30/06/2017
Petya - ransomware mới nguy hiểm hơn cả wanna cry ?
Dường như năm 2016 phải được tuyên bố là một năm ransomware, vì các gia đình mới và các phiên bản mới đang xuất hiện mọi lúc và sau đó như nấm sau cơn mưa.
Ransomware đang phát triển - nhanh. Các phiên bản mới của ransomware sử dụng mã hóa bất đối xứng mạnh với khóa dài để không thể giải mã được các tập tin mà không có chìa khoá. Những kẻ xấu đã bắt đầu sử dụng TOR và thanh toán bằng bitcoins vì lợi ích của việc ẩn danh hoàn toàn. Và bây giờ có Petya ransomware theo một nghĩa nào đó mã hóa toàn bộ ổ đĩa cứng cùng một lúc thay vì mã hóa từng tệp một.
Petya ransomware ăn ổ đĩa cứng của bạn
Làm thế nào Petya được bàn tay của mình trên máy tính của bạn
Petya là một phần của ransomware nhắm mục tiêu chủ yếu là người dùng doanh nghiệp vì nó được phân phối trong các email spam giả vờ chứa các ứng dụng việc làm. Tình huống lây nhiễm chuẩn sẽ như sau:
Một nhân viên nhân sự nhận được một email từ một số người tìm kiếm một vị trí trong công ty. Email có chứa một liên kết Dropbox đến một tập tin mà giả vờ là lý lịch của họ nhưng trong thực tế nó là một tập tin EXE.
Họ click vào file, nhưng không bao giờ có được một CV mà họ có nghĩa vụ phải tìm thấy ở đó. Thay vào đó họ nhận được một màn hình xanh chết chóc . Điều đó có nghĩa là Petya đã bước vào máy tính của người dùng và bắt đầu công việc dơ bẩn của nó.
Ổ cứng của bạn thuộc về chúng tôi
Ransomware thông thường thường mã hóa các tệp tin của một số loại - hình ảnh, tài liệu Office và như vậy - và để hệ điều hành không bị tổn hại để nạn nhân có thể sử dụng máy tính để trả tiền chuộc. Nhưng Petya lại tàn bạo hơn nhiều vì nó nhằm chặn truy cập vào toàn bộ ổ đĩa cứng.
Tóm lại, dù ổ cứng của bạn có được tổ chức, cho dù chỉ có một phân vùng hay hơn, luôn có một số không gian đĩa mà bạn không nhìn thấy được gọi là Master Boot Record (MBR) . Nó chứa tất cả các dữ liệu về số lượng và tổ chức phân vùng, và nó cũng chứa một mã đặc biệt được sử dụng để bắt đầu khởi động hệ điều hành - nó được gọi là bộ tải khởi động.
Trình nạp khởi động này luôn chạy TRƯỚC KHI hệ điều hành. Và đây là chính xác những gì Petya lây nhiễm: nó sửa đổi bộ tải khởi động để nó tải mã độc hại của Petya thay vì bất kỳ hệ điều hành nào được cài đặt trên máy PC.
Đối với người dùng, có vẻ như Check Disk đang chạy, khá ổn sau khi hệ điều hành bị tắt nguồn đột ngột. Nhưng những gì Petya thực sự làm vào thời điểm này là nó mã hóa Master File Table . Đó là một phần ẩn trong cuộc sống cá nhân của ổ cứng. Bảng này chứa tất cả thông tin về cách các tệp và cặp được phân bổ.
Hãy suy nghĩ về ổ cứng của bạn như là một thư viện rộng lớn chứa hàng triệu hoặc thậm chí hàng tỷ bài. Và Master File Table là một chỉ mục thư viện. Vâng, lời giải thích đó được đơn giản hoá rất nhiều, chúng ta hãy làm cho nó trở nên thực tế hơn: trên 'sách' của ổ đĩa cứng của bạn hiếm khi được lưu trữ dưới dạng các mục tách rời, mà là các trang đơn hoặc thậm chí là các mẩu giấy. Trong heaps. Không, không theo thứ tự nào cụ thể, nó khá ngẫu nhiên.
Có lẽ bây giờ bạn có một ý tưởng chung là sẽ rất khó khăn khi tìm một 'quyển sách' duy nhất nếu ai đó đã đánh cắp chỉ mục thư viện này - đó chính là thứ mà Petya ransomware làm.
Một khi nó đã xong, Petya cho thấy khuôn mặt thật của nó trông giống như một hộp sọ được xây dựng với các ký hiệu ASCII. Sau đó, thông thường bắt đầu bắt đầu: phần mềm độc hại yêu cầu người dùng phải trả tiền chuộc (0.9 bitcoins khoảng $ 380) nếu bạn muốn giải mã ổ cứng và lấy lại các tệp của bạn.
Sự khác biệt duy nhất so với các ransomware khác là Petya là hoàn toàn ngoại tuyến, không có gì ngạc nhiên vì nó đã "ăn" hệ điều hành. Vì vậy, người dùng phải tìm một máy tính khác để trả tiền chuộc và lấy dữ liệu của họ trở lại.
Chiến đấu với Petya
Thật không may, giống như các loại ransomware gần đây, các nhà nghiên cứu vẫn chưa tìm ra cách giải mã thông tin được mã hóa bởi Petya. Tuy nhiên, vẫn còn một vài điều bạn có thể làm để bảo vệ bản thân và dữ liệu của mình và một số tin tốt về phân phối của Petya.
Tin vui là Dropbox đã xóa các tệp lưu trữ độc hại khỏi Petya khỏi lưu trữ đám mây của nó. Vì vậy, bây giờ những kẻ xấu phải tìm một số cách phân phối khác. Tin xấu là họ sẽ không mất nhiều thời gian để làm điều đó.
Vì vậy, hãy trở lại để bảo vệ. Bạn có thể làm gì?
1. Khi người dùng nhìn thấy màn hình xanh chết chóc, tất cả dữ liệu của họ vẫn không bị hỏng, vì Petya chưa bắt đầu mã hóa bảng Master File Table. Vì vậy, nếu bạn thấy rằng máy tính của bạn cho bạn thấy một BSOD, khởi động lại và bắt đầu Check Disk - ngay lập tức tắt nó. Tại thời điểm này bạn vẫn có thể tháo ổ cứng của bạn, kết nối nó với một máy tính khác (nhưng không sử dụng nó như là một thiết bị khởi động!) Và phục hồi các tập tin của bạn.
2. Petya mã hóa chỉ MFT để các tập tin của họ không bị ảnh hưởng. Các tập tin vẫn có thể được phục hồi bởi các chuyên gia trong phục hồi ổ đĩa cứng. Thủ tục này sẽ phức tạp và mất thời gian và bạn sẽ tốn khá nhiều tiền, nhưng về cơ bản nó có thể thực hiện được. Tuy nhiên, không cố gắng làm điều đó ở nhà - một lỗi có thể làm cho các tập tin của bạn biến mất mãi mãi.
3. Cách tốt nhất là bảo vệ bạn bằng cách sử dụng một giải pháp bảo mật tốt. Kaspersky Internet Security sẽ không nhận được email spam, vì vậy có thể bạn sẽ không nhìn thấy email chứa liên kết tới Petya. Thậm chí nếu Petya nào đó lẻn vào, nó sẽ được phát hiện là Trojan-Ransom.Win32.Petr và Kaspersky Internet Security sẽ chặn mọi hoạt động của nó. Và như vậy sẽ là tất cả các giải pháp chống virus khác của chúng tôi.
====
Nguồn: Kaspersky's blog with GG trans
