Petya là con ransomware đang lây lan rất nhanh trên phạm vi toàn cầu và những người bị lây nhiễm gần như không có cách nào để lấy lại dữ liệu của mình. Nó cực kì nguy hiểm vì tới nay vẫn chưa có ai tìm được cách khôi phục lại data cũng như không liên hệ được với hacker ngay cả khi bạn chấp nhận trả tiền chuộc vì địa chỉ email của hắn ta đã bị cắt nhiều tháng trước. Nhưng thật sự đây có phải là một con ransomware hay chỉ đơn thuần là một virus được tạo ra nhằm phá hoại một số nạn nhân cụ thể và sử dụng công cụ đòi tiền chuộc như một cách đánh lừa dư luận?
Petya tấn công như thế nào?
Dấu hiệu đầu tiên của Petya xuất hiện vào ngày 27/6 ở Ukraine. Ngân hàng Trung Ương Ukraine và Sân bay Quốc tế Kiev đã bị tấn công bởi con ransomware này, ngoài ra còn có tin rằng hệ thống giám sát phóng xạ của nhà máy Chernoby cũng bị ảnh hưởng. Một số nhà phân tích nghĩ rằng Petya đã có mặt tại Ukraine được vài tháng nhưng tới nay mới bùng phát thành đại dịch. Từ đây, nó bắt đầu lan rộng ra và mới đây Microsoft đã xác nhận có thêm 64 quốc gia khác đã bị ảnh hưởng. Cũng cần nói thêm rằng Petya chỉ tấn công các máy tính Windows.
Triệu chứng mà bạn thấy khi máy tính của bạn bị Petya tấn công đó là màn hình đen chữ đỏ ghi thông tin chuyển khoản và yêu cầu nộp 300$ tiền bitcoin để nhận lại key giải mã các file đã bị mã hóa. Đây chính xác là những gì mà một con ransomware sẽ làm: lây nhiễm, mã hóa file của người dùng rồi thông báo đòi tiền chuộc nhầm trục lợi cho hacker đã tạo ra nó.
Theo các chuyên gia, Petya mã hóa 1MB đầu tiên của mọi file thuộc các extension như bên dưới, trong đó tất nhiên bao gồm nhiều file tài liệu mà với các công ty, cơ quan nhà nước sẽ rất quan trọng và liên quan đến chuyện sống còn của tổ chức. Dù chỉ mã hóa 1MB nhưng nó đã làm sai lệch cấu trúc file khiến các phần mềm không thể đọc được trọn vẹn nội dung gốc, đồng nghĩa với việc file đã trở nên vô dụng. Petya thực hiện quy trình mã hóa này trước khi máy tính reboot nên một số lời đồn rằng nếu không reboot thì dữ liệu sẽ không mất là sai.
Symantec nói Petya còn ghê gớm hơn WannaCry vì nó sửa thông tin trong Master Boot Record. Nếu bạn chưa biết thì MBR chứa thông tin về các phân vùng logic và hệ thống file system cũng như các đoạn mã cần thiết để máy tính chạy lên. Nhưng theo công ty MalwareTech, đơn vị đã tìm ra kill switch của WannaCry, thì việc này không gây ảnh hưởng gì cả vì 24 sector trong ổ đĩa mà Petya đã "phá hủy" không chứa bất kì dữ liệu nào do các hệ thống Windows chỉ bắt đầu có dữ liệu từ sector thứ 64 trở đi mà thôi (tức là 63 sector trước đó hoàn toàn trống).
Petya lây nhiễm bằng cùng một lỗ hổng EternalBlue mà WannaCry sử dụng. Điều này có nghĩa là nếu máy tính của bạn được update đầy đủ thì sẽ không bị ảnh hưởng gì cả, còn những máy quá cũ hay không được cập nhật sẽ có nguy cơ bị lây nhiễm rất cao nên trước mắt anh em hãy đi update Windows của mình với tất cả các bản vá mới nhất đi (vào Windows Update để thực hiện nhé).
Danh sách các file sẽ bị Patya mã hóa
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip
Petya có thật sự là ransomware không?
Nhưng mọi chuyện không dừng ở đó, điểm đáng chú ý đó là địa chỉ email mà Petya ghi trên màn hình đã bị cắt nhiều tháng trước. Điều này đồng nghĩa với việc các nạn nhân sẽ không bao giờ liên lạc được với hacker ngay cả khi họ muốn chi tiền và muốn nhận key giải mã. Mà khi không liên lạc được, xác suất nạn nhân chuyển tiền là rất thấp. Thật vậy, tài khoản Bitcoin mà Petya sử dụng chỉ mới nhận được 10.000$ mà thôi, một con số vô cùng khiêm tốn so với một con ransomware có quy mô ảnh hưởng toàn cầu.
Thông tin trên khiến các nhà nghiên cứu nghi ngờ rằng Petya thực chất là một con virus chuyên đi phá hoại và nó chỉ giả dạng như là một ransomware để tránh những điều tra về nguồn gốc và mục đích thật sự của vụ tấn công. Theo lời nhà nghiên cứu Nicholas Weaver đến từ Viện nghiên cứu khoa học máy tính thuộc Đại học Berkeley, Petya là "một vụ tấn công cố ý, mang tính hủy diệt hoặc có thể làm một phép thử nào đó giả dạng làm ransomware". Chính vì lý do trên nên người ta còn gọi Petya là "NotPetya".
Suy rộng hơn, Petya được viết ra để tấn công vào một số nạn nhân cụ thể. Nó được thả ra ở những công ty, tổ chức, chính phủ rất cụ thể và phá hoại dữ liệu của những nơi này, còn việc lây lan hay đòi tiền chuộc thực chất chỉ là một cách đánh lừa dư luận. Việc tận dụng cùng lỗ hổng với WannaCry cũng có thể là một trong những cách thức được hacker sử dụng để lái dư luận theo hướng ransomware thay vì tìm hiểu Petya như là một con virus.
Do mức độ lây lan của Petya rất khó kiểm soát nên hacker muốn đánh ai đó sẽ cần thả nó trúng mục tiêu, dựa vào đây có thể dự đoán rằng mục tiêu ban chính nằm ở ngay tại Ukraine, những quốc gia khác nằm trong tầm ảnh hưởng chỉ đơn giản là bị vạ lây. Bạn nghĩ thử xem, giả sử bạn thả một con virus tại Pháp rồi đợi nó lây qua đúng mục tiêu ở Ukraine thì xác suất thành công sẽ thấp hơn, thôi thì bạn mang qua Ukraine thả luôn cho rồi.
Không loại trừ khả năng đây chỉ mới là một bài test "nhỏ" của hacker để chuẩn bị cho những đột tấn công lớn hơn theo sau. Có khả năng hacker đang chuẩn bị đánh mass, tức là đánh một lúc nhiều mục tiêu quan trọng theo yêu cầu của ai đó hay của những chính phủ đen tối nào đó.
Làm sao để phòng ngừa?
Nói như vậy không có nghĩa là đã hết hi vọng. Nhà nghiên cứu Amit Serper đã tìm được một cách ngăn ngừa vụ tấn công của Petya chỉ bằng cách tạo ra một file đặt trong hệ thống. Cơ chế hoạt động của Petya đó là nó sẽ tìm một file tên "perfc" nằm trong thư mục C:\Windows. Nếu file này đã tồn tại, Petya sẽ không hoạt động. Một số nhà nghiên cứu khác cũng đã xác nhận cách của Amit Serper là đúng.
https://twitter.com/0xAmit/status/8...64258.ampproject.net/1498686280171/frame.html
98% sure that the name is is perfc.dll Create a file in c:\windows called perfc with no extension and #petya #Nopetyawon't run! SHARE!! https://t.co/0l14uwb0p9
— Amit Serper (@0xAmit) June 27, 2017
Vậy nên nếu bạn lo lắng mình sẽ bị tấn công, hãy vào C:\Windows tạo một file trống và đặt tên nó là perfc (không có bất kì đuôi mở rộng nào), nhớ set quyền Read Only cho file bằng cách click phải chuột, chọn Properties và chọn chỉ phép đọc file.
Những cách khác bạn có thể làm để cho máy tính của mình trở nên an toàn hơn có thể xem ở đây. Tóm tắt như sau:
Petya tấn công như thế nào?
Dấu hiệu đầu tiên của Petya xuất hiện vào ngày 27/6 ở Ukraine. Ngân hàng Trung Ương Ukraine và Sân bay Quốc tế Kiev đã bị tấn công bởi con ransomware này, ngoài ra còn có tin rằng hệ thống giám sát phóng xạ của nhà máy Chernoby cũng bị ảnh hưởng. Một số nhà phân tích nghĩ rằng Petya đã có mặt tại Ukraine được vài tháng nhưng tới nay mới bùng phát thành đại dịch. Từ đây, nó bắt đầu lan rộng ra và mới đây Microsoft đã xác nhận có thêm 64 quốc gia khác đã bị ảnh hưởng. Cũng cần nói thêm rằng Petya chỉ tấn công các máy tính Windows.
Triệu chứng mà bạn thấy khi máy tính của bạn bị Petya tấn công đó là màn hình đen chữ đỏ ghi thông tin chuyển khoản và yêu cầu nộp 300$ tiền bitcoin để nhận lại key giải mã các file đã bị mã hóa. Đây chính xác là những gì mà một con ransomware sẽ làm: lây nhiễm, mã hóa file của người dùng rồi thông báo đòi tiền chuộc nhầm trục lợi cho hacker đã tạo ra nó.
Theo các chuyên gia, Petya mã hóa 1MB đầu tiên của mọi file thuộc các extension như bên dưới, trong đó tất nhiên bao gồm nhiều file tài liệu mà với các công ty, cơ quan nhà nước sẽ rất quan trọng và liên quan đến chuyện sống còn của tổ chức. Dù chỉ mã hóa 1MB nhưng nó đã làm sai lệch cấu trúc file khiến các phần mềm không thể đọc được trọn vẹn nội dung gốc, đồng nghĩa với việc file đã trở nên vô dụng. Petya thực hiện quy trình mã hóa này trước khi máy tính reboot nên một số lời đồn rằng nếu không reboot thì dữ liệu sẽ không mất là sai.
Symantec nói Petya còn ghê gớm hơn WannaCry vì nó sửa thông tin trong Master Boot Record. Nếu bạn chưa biết thì MBR chứa thông tin về các phân vùng logic và hệ thống file system cũng như các đoạn mã cần thiết để máy tính chạy lên. Nhưng theo công ty MalwareTech, đơn vị đã tìm ra kill switch của WannaCry, thì việc này không gây ảnh hưởng gì cả vì 24 sector trong ổ đĩa mà Petya đã "phá hủy" không chứa bất kì dữ liệu nào do các hệ thống Windows chỉ bắt đầu có dữ liệu từ sector thứ 64 trở đi mà thôi (tức là 63 sector trước đó hoàn toàn trống).
Petya lây nhiễm bằng cùng một lỗ hổng EternalBlue mà WannaCry sử dụng. Điều này có nghĩa là nếu máy tính của bạn được update đầy đủ thì sẽ không bị ảnh hưởng gì cả, còn những máy quá cũ hay không được cập nhật sẽ có nguy cơ bị lây nhiễm rất cao nên trước mắt anh em hãy đi update Windows của mình với tất cả các bản vá mới nhất đi (vào Windows Update để thực hiện nhé).
Danh sách các file sẽ bị Patya mã hóa
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip
Petya có thật sự là ransomware không?
Nhưng mọi chuyện không dừng ở đó, điểm đáng chú ý đó là địa chỉ email mà Petya ghi trên màn hình đã bị cắt nhiều tháng trước. Điều này đồng nghĩa với việc các nạn nhân sẽ không bao giờ liên lạc được với hacker ngay cả khi họ muốn chi tiền và muốn nhận key giải mã. Mà khi không liên lạc được, xác suất nạn nhân chuyển tiền là rất thấp. Thật vậy, tài khoản Bitcoin mà Petya sử dụng chỉ mới nhận được 10.000$ mà thôi, một con số vô cùng khiêm tốn so với một con ransomware có quy mô ảnh hưởng toàn cầu.
Thông tin trên khiến các nhà nghiên cứu nghi ngờ rằng Petya thực chất là một con virus chuyên đi phá hoại và nó chỉ giả dạng như là một ransomware để tránh những điều tra về nguồn gốc và mục đích thật sự của vụ tấn công. Theo lời nhà nghiên cứu Nicholas Weaver đến từ Viện nghiên cứu khoa học máy tính thuộc Đại học Berkeley, Petya là "một vụ tấn công cố ý, mang tính hủy diệt hoặc có thể làm một phép thử nào đó giả dạng làm ransomware". Chính vì lý do trên nên người ta còn gọi Petya là "NotPetya".
Suy rộng hơn, Petya được viết ra để tấn công vào một số nạn nhân cụ thể. Nó được thả ra ở những công ty, tổ chức, chính phủ rất cụ thể và phá hoại dữ liệu của những nơi này, còn việc lây lan hay đòi tiền chuộc thực chất chỉ là một cách đánh lừa dư luận. Việc tận dụng cùng lỗ hổng với WannaCry cũng có thể là một trong những cách thức được hacker sử dụng để lái dư luận theo hướng ransomware thay vì tìm hiểu Petya như là một con virus.
Do mức độ lây lan của Petya rất khó kiểm soát nên hacker muốn đánh ai đó sẽ cần thả nó trúng mục tiêu, dựa vào đây có thể dự đoán rằng mục tiêu ban chính nằm ở ngay tại Ukraine, những quốc gia khác nằm trong tầm ảnh hưởng chỉ đơn giản là bị vạ lây. Bạn nghĩ thử xem, giả sử bạn thả một con virus tại Pháp rồi đợi nó lây qua đúng mục tiêu ở Ukraine thì xác suất thành công sẽ thấp hơn, thôi thì bạn mang qua Ukraine thả luôn cho rồi.
Không loại trừ khả năng đây chỉ mới là một bài test "nhỏ" của hacker để chuẩn bị cho những đột tấn công lớn hơn theo sau. Có khả năng hacker đang chuẩn bị đánh mass, tức là đánh một lúc nhiều mục tiêu quan trọng theo yêu cầu của ai đó hay của những chính phủ đen tối nào đó.
Làm sao để phòng ngừa?
Nói như vậy không có nghĩa là đã hết hi vọng. Nhà nghiên cứu Amit Serper đã tìm được một cách ngăn ngừa vụ tấn công của Petya chỉ bằng cách tạo ra một file đặt trong hệ thống. Cơ chế hoạt động của Petya đó là nó sẽ tìm một file tên "perfc" nằm trong thư mục C:\Windows. Nếu file này đã tồn tại, Petya sẽ không hoạt động. Một số nhà nghiên cứu khác cũng đã xác nhận cách của Amit Serper là đúng.
https://twitter.com/0xAmit/status/8...64258.ampproject.net/1498686280171/frame.html
98% sure that the name is is perfc.dll Create a file in c:\windows called perfc with no extension and #petya #Nopetyawon't run! SHARE!! https://t.co/0l14uwb0p9
— Amit Serper (@0xAmit) June 27, 2017
Vậy nên nếu bạn lo lắng mình sẽ bị tấn công, hãy vào C:\Windows tạo một file trống và đặt tên nó là perfc (không có bất kì đuôi mở rộng nào), nhớ set quyền Read Only cho file bằng cách click phải chuột, chọn Properties và chọn chỉ phép đọc file.
Những cách khác bạn có thể làm để cho máy tính của mình trở nên an toàn hơn có thể xem ở đây. Tóm tắt như sau:
- Cập nhật hệ điều hành lên bản mới nhất, chạy đầy đủ tất cả bản vá Windows Update. Nếu đang dùng macOS cũng nên cẩn trọng, rất cẩn trọng
- Tắt giao thức SMBv1 đi
- Anh em làm server cũng nhớ tắt SMBv1, set rule chặn port 455, 3389, 1389 trong firwall
- Không click váo các link lạ, các email lạ, link web khiêu dâm và các nội dung tương tự trừ khi anh em biết rõ ai là người gửi cho mình và họ đang gửi cái gì