Dấu hiệu và cách thức lây nhiễm:
Petya lây lan qua file đính kèm vào các hòm thư điện tử. Khi người sử dụng mở một file tài liệu office được tạo sẵn để khai thác lỗi bảo mật CVE-2017-0199 (ảnh hưởng tới Microsoft Office 2007 SP3, Microsoft Office 2010 SP2, Microsoft Office 2013 SP1, Microsoft Office 2016). Sau khi thực thi, máy tính bị nhiễm sẽ được khởi động lại, thay vào việc hệ điều hành được khởi động thì mã độc Petya được khởi động, yêu cầu người dùng cần trả 0.9 bitcoin (khoảng US $381) để đổi lấy khóa mã hóa khôi phục các tệp tin của hệ thống.
Cũng như WannaCry, Petya khả năng lây lan qua mạng nội bộ giữa các máy tính với nhau. Các máy tính có mở cổng 445 đều có nguy cơ bị lây nhiễm. Petya dùng 2 cách chính để lây nhiễm sang máy bên cạnh:
- Lỗi SMB chia sẻ tập tin của Windows EternalBlue (giống như đã bị WannaCry khai thác).
- Sử dụng công cụ của tin tặc để trích xuất mật khẩu của các máy tính bên cạnh từ bộ nhớ của máy đã bị nhiễm và cài đặt từ xa bằng công cụ psexec hợp pháp của Microsoft.
Các biện pháp phòng ngừa
1. Áp dụng các bản vá chống lại EternalBlue (MS17-010) theo như các hướng dẫn trước đây tại địa chỉ sau: http://antoanthongtin.thanhhoaict.gov.vn/n35c4-Huong_dan_ra_quet_va_va_lo_hong_bao_mat_lien_quan_ma_doc_WannaCry.htm
2. Cập nhật bản vá bảo mật đối với lỗ hổng CVE 2017-0199 theo địa chỉ sau:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
3. Trên các thiết bị bảo mật tại đơn vị (Firewall; IPS/IDS) tiến hành chặn các kết nối từ bên trong ra ngoài Internet tại các địa chỉ IP như sau:
185.165.29.78; 84.200.16.242; 111.90.139.247; 95.141.115.108
4. Chặn toàn bộ kết nối liên quan đến dịch vụ SMB (các cổng 445,137,138,139) từ ngoài Internet và trong mạng LAN thông qua phần mềm Antivirus/ Firewall trên các máy tính hoặc trên các thiết bị bảo mật (Firewall; IPS/IDS) tại hệ thống mạng của đơn vị.
5. Vô hiệu hóa giao thức SMBv1 theo hướng dẫn sau:
https://support.microsoft.com/vi-vn/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows
6. Tắt WMIC (Windows Management Instrumentation Command-line) theo hướng dẫn sau:
https://msdn.microsoft.com/en-us/library/aa826517(v=vs.85).aspx
7. Tạo tệp tin “C:\Windows\perfc” để ngăn ngừa nhiễm mã độc. Đây là tập tin mã độc kiểm tra trước khi thực hiện các hành vi độc hại trên máy tính.
Vào thư mục C:\Windows, tạo một file trống, không có đuôi mở rộng, đặt tên là “perfc” và thiết lập quyền chỉ được đọc file bằng cách nhấn chuột phải vào file, chọn Read Only.
Để bảo vệ hạn chế sự lây nhiễm ransomware nào, người dùng nên:
1. Luôn nghi ngờ các tệp tin và tài liệu không mong muốn được gửi qua email, đặc biệt là các email phát tán mã độc như sau:
wowsmithl23456@posteo.net
iva76y3pr@outlook.com
carnicllar4hcgp@outlook.com
amaiKki44i8.sq@outlook.com
2. Không nên nhấp vào các liên kết bên trong trừ khi đã được xác minh nguồn gốc.
3. Luôn sao lưu các dữ liệu quan trọng.
4. Sử dụng và cập nhật thường xuyên các bộ phần mềm chống mã độc.
5. Quan trọng nhất là luôn duyệt Internet một cách an toàn.
Theo ict.thanhhoa.gov.vv
