Như ICTnews đã thông tin, sau đợt tấn công hồi tháng 5/2017 của mã độc tống tiền (Ransomeware) có tên WannaCry, 14h chiều ngày 27/6/2017 (theo giờ Việt Nam), loại mã độc tống tiền mới nguy hiểm có tên Petya (còn gọi là Petwrap) được phát hiện và lây lan trên phạm vi toàn cầu, đã làm tê liệt hàng loạt ngân hàng, sân bay, máy ATM và một số doanh nghiệp lớn tại châu Âu. Các máy tính bị lây nhiễm sẽ tự động bị tắt nguồn, khi khởi động lại sẽ có 1 thông báo đòi tiền chuộc với trị giá là 300 USD/máy tính.

Theo thông tin được cập nhật trưa nay trên diễn đàn an ninh mạng Việt Nam - WhiteHat.vn vào trưa nay, ngày 29/6/2017, đã có 45 giao dịch trả tiền chuộc được thực hiện thông qua bitcoin, tương đương với số tiền hơn 10.000 USD. Với Việt Nam, đến thời điểm hiện tại, các doanh nghiệp an toàn thông tin lớn như Bkav, CMC InfoSec đều chưa đưa ra con số thống kê cụ thể về mức độ ảnh hưởng của mã độc tống tiền Petya với các cơ quan, tổ chức, doanh nghiệp trong nước cũng như số lượng máy tính tại Việt Nam bị nhiễm loại Ransomware mới này.

Tuy nhiên, trong thông tin mới nhất được phát ra vào tối nay, ngày 29/6/2017, Công ty Bkav đã chia sẻ thêm về kết quả phân tích mã độc Petya. Cụ thể, theo phân tích của các chuyên gia Bkav, mã độc Petya không có module tự động quét các máy trên Internet để lây nhiễm. Để tấn công, mã độc Petya phải được đưa vào một máy trong hệ thống mạng theo cách thủ công - một dạng tấn công có chủ đích, từ đó tiếp tục bùng nổ lây nhiễm sang máy khác trong mạng. Vì vậy, số lượng máy tính bị mã độc Petya tấn công sẽ ít hơn rất nhiều nếu so số lượng máy tính trong đợt tấn công của mã độc WannaCry.

Ông Vũ Ngọc Sơn, Phó chủ tịch phụ trách mảng Chống mã độc (Anti Malware) của Bkav cho biết: “Trong mạng LAN, Petya sẽ bùng nổ hơn WannaCry nhờ kết hợp nhiều phương thức lây nhiễm, đặc biệt với các mạng có sử dụng domain. Nguy hiểm hơn, Petya không chỉ mã hóa dữ liệu mà còn mã hóa cả ổ cứng của nạn nhân. Tuy nhiên, Petya lại không có module dò quét các địa chỉ trên Internet, vì thế sẽ không thể lây rộng như WannaCry”.

Trước đó, vào trưa ngày 28/6/2017, chuyên gia Bkav đã đưa ra những thông tin ban đầu về cơ chế lây nhiễm của loại mã độc tống tiền mới - Petya. Theo đó, mã độc Petya lan rộng thông qua lỗ hổng Windows SMB tương tự như cách Ransomware WannaCry lây nhiễm hồi tháng trước. Song nguy hiểm hơn , mã độc Petya còn tận dụng các công cụ WMIC và PSEXEC để lây lan sang các máy tính khác trong mạng nội bộ dù các máy tính đã được cập nhật bản vá Windows SMB.

“Petya là một loại ransomware “vô cùng khó chịu” và không giống bất kỳ loại mã độc tống tiền nào trước đây. Petya không những thực hiện mã hoá tập tin dữ liệu trên máy nạn nhân, mà còn khởi động lại máy tính, mã hóa bảng master file của ổ cứng (MFT) và làm cho Master Boot Record (MBR) ngừng hoạt động, khiến người dùng không thể truy cập vào bất kỳ file nào trên ổ cứng. Ransomware Petya thay thế MBR của máy tính bằng mã độc của chính nó, hiển thị thông báo đòi tiền chuộc và khiến máy tính không thể khởi động”, chuyên gia Bkav nhận định.

Để phòng ngừa nguy cơ mã độc tấn công, chuyên gia Bkav khuyến cáo người dùng nên sao lưu dữ liệu thường xuyên, cập nhật bản vá cho hệ điều hành, đồng thời chỉ mở các file văn bản nhận từ Internet trong môi trường cách ly Safe Run. Đối với quản trị hệ thống, cần rà soát kỹ các server bởi với hai công cụ WMIC và PSEXEC mã độc có thể dễ dàng lây nhiễm từ một server quản trị domain ra tất cả máy tính trong hệ thống.

Ngay tối 28/6/2017, Cục An toàn thông tin - Bộ TT&TT đã có công văn cảnh báo và hướng dẫn các cơ quan, tổ chức, doanh nghiệp trên toàn quốc về các biện pháp để giảm thiểu nguy cơ từ mã độc tống tiền Petya. Cụ thể, Cục An toàn thông tin – Bộ TT&TT yêu cầu các cơ quan, đơn vị, doanh nghiệp phải kiểm tra và bảo đảm các máy tính trong hệ thống mạng đã vá các bản vá bảo mật, đặc biệt là MS17-010, CVE 2017-0199; chặn toàn bộ kết nối liên quan đến dịch vụ SMB (445/137/138/139) từ ngoài Internet; vô hiệu hóa WMIC (Windows Management Instrumentation Command-line).

Bên cạnh đó, các cơ quan, tổ chức, doanh nghiệp cũng được yêu cầu không truy cập vào các liên kết lạ, cảnh giác cao khi mở các tập tin đính kèm trong thư điện tử; thực hiện sao lưu các dữ liệu quan trọng thường xuyên vào các thiết bị lưu trữ riêng biệt; cập nhật phần mềm diệt virus; tắt dịch vụ SMB trên tất cả cả các máy trong mạng LAN (nếu không cần thiết); và tạo tệp tin “C:\Windows\perfc” để ngăn ngừa nhiễm ransomware.