bảo vệ bản thân khỏi virus Petya, trước tiên bạn cần hiểu cách thức hoạt động của nó. Vì vậy, khi ở trên máy tính, phần mềm độc hại sẽ tải xuống một phần mềm ransomware đặc biệt từ Internet, lây nhiễm vào Bản ghi khởi động chính. Đây là một khu vực riêng biệt trên ổ cứng, ẩn khỏi tầm mắt của người dùng và dùng để tải hệ điều hành.

Đối với người dùng, quá trình này giống như hoạt động tiêu chuẩn của chương trình Check Disk sau khi hệ thống gặp sự cố bất ngờ. Máy tính đột ngột khởi động lại, trên màn hình xuất hiện thông báo kiểm tra lỗi ổ cứng và yêu cầu bạn không tắt nguồn.

Ngay khi quá trình này kết thúc, trình bảo vệ màn hình sẽ xuất hiện với thông tin về việc máy tính bị chặn. Kẻ tạo ra virus “Petya” yêu cầu người dùng phải trả khoản tiền chuộc 300 USD (hơn 17,5 nghìn rúp), hứa sẽ gửi lại chìa khóa cần thiết để PC tiếp tục hoạt động.

Phòng ngừa

Điều hợp lý là việc ngăn ngừa nhiễm vi-rút máy tính Petya sẽ dễ dàng hơn nhiều so với việc giải quyết hậu quả của nó sau này. Để bảo mật PC của bạn:

  • Luôn cài đặt các bản cập nhật mới nhất cho hệ điều hành của bạn. Về nguyên tắc, điều tương tự cũng áp dụng cho tất cả phần mềm được cài đặt trên PC của bạn. Nhân tiện, “Petya” không thể gây hại cho máy tính chạy MacOS và Linux.
  • Sử dụng các phiên bản mới nhất của phần mềm chống vi-rút và đừng quên cập nhật cơ sở dữ liệu của nó. Vâng, lời khuyên là tầm thường, nhưng không phải ai cũng làm theo.
  • Không mở các tập tin đáng ngờ được gửi cho bạn qua email. Ngoài ra, hãy luôn kiểm tra các ứng dụng được tải xuống từ các nguồn đáng ngờ.
  • Thường xuyên sao lưu các tài liệu và tập tin quan trọng. Tốt nhất là lưu trữ chúng trên một phương tiện riêng biệt hoặc trên “đám mây” (Google Drive, Yandex. Disk, v.v.). Nhờ đó, ngay cả khi có chuyện gì xảy ra với máy tính của bạn, thông tin có giá trị sẽ không bị hư hại.

Tạo một tập tin dừng

Các nhà phát triển chương trình chống vi-rút hàng đầu đã tìm ra cách loại bỏ vi-rút Petya. Chính xác hơn, nhờ nghiên cứu của họ, họ có thể hiểu rằng ransomware cố gắng tìm một tệp cục bộ trên máy tính ở giai đoạn lây nhiễm ban đầu. Nếu thành công, virus sẽ ngừng hoạt động và không gây hại cho PC.

Nói một cách đơn giản, bạn có thể tạo một loại tệp dừng theo cách thủ công và do đó bảo vệ máy tính của bạn. Đối với điều này:

  • Mở cài đặt Tùy chọn thư mục và bỏ chọn “Ẩn phần mở rộng cho các loại tệp đã biết”.
  • Tạo một tệp mới bằng Notepad và đặt nó vào thư mục C:/Windows.
  • Đổi tên tài liệu đã tạo, gọi nó là "perfc". Sau đó đi đến và kích hoạt tùy chọn Chỉ đọc.

Bây giờ virus Petya, một khi đã xâm nhập vào máy tính của bạn, sẽ không thể làm hại nó. Nhưng hãy nhớ rằng những kẻ tấn công có thể sửa đổi phần mềm độc hại trong tương lai và phương pháp dừng tệp sẽ không hiệu quả.

Nếu nhiễm trùng đã xảy ra

Khi máy tính tự khởi động lại và Check Disk khởi động, vi rút sẽ bắt đầu mã hóa các tập tin. Trong trường hợp này, bạn vẫn có thể có thời gian để lưu dữ liệu của mình bằng cách làm theo các bước sau:

  • Tắt nguồn PC ngay lập tức. Đây là cách duy nhất bạn có thể ngăn chặn sự lây lan của virus.
  • Tiếp theo, bạn nên kết nối ổ cứng của mình với một PC khác (không phải dưới dạng ổ khởi động!) và sao chép thông tin quan trọng từ nó.
  • Sau này, bạn cần định dạng hoàn toàn ổ cứng bị nhiễm. Đương nhiên, sau đó bạn sẽ phải cài đặt lại hệ điều hành và các phần mềm khác trên đó.

Ngoài ra, bạn có thể thử sử dụng một đĩa khởi động đặc biệt để chữa virus Petya. Ví dụ: Kaspersky Anti-Virus cung cấp chương trình Kaspersky Rescue Disk cho những mục đích này, chương trình này bỏ qua hệ điều hành.

Có đáng để trả tiền cho những kẻ tống tiền không?

Như đã đề cập trước đó, những người tạo ra Petya đang đòi khoản tiền chuộc 300 USD từ những người dùng có máy tính bị nhiễm virus. Theo những kẻ tống tiền, sau khi trả số tiền quy định, nạn nhân sẽ được gửi một chiếc chìa khóa giúp loại bỏ việc chặn thông tin.

Vấn đề là người dùng muốn đưa máy tính của mình trở lại bình thường cần phải viết thư cho những kẻ tấn công qua email. Tuy nhiên, tất cả các email ransomware nhanh chóng bị chặn bởi các dịch vụ được ủy quyền, vì vậy đơn giản là không thể liên hệ với họ.

Hơn nữa, nhiều nhà phát triển phần mềm chống vi-rút hàng đầu tự tin rằng việc mở khóa máy tính bị nhiễm Petya bằng bất kỳ mã nào là hoàn toàn không thể.

Như bạn có thể hiểu, bạn không nên trả tiền cho những kẻ tống tiền. Nếu không, bạn không chỉ phải chịu một chiếc PC không hoạt động mà còn mất một số tiền lớn.

Sẽ có những cuộc tấn công mới?

Virus Petya được phát hiện lần đầu tiên vào tháng 3 năm 2016. Sau đó, các chuyên gia bảo mật nhanh chóng nhận thấy mối đe dọa và ngăn chặn sự lây lan hàng loạt của nó. Nhưng đến cuối tháng 6/2017, vụ tấn công lại tái diễn, dẫn đến hậu quả rất nghiêm trọng.

Khó có khả năng mọi chuyện sẽ kết thúc ở đó. Các cuộc tấn công bằng ransomware không phải là hiếm, vì vậy điều quan trọng là phải luôn bảo vệ máy tính của bạn. Vấn đề là không ai có thể dự đoán đợt lây nhiễm tiếp theo sẽ xảy ra theo hình thức nào. Dù vậy, bạn luôn nên làm theo các khuyến nghị đơn giản được đưa ra trong bài viết này để giảm thiểu rủi ro đến mức tối thiểu.

Hầu hết mọi người dùng đều có chương trình chống vi-rút trên máy tính của họ, nhưng đôi khi một Trojan hoặc vi-rút xuất hiện có thể vượt qua sự bảo vệ tốt nhất và lây nhiễm vào thiết bị của bạn, thậm chí tệ hơn là mã hóa dữ liệu của bạn. Lần này, Trojan mã hóa “Petya” hay còn được gọi là “Petya”, đã trở thành một loại virus như vậy. Tốc độ lây lan của mối đe dọa này rất ấn tượng: trong vài ngày, anh ta có thể “đến thăm” Nga, Ukraine, Israel, Úc, Mỹ, tất cả các nước lớn ở châu Âu và hơn thế nữa. Nó chủ yếu ảnh hưởng đến người dùng doanh nghiệp (sân bay, nhà máy điện, ngành du lịch), nhưng người dân bình thường cũng bị ảnh hưởng. Xét về quy mô và phương pháp gây ảnh hưởng, nó cực kỳ giống với vụ gây chấn động gần đây.

Bạn chắc chắn cần phải bảo vệ máy tính của mình để tránh trở thành nạn nhân của Trojan ransomware Petya mới. Trong bài viết này, tôi sẽ cho bạn biết đây là loại virus Petya gì, nó lây lan như thế nào và cách bảo vệ bạn khỏi mối đe dọa này. Ngoài ra, chúng tôi sẽ đề cập đến các vấn đề loại bỏ Trojan và giải mã thông tin.

Virus Petya là gì?

Đầu tiên chúng ta nên hiểu Petya là gì. Virus Petya là phần mềm độc hại thuộc loại Trojan (phần mềm tống tiền). Những loại vi-rút này được thiết kế để tống tiền chủ sở hữu các thiết bị bị nhiễm nhằm lấy tiền chuộc từ chúng đối với dữ liệu được mã hóa. Không giống như Wanna Cry, Petya không bận tâm đến việc mã hóa các tập tin riêng lẻ - nó gần như ngay lập tức "lấy đi" toàn bộ ổ cứng của bạn.

Tên chính xác của virus mới là Petya.A. Ngoài ra, Kaspersky gọi nó là NotPetya/ExPetr.

Mô tả về virus Petya

Khi ở trên máy tính Windows của bạn, Petya sẽ mã hóa gần như ngay lập tức MFT(Bảng tệp chính - bảng chính của tệp). Cái bàn này chịu trách nhiệm gì?

Hãy tưởng tượng rằng ổ cứng của bạn là thư viện lớn nhất trong toàn vũ trụ. Nó chứa hàng tỷ cuốn sách. Vậy làm thế nào để bạn tìm được cuốn sách phù hợp? Chỉ thông qua danh mục thư viện. Petya đã phá hủy danh mục này. Do đó, bạn sẽ mất mọi khả năng tìm thấy bất kỳ “tập tin” nào trên PC của mình. Nói chính xác hơn, sau “tác phẩm” của Petit, ổ cứng máy tính của bạn sẽ giống như một thư viện sau cơn lốc xoáy, với những mảnh sách vụn bay khắp nơi.

Do đó, không giống như Wanna Cry mà tôi đã đề cập ở đầu bài viết, Petya.A không mã hóa các tệp riêng lẻ, dành một lượng thời gian đáng kể cho việc này - nó chỉ đơn giản là lấy đi mọi cơ hội để bạn tìm thấy chúng.

Sau tất cả các thao tác của mình, anh ta yêu cầu người dùng tiền chuộc - 300 đô la, số tiền này phải được chuyển vào tài khoản Bitcoin.

Ai đã tạo ra virus Petya?

Khi tạo virus Petya, một khai thác (“lỗ hổng”) trong hệ điều hành Windows có tên “EternalBlue” đã được sử dụng. Microsoft đã phát hành bản vá “đóng” lỗ hổng này vài tháng trước, tuy nhiên, không phải ai cũng sử dụng bản Windows được cấp phép và cài đặt tất cả các bản cập nhật hệ thống, phải không?)

Người tạo ra “Petit” đã có thể tận dụng một cách khôn ngoan sự bất cẩn của người dùng doanh nghiệp và tư nhân và kiếm tiền từ nó. Danh tính của anh ta vẫn chưa được biết (và khó có thể được biết)

Virus Petya lây lan như thế nào?

Virus Petya thường lây lan dưới hình thức các tệp đính kèm trong email và trong các kho lưu trữ chứa phần mềm bị nhiễm vi phạm bản quyền. Tệp đính kèm hoàn toàn có thể chứa bất kỳ tệp nào, bao gồm ảnh hoặc mp3 (thoạt nhìn có vẻ như vậy). Sau khi bạn chạy tệp, máy tính của bạn sẽ khởi động lại và vi-rút sẽ mô phỏng việc kiểm tra đĩa để tìm lỗi CHKDSK và tại thời điểm này, nó sẽ sửa đổi bản ghi khởi động máy tính của bạn (MBR). Sau đó, bạn sẽ thấy một hộp sọ màu đỏ trên màn hình máy tính. Bằng cách nhấp vào bất kỳ nút nào, bạn có thể truy cập văn bản trong đó bạn sẽ được yêu cầu trả tiền để giải mã các tệp của mình và chuyển số tiền cần thiết vào ví bitcoin.

Làm thế nào để bảo vệ bạn khỏi virus Petya?

  • Điều quan trọng và cơ bản nhất là hãy đặt ra quy tắc cài đặt các bản cập nhật cho hệ điều hành của bạn! Điều này cực kỳ quan trọng. Hãy làm ngay, đừng trì hoãn.
  • Đặc biệt chú ý đến tất cả các tệp đính kèm được đính kèm với các bức thư, ngay cả khi những bức thư đó là của những người bạn biết. Trong thời gian dịch bệnh, tốt hơn hết bạn nên sử dụng các nguồn truyền dữ liệu thay thế.
  • Kích hoạt tùy chọn “Hiển thị phần mở rộng tệp” trong cài đặt HĐH - bằng cách này, bạn luôn có thể thấy phần mở rộng tệp thực sự.
  • Bật "Kiểm soát tài khoản người dùng" trong cài đặt Windows.
  • Bạn phải cài đặt một trong số chúng để tránh nhiễm trùng. Bắt đầu bằng cách cài đặt bản cập nhật hệ điều hành, sau đó cài đặt phần mềm chống vi-rút - và bạn sẽ an toàn hơn nhiều so với trước đây.
  • Đảm bảo tạo "bản sao lưu" - lưu tất cả dữ liệu quan trọng vào ổ cứng ngoài hoặc vào đám mây. Sau đó, nếu virus Petya xâm nhập vào PC của bạn và mã hóa tất cả dữ liệu, việc định dạng ổ cứng và cài đặt lại hệ điều hành sẽ khá đơn giản.
  • Luôn kiểm tra xem cơ sở dữ liệu chống vi-rút của bạn có được cập nhật hay không. Tất cả các phần mềm chống vi-rút tốt đều giám sát các mối đe dọa và phản hồi chúng kịp thời bằng cách cập nhật các dấu hiệu mối đe dọa.
  • Cài đặt tiện ích Kaspersky Anti-Ransomware miễn phí. Nó sẽ bảo vệ bạn khỏi việc mã hóa virus. Việc cài đặt phần mềm này không giúp bạn giảm bớt nhu cầu cài đặt phần mềm chống vi-rút.

Làm thế nào để loại bỏ virus Petya?

Làm cách nào để loại bỏ virus Petya.A khỏi ổ cứng của bạn? Đây là một câu hỏi cực kỳ thú vị. Thực tế là nếu vi-rút đã chặn dữ liệu của bạn thì thực tế sẽ không có gì để xóa. Nếu bạn không định trả tiền ransomware (điều bạn không nên làm) và sẽ không cố gắng khôi phục dữ liệu trên đĩa trong tương lai, bạn chỉ cần định dạng đĩa và cài đặt lại hệ điều hành. Sau đó, sẽ không còn dấu vết của virus.

Nếu bạn nghi ngờ rằng có một tệp bị nhiễm trên đĩa của mình, hãy quét đĩa của bạn bằng một trong số chúng hoặc cài đặt phần mềm chống vi-rút Kaspersky và tiến hành quét toàn bộ hệ thống. Nhà phát triển đảm bảo rằng cơ sở dữ liệu chữ ký của anh ấy đã chứa thông tin về loại virus này.

Bộ giải mã Petya.A

Petya.A mã hóa dữ liệu của bạn bằng thuật toán rất mạnh. Hiện tại chưa có giải pháp giải mã thông tin bị chặn. Hơn nữa, bạn không nên cố gắng truy cập dữ liệu ở nhà.

Không còn nghi ngờ gì nữa, tất cả chúng ta đều mơ ước có được bộ giải mã thần kỳ Petya.A, nhưng đơn giản là không có giải pháp nào như vậy. Loại virus này đã tấn công thế giới vài tháng trước, nhưng phương pháp giải mã dữ liệu mà nó mã hóa vẫn chưa được tìm ra.

Vì vậy, nếu bạn chưa trở thành nạn nhân của virus Petya, hãy nghe theo lời khuyên tôi đưa ra ở đầu bài viết. Nếu bạn vẫn mất quyền kiểm soát dữ liệu của mình thì bạn có một số lựa chọn.

  • Trả tiền. Không có ích gì khi làm điều này! Các chuyên gia đã phát hiện ra rằng người tạo ra vi-rút không khôi phục dữ liệu và không thể khôi phục dữ liệu đó dựa trên kỹ thuật mã hóa.
  • Tháo ổ cứng ra khỏi thiết bị, cẩn thận đặt nó vào tủ và nhấn bộ giải mã để xuất hiện. Nhân tiện, Kaspersky Lab không ngừng làm việc theo hướng này. Các bộ giải mã có sẵn trên trang web No Ransom.
  • Định dạng đĩa và cài đặt hệ điều hành. Nhược điểm là tất cả dữ liệu sẽ bị mất.

Virus Petya.A ở Nga

Ở Nga và Ukraine, hơn 80 công ty đã bị tấn công và lây nhiễm tại thời điểm viết bài, bao gồm cả những công ty lớn như Bashneft và Rosneft. Sự lây nhiễm cơ sở hạ tầng của các công ty lớn như vậy cho thấy mức độ nghiêm trọng của virus Petya.A. Không còn nghi ngờ gì nữa, Trojan ransomware sẽ tiếp tục lan rộng khắp nước Nga, vì vậy bạn nên chú ý bảo mật dữ liệu của mình và làm theo lời khuyên trong bài viết.

Petya.A và Android, iOS, Mac, Linux

Nhiều người dùng lo lắng về việc liệu virus Petya có thể lây nhiễm sang thiết bị Android và iOS của họ hay không. Tôi sẽ nhanh chóng trấn an họ - không, không thể được. Nó chỉ dành cho người dùng hệ điều hành Windows. Điều tương tự cũng áp dụng cho những người hâm mộ Linux và Mac - bạn có thể ngủ yên, không có gì đe dọa bạn.

Phần kết luận

Vì vậy, hôm nay chúng ta đã thảo luận chi tiết về virus Petya.A mới. Chúng tôi đã hiểu Trojan này là gì và cách thức hoạt động của nó, chúng tôi đã học được cách bảo vệ bản thân khỏi bị lây nhiễm và loại bỏ vi-rút cũng như nơi lấy bộ giải mã Petya. Tôi hy vọng rằng bài viết và lời khuyên của tôi hữu ích cho bạn.

MOSCOW, ngày 27 tháng 6 – RIA Novosti. Virus ransomware đã gây ra cuộc tấn công quy mô lớn vào các công ty dầu mỏ, viễn thông và tài chính ở Nga và Ukraine. RIA Novosti đã được Group-IB, một công ty chuyên phát hiện sớm các mối đe dọa mạng, thông báo về điều này.

“Nó chặn máy tính và yêu cầu 300 đô la bitcoin. Cuộc tấn công xảy ra vào khoảng 14:00. Đánh giá qua các bức ảnh, đây là công cụ khóa mật mã Petya,” dịch vụ báo chí của công ty giải thích, đồng thời lưu ý rằng cách Petya lan truyền trên mạng cục bộ cũng tương tự như cách thức này. Virus WannaCry.

Sau đó, nhà phát triển phần mềm diệt virus Dr.Web đã làm rõ rằng phần mềm độc hại này khác với Petya, nhưng xác nhận rằng Trojan này lây lan độc lập, giống như WannaCry gây chấn động.

Ngược lại, Kaspersky Lab cho biết loại virus này không thuộc bất kỳ họ chương trình tương tự nào đã biết trước đây.

Theo dữ liệu sơ bộ, nhiều công ty đã bị ảnh hưởng bởi virus, bao gồm Bashneft và Rosneft, cũng như Zaporozhyeoblenergo, Dneproenergo và Dnieper Electric Power System của Ukraine.

"Mondelez International, Oschadbank, Mars, Nova Poshta, Nivea, TESA và những hãng khác. Tàu điện ngầm ở Kiev cũng bị hacker tấn công. Máy tính của chính phủ Ukraine, cửa hàng Auchan, nhà điều hành Ukraine (Kyivstar, LifeCell, UkrTeleCom) đã bị tấn công, Privatbank Boryspil Sân bay cũng bị cáo buộc là đối tượng bị hacker tấn công”, đại diện Group-IB cho biết thêm.

Loại virus này đã gây ra sự gián đoạn trong hoạt động của tàu điện ngầm Kyiv: hành khách không thể thanh toán chi phí đi lại bằng thẻ ngân hàng. Ngược lại, Phó Thủ tướng Ukraine Pavel Rozenko cho biết tất cả máy tính trong nội các đều là đối tượng bị hacker tấn công.

Sân bay Kyiv Boryspil cảnh báo về khả năng chuyến bay bị chậm trễ.

Quyền giám đốc sân bay, Evgeniy Dykhne, viết trên trang của mình: “Hôm nay có một tình huống khẩn cấp xảy ra tại sân bay và tại một số doanh nghiệp lớn trong khu vực công - một cuộc tấn công bằng thư rác. Facebook.

Báo Ukrayinska Pravda dẫn lời người quản lý ca của nhà máy điện hạt nhân Chernobyl cho biết, việc quản lý tài liệu điện tử không hoạt động tại nhà máy điện hạt nhân Chernobyl do bị hacker tấn công.

Theo người đối thoại của ấn phẩm, một số máy tính tại trạm đã bị nhiễm vi-rút. Vì vậy, ngay khi cuộc tấn công của hacker bắt đầu, lệnh đã được đưa ra cho các nhà khoa học máy tính là tắt máy tính của nhân viên.

“Không có bình luận nào về tình hình bức xạ tại nhà ga. Có nghĩa là, tại khu công nghiệp của chúng tôi, tại các công trình, tình hình bức xạ không hề xấu đi”, ấn phẩm trích lời. một nhân viên nhà máy điện hạt nhân.

Virus này cũng đã được phát hiện ở Litva. Đại diện Cơ quan Điều tiết Truyền thông của nước này đã báo cáo điều này với BNS. Ông không chỉ rõ doanh nghiệp nào có thể bị ảnh hưởng bởi phần mềm độc hại.

Trước đó, Rosneft đã báo cáo về một cuộc tấn công vào máy chủ của họ. Công ty lưu ý rằng họ đã ngay lập tức chuyển sang hệ thống quản lý sản xuất dự phòng, điều này cho phép họ tránh phải ngừng sản xuất dầu.

Virus WannaCry đã tấn công hàng trăm nghìn máy tính trên toàn thế giới vào ngày 12/5. Sau đó, tin tặc đã sử dụng phần mềm độc hại đã được sửa đổi của Cơ quan An ninh Quốc gia Hoa Kỳ: một công cụ tình báo được gọi là màu xanh vĩnh cửu được kết hợp với phần mềm ransomware WannaCry.

Các công ty trên khắp thế giới vào thứ Ba, ngày 27 tháng 6, đã hứng chịu một cuộc tấn công mạng quy mô lớn do phần mềm độc hại phát tán qua email. Virus mã hóa dữ liệu người dùng trên ổ cứng và tống tiền bằng bitcoin. Nhiều người ngay lập tức quyết định rằng đây là virus Petya, được mô tả vào mùa xuân năm 2016, nhưng các nhà sản xuất phần mềm chống vi-rút tin rằng cuộc tấn công xảy ra do một số phần mềm độc hại mới khác.

Một cuộc tấn công mạnh mẽ của hacker vào chiều 27/6 đã tấn công đầu tiên vào Ukraine, sau đó là một số công ty lớn của Nga và nước ngoài. Loại vi-rút mà nhiều người nhầm với Petya của năm ngoái, lây lan trên các máy tính chạy hệ điều hành Windows thông qua một email spam có liên kết mà khi nhấp vào sẽ mở ra một cửa sổ yêu cầu quyền quản trị viên. Nếu người dùng cho phép chương trình truy cập vào máy tính của mình, vi-rút sẽ bắt đầu đòi tiền từ người dùng - 300 đô la bitcoin và số tiền này sẽ tăng gấp đôi sau một thời gian.

Virus Petya, được phát hiện vào đầu năm 2016, lây lan theo mô hình giống hệt nhau nên nhiều người dùng đã quyết định rằng chính là nó. Nhưng các chuyên gia từ các công ty phát triển phần mềm chống vi-rút đã tuyên bố rằng một số loại vi-rút hoàn toàn mới khác mà họ vẫn sẽ nghiên cứu là nguyên nhân gây ra cuộc tấn công. Các chuyên gia từ Kaspersky Lab đã được cho tên virus không xác định - NotPetya.

Theo dữ liệu sơ bộ của chúng tôi, đây không phải là virus Petya, như đã đề cập trước đó, mà là một phần mềm độc hại mới mà chúng tôi chưa biết. Đó là lý do tại sao chúng tôi gọi nó là NotPetya.

Sẽ có hai trường văn bản có tiêu đề Dữ liệu xác minh Base64 được mã hóa 512 byte và Base64 được mã hóa 8 byte nonce. Để nhận key, bạn cần nhập dữ liệu được chương trình trích xuất vào hai trường này.

Chương trình sẽ cấp mật khẩu. Bạn sẽ cần phải nhập nó bằng cách đưa đĩa vào và nhìn thấy cửa sổ virus.

Nạn nhân của một cuộc tấn công mạng

Các công ty Ukraine chịu thiệt hại nặng nề nhất từ ​​loại virus chưa được biết đến. Các máy tính của sân bay Boryspil, chính phủ Ukraine, các cửa hàng, ngân hàng, các công ty truyền thông và viễn thông đều bị nhiễm virus. Sau đó, virus đã đến Nga. Nạn nhân của vụ tấn công là Rosneft, Bashneft, Mondelez International, Mars, Nivea.

Ngay cả một số tổ chức nước ngoài cũng báo cáo sự cố với hệ thống CNTT do vi-rút: công ty quảng cáo WPP của Anh, công ty dược phẩm Merck & Co của Mỹ, hãng vận tải hàng hóa lớn của Đan Mạch Maersk và các công ty khác. Costin Raiu, người đứng đầu nhóm nghiên cứu quốc tế tại Kaspersky Lab, đã viết về điều này trên Twitter của mình.