Bkav: Mã độc Petrwrap nguy hiểm hơn WannaCry
Mã độc Petrwrap là biến thể của Petya. Ảnh: Bkav |
Theo Bkav, khi các vụ tấn công bởi mã độc tống tiền WannaCry chưa kết thúc, một mã độc khác mới xuất hiện đang khiến cả thế giới “điên đảo”. Mã độc này là biến thể của Petya, có tên Petrwrap, gây tê liệt nhiều ngân hàng, sân bay, máy ATM và một số doanh nghiệp lớn tại châu Âu.
Mã độc đang lan rộng nhanh chóng thông qua lỗ hổng Windows SMBv1 tương tự như cách mã độc WannaCry lây nhiễm 300.000 hệ thống và máy chủ trên toàn thế giới chỉ trong 72 giờ vào tháng 5-2017. Nguy hiểm hơn, mã độc này còn tận dụng các công cụ WMIC và PSEXEC để lây lan sang các máy tính khác trong mạng.
Petya là một loại phần mềm gián điệp “vô cùng khó chịu” và không giống bất kỳ loại mã độc tống tiền nào. Thay vào đó, mã độc khởi động lại máy tính nạn nhân và mã hóa bảng master file của ổ cứng (MFT) và làm cho Master Boot Record (MBR - tạm dịch là bản ghi quản lý khởi động) ngừng hoạt động, hạn chế việc truy cập vào toàn bộ hệ thống bằng cách lấy thông tin về tên file, kích cỡ và vị trí trên đĩa vật lý. Mã độc gián điệp tống tiền Petya thay thế MBR của máy tính bằng mã độc của chính nó, hiển thị thông báo đòi tiền chuộc và khiến máy tính không thể khởi động.
Bkav cho hay, hiện tại, đã có 35 giao dịch trả tiền chuộc được thực hiện với tổng số tiền lên tới gần 9.000 đô la Mỹ trên thế giới. Tuy nhiên, do đa số người dùng đã biết được thông tin dù có trả tiền chuộc cũng không lấy lại được dữ liệu nên từ khoảng 9 giờ 30 sáng nay không có thêm giao dịch trả tiền phát sinh.
Để phòng ngừa nguy cơ mã độc tấn công, chuyên gia Bkav khuyến cáo người dùng máy tính nên sao lưu dữ liệu thường xuyên, cập nhật bản vá cho hệ điều hành, đồng thời chỉ mở các file văn bản nhận từ Internet trong môi trường cách ly an toàn. Người dùng cũng cần cài phần mềm diệt virus thường trực trên máy tính để được bảo vệ tự động.
Đối với quản trị hệ thống mạng của các tổ chức doanh nghiệp, cần rà soát kỹ hệ thống máy chủ bởi với WMIC và PSEXEC mã độc có thể dễ dàng lây nhiễm từ một máy chủ ra toàn bộ hệ thống có cùng tên miền.