Khuyến nghị khẩn phòng chống mã độc tống tiền mới nguy hiểm hơn WannaCry

Petya không phải là biến thể vì chưa từng thấy trước đây. Chính vì thế mà hãng này đặt tên nó là NotPetya. Tính đến thời điểm này đã có khoảng khoảng 2.000 cuộc tấn công của Petya. Các tổ chức bị ảnh hưởng nhiều nhất là ở Nga và Ukraine, ngoài ra còn ghi nhận được ở Ba Lan, Ý, Anh, Đức, Pháp, Mỹ và nhiều quốc gia khác.

Theo Kaspersky nhận định, đây là một đợt tấn công vô cùng phức tạp bao gồm nhiều hình thức tấn công. Một lỗ hổng EternalBlue được xác nhận rằng đã được chỉnh sửa và được sử dụng cho sự lây lan này trong mạng lưới doanh nghiệp, và mối đe dọa này là: DangeroundObject.Multi.Generic.

Các chuyên gia Kaspersky Lab cho biết, muốn phát hành các chữ ký mới, bao gồm cả thành phần System Watcher càng sớm càng tốt và xác định liệu có thể giải mã được dữ liệu đã bị khóa trong cuộc tấn công của mã độc tống tiền mới này hay không. Và cũng theo hãng bảo mật này khuyến nghị, các doanh nghiệp cập nhật ngay phần mềm Windows, kiểm tra các giải pháp bảo mật và chắc chắn là đã sao lưu dữ liệu cũng như phát hiện được ransomware kịp thời; đảm bảo các phương pháp bảo mật đã được kích hoạt và bật thành phần KSn/System Watcher; sử dụng tính năng AppLocker để vô hiệu hóa các hoạt động của bất kì tập tin nào có tên “perfc.dat" cũng như tiện ích PSExec từ bộ Sysinternals Suite.

Trong khi đó theo đánh giá của Cty An ninh mạng Bkav, mã độc Petya, với biến thể có tên Petrwrap đã gây tê liệt nhiều ngân hàng, sân bay, máy ATM và một số doanh nghiệp lớn tại châu Âu. Nó đang lan rộng nhanh chóng thông qua lỗ hổng Windows SMBv1 tương tự như cách ransomware WannaCry lây nhiễm 300.000 hệ thống và máy chủ trên toàn thế giới chỉ trong 72 giờ vào tháng trước. Nhưng khác là, Petya không mã hóa các tập tin trên một hệ thống mục tiêu từng cái một, mà khởi động lại máy tính nạn nhân và mã hóa bảng master file của ổ cứng (MFT) và làm cho Master Boot Record (MBR) ngừng hoạt động, hạn chế việc truy cập vào toàn bộ hệ thống bằng cách lấy thông tin về tên file, kích cỡ và vị trí trên đĩa vật lý, khiến máy tính không thể khởi động.

Khuyến nghị trên website của Cục An toàn thông tin.

Tại Việt Nam, Cục An toàn thông tin thuộc Bộ TTTT đã chính thức có công văn cảnh báo và hướng dẫn các cơ quan, tổ chức, doanh nghiệp các biện pháp để giảm thiểu nguy cơ từ mã độc Petya. Theo công văn này, Cục đề nghị các cơ quan, tổ chức tăng cường các biện pháp bảo đảm an toàn thông tin. Cụ thể, các cơ quan, đơn vị, doanh nghiệp cần phải kiểm tra và bảo đảm các máy tính trong hệ thống mạng đã vá các bản vá bảo mật, đặc biệt là MS17-010, CVE 2017-0199; chặn toàn bộ kết nối liên quan đến dịch vụ SMB (445/137/138/139) từ ngoài Internet; vô hiệu hóa WMIC (Windows Management Instrumentation Command-line).

Các cơ quan, tổ chức, doanh nghiệp không truy cập vào các liên kết lạ, cảnh giác cao khi mở các tập tin đính kèm trong thư điện tử; thực hiện sao lưu các dữ liệu quan trọng thường xuyên vào các thiết bị lưu trữ riêng biệt; cập nhật phần mềm diệt virus; tắt dịch vụ SMB trên tất cả cả các máy trong mạng LAN (nếu không cần thiết); và tạo tệp tin “C:\Windows\perfc” để ngăn ngừa nhiễm ransomware. Trường hợp cần thiết, các cơ quan, tổ chức, doanh nghiệp có thể liên hệ với Cục An toàn thông tin – Bộ TTTT (số điện thoại: 04.3943.6684, hộp thư điện tử ais@mic.gov.vn) để được phối hợp, hỗ trợ.

Thế Lâm