Cách khắc phục, phòng ngừa mã độc “tống tiền” Petya đang hoành hành

Sau WannaCry, hàng loạt mã độc “tống tiền” liên tục xuất hiện đòi tiền chuộc với quy mô lớn xảy ra trên toàn cầu. Mới đây, các cơ quan an ninh mạng vừa phát hiện thêm một mã độc “tống tiền” mang tên Petya xuất hiện dưới phiên bản mới là “Petrwrap”, có tác hại tương tự như mã độc WannaCry khiến cho hệ thống máy tính của hàng loạt công ty đa quốc gia bị điêu đứng.

“Petrwrap,” virus mới của những vụ tấn công trên được các chuyên gia nhận định là bản cải tiến của Petya, mã độc là thủ phạm tấn công hệ thống máy tính toàn cầu năm 2016.

Cũng như WannaCry từng “làm mưa làm gió” suốt một thời gian dài hồi tháng trước khiến cho nhiều người phải điêu đứng. Đây là một loại mã độc “tống tiền” chúng dễ dàng lây lan như một dịch bệnh qua các liên kết độc hại và ghi đè có chủ đích lên tập tin quản lý khởi động hệ thống của thiết bị (MBR) để khóa người dùng khởi động.

Nếu bị dính mã độc, người dùng sẽ được hướng dẫn để thực hiện việc trả tiền chuộc cho tin tặc bằng tiền ảo Bitcoin.

Ghi nhận ban đầu thì những nước đầu tiên bị dính mã độc này bao gồm các nước Ukraine, Nga, Anh và Ấn Độ.

Theo thông tin của cơ quan công nghệ Thụy Sỹ thì mã độc Petya cũng tấn công vào lỗ hổng dịch vụ SMB trên các máy tính sử dụng hệ điều hành Windows. Hiện chưa có công ty nào của Thụy Sĩ bị ảnh hưởng bởi mã độc này, tuy nhiên, hệ thống máy tính của Chính phủ Ukraine, cùng một số ngân hàng của Ukraine và Nga, hệ thống siêu thị khổng lồ Auchan và sân bay Boryspol lớn nhất của Ukraine; hãng mỹ phẩm Nivea và hãng sản xuất kẹo Socola Alpen Gold tại Nga đã bị dính mã độc trong một đợt tấn công mạng mới.

Vâng, khá ngạc nhiên là ngay cả sau khi biết về vấn đề WannaCry trong một khoảng thời gian dài, các tập đoàn và công ty lớn vẫn chưa thực hiện các biện pháp an ninh thích hợp để bảo vệ chống lại mối đe dọa như vậy.

Làm thế nào để bảo vệ bản thân khỏi các cuộc tấn công Ransomware

Phải làm gì ngay bây giờ? Bạn hãy chắc chắn đã cài bản vá chống lại EternalBlue (MS17-010) và vô hiệu hóa giao thức chia sẻ tệp SMBv1 không an toàn, 30 năm tuổi trên các hệ thống và máy chủ Windows.

Cách làm: Gõ Turn Windows features vào Start Menu và kích chuột vào ô Turn Windows features on or off. Cuộn xuống SMB 1.0/CIFS File Sharing Support và bỏ chọn ô đó.

Vì Petya Ransomware cũng lợi dụng các công cụ WMIC và PSEXEC để lây nhiễm vào các máy tính Windows đã được vá đầy đủ, bạn cũng nên tắt WMIC (Windows Management Instrumentation Command-line).

Ngăn chặn lây nhiễm và Kill-Switch Petya

Các nhà nghiên cứu đã phát hiện ra Petya mã hóa hệ thống sau khi khởi động lại máy tính. Vì vậy, nếu máy tính/hệ thống bị nhiễm Petya và cố gắng khởi động lại thì bạn đừng bật nó lên, ngắt điện đi.

“Nếu máy khởi động lại và bạn thấy thông báo này, hãy tắt ngay lập tức! Đây là quá trình mã hóa, nếu bạn không bật nguồn, các tệp tin sẽ ổn”. HackerFantastic viết. “Sử dụng một đĩa LiveCD hoặc máy bên ngoài để phục hồi các tập tin”.

PT Security, một công ty an ninh mạng có trụ sở tại Anh và Amit Serper của Cybereason, đã phát hiện ra một công cụ Kill-Switch cho công cụ ransomware Petya. Theo một tweet, công ty đã khuyên người dùng tạo một tệp tin “C:Windowsperfc” và thiết lập nó là file read-only để ngăn ngừa nhiễm ransomware.

Bạn có thể tải sẵn file tại đây: https://download.bleepingcomputer.com/bats/nopetyavac.bat

Nếu muốn làm thủ công thì có thể thực hiện theo cách đơn giản sau. Với những người dùng am hiểu nhiều hơn về máy tính có thể tìm ra những cách tốt hơn để bảo vệ mình thay vì chỉ có cách như dưới đây:

Đầu tiên, hiển thị phần mở rộng của file. Trên Windows 7 vào Folder Options > View >bỏ tích tại Hide extensions for known file types, từ Windows 8 trở lên, mở thư mục bất kỳ > View > tích vào File name extensions.

Mở C:Windows, kéo xuống cho đến khi tìm thấy notepad.exe, sao chép file này và dán thẳng vào thư mục đang mở (ctrl + c, ctrl + v), nhấp vào Continue trong cửa sổ hiện ra, bạn sẽ thấy xuất hiện file notepad – Copy.exe, chọn file, nhấn F2 (để đổi tên, có thế chuột trái > Rename) và đổi tên thành perfc > Enter > Yes để xác nhận đổi tên.

Để chuyển file perfc này sang read-only, chuột phải lên file > Properties > tích vào Read-only > Apply > OK.

Cửa sổ Properties sẽ đóng lại, và lúc này máy tính của bạn có thể miễn nhiễm với Petya rồi.

Để bảo vệ mình trước bất kỳ sự lây nhiễm ransomware nào, bạn nên luôn cẩn thận trước các tệp và tài liệu không mong muốn được gửi qua email và không nên nhấp vào các liên kết bên trong trừ khi xác minh được nguồn đó là an toàn.

Để đảm bảo an toàn cho những dữ liệu quý giá của bạn, hãy thực hiện sao lưu hệ thống và lưu chúng trên thiết bị lưu trữ bên ngoài không thường xuyên kết nối với máy tính.

Cuối cùng, hãy đảm bảo rằng bạn đang cài một bộ phần mềm chống virus hiệu quả và đáng tin cậy trên hệ thống của bạn và cập nhật nó thường xuyên. Quan trọng nhất là luôn duyệt Internet một cách an toàn.

Trả lời

Thư điện tử của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *