Mã độc tống tiền Petrwrap (Petya ransomware), có gì hot?

pluto

New Member
19/06/2017
4
1 bài viết
Mã độc tống tiền Petrwrap (Petya ransomware), có gì hot?
Dân tình lại đang nháo nhào lên vì con Petrwrap, một biến thể của Petya ransomware này.

Các bạn ở Nga ngố, Ukraina, Thụy Sĩ, Đan Mạch, Anh ... liên tục báo về là hệ thống bị lây nhiễm, công nhân ngồi chơi hút thuốc uống trà đá cả ngày.

petya-ransomware-e1498583301881.jpg


Vậy con này có gì hot, sơ bộ là:

Phương thức mã hóa

Petya là ransomware nên dĩ nhiên nó sẽ mã hóa dữ liệu và đòi tiền chuộc rồi (300 đô la trump), nhưng lần này nó mã hóa kiểu khác. Petya ransomware không mã hóa các file dữ liệu sang dạng khác mà xử lý luôn cả ổ đĩa vật lý, mã hóa bảng quản lý tập tin MFT (Master File Table). MFT (Master File Table) là thành phần quan trọng nhất trong hệ thống NTFS. MFT chứa thông tin về tất cả các tập tin và thư mục trong ổ đĩa logic. MFT được xem là điểm bắt đầu để đi đến các tập tin trên một ổ đĩa logic, có thể xem nó như là “mục lục” của ổ đĩa logic. Kiểu đang đi vào rừng mà mất bản đồ, chỉ có khóc. Ngoài ra nó còn ghi đè MBR (master boot record) nữa, bị đè cái này thì windows không boot lên được nữa, nằm dài chờ chết thôi.

Hình thức lây lan

Petrwrap ransomware nguy hiểm ở chỗ, một máy trong mạng bị nhiễm thì các máy còn lại có nguy cơ chết rất cao. Tạm thời các chuyên gia nhận định là Petrwrap ransomware phát tán qua 3 con đường:

  • Windows SMBv1 vulnerability tương tự như con muốn khóc wannacry
  • Windows Management Instrumentation Command-line (WMIC): Giao diện dòng lệnh đơn giản để làm việc với WMI. Sử dụng WMIC, bạn có thể quản lý nhiều máy tính đang chạy các phiên bản khác nhau của Microsoft Windows.
  • PSEXEC: Với psexec bạn hoàn toàn có thể remote vào máy người dùng trong khi họ vẫn đang sử dụng máy tính bình thường và không hề hay biết. Psexec là 1 công cụ nhanh và mạnh sử dụng để chạy cửa sổ command-prompts trên máy remote và sử dụng các lệnh Dos để thu thập thông tin như IPconfig hoặc wmic ….
Xử lý

petya-ransomware-attack.png


Máy đã bị nhiễm:
trả tiền ư, đừng có ngốc thế, cài lại máy và backup lại các dữ liệu đi.

Phòng chống:

  • Vá lỗ hổng liên quan EternalBlue (MS17-010)
  • Disable WMIC

P/S: con này cũng có một cái công tắc nhé, đó là: "C:\Windows\perfc"
 
Chỉnh sửa lần cuối:
nguy hiểm quá
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Và đây là video Petya Ransomware Live Attack demo cho bạn nào muốn xem tận mắt ...
( Thích nhất cái nhạc )
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
petrwrap petrwrap ransomware petya petya ransomware
Bên trên