-A

+A

Cảnh báo mã độc tống tiền Petya
(7/5/2017 4:08:09 PM)
Ảnh minh họa
Vừa qua, Cục An toàn thông tin thuộc Bộ Thông tin và Truyền thông có văn bản cảnh báo, hướng dẫn các đơn vị chuyên trách về công nghệ thông tin, các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, Sở Thông tin và Truyền thông các tỉnh, thành phố, các tổ chức, doanh nghiệp... thực hiện biện pháp để giảm thiểu nguy cơ từ biến thể mới của mã độc tống tiền Ransomware (mã độc Petya).

Theo Cục An toàn thông tin cho biết, biến thể mã độc mới có tên Petya (còn gọi là Petwrap) không chỉ khai thác và lây lan thông qua lỗ hổng MS17-010 mà còn có thể lây nhiễm vào máy tính đã vá lỗ hổng này thông qua công cụ WMIC (công cụ có sẵn trong Windows cho phép truy cập và thiết lập cấu hình trên các máy Windows); lỗ hổng trong Microsoft Office/WordPad cho phép tin tặc chiếm quyền điều khiển hệ thống. Mặc dù các lỗ hổng trên đã có bản vá, nhưng có nhiều máy tính vẫn chưa cập nhật và có thế là nạn nhân của đợt tấn công này.

Biến thể mã độc Petya có những hoạt động rất khác so với các biến thể mã độc tống tiền trước đây. Petya khi lây nhiễm vào máy tính sẽ không mã hóa từng tập tin, mà thực hiện mã hóa bảng lưu tập tin (Master File Table - MFT, nơi chứa thông tin về tất cả các tập tin và thư mục trong phân vùng) và thay thế Master Boot Record (bản ghi trên ổ cứng dùng để quản lý quá trình khởi động) bằng tập tin độc hại; sau đó sẽ chiếm quyền để hiển thị thông tin đòi tiền chuộc. Vì thế, sau khi máy tính bị nhiễm mã độc và chiếm quyền điều khiển, người dùng sẽ không thể khởi động được.

 Để phòng ngừa, ngăn chặn việc tấn công mới của mã độc Ransomware (mã độc Petya) tại các cơ quan, đơn vị trên địa bàn tỉnh, Sở Thông tin và Truyền thông đã yêu cầu các đơn vị cần khẩn cấp kiểm tra và bảo đảm các máy tính trong hệ thống mạng đã vá các bản vá bảo mật, đặc biệt là MS17-010, CVE 2017-0199. Chặn toàn bộ kết nối liên quan đến dịch vụ SMB (445/137/138/139) từ ngoài Internet. Vô hiệu hóa WMIC (Windows Management Instrumentation Command-line). Tắt dịch vụ SMB trên tất cả cả các máy trong mạng LAN (nếu không cần thiết). Tạo tệp tin " C:\Windows\perfc " để ngăn ngừa nhiễm ransomware. Đây là tập tin mã độc kiểm tra trước thực hiện các hành vi độc hại trên máy tính.

Sở Thông tin và Truyền thông cũng khuyến cáo các đơn vị không mở các tập tin nghi vấn và các đường liên kết mà mình không rõ hoặc nghi vấn, cảnh giác cao khi mở các tập tin đính kèm trong thư điện tử. Mặt khác, cập nhật phiên bản mới nhất hệ điều hành Windows và các chương trình diệt Virus bản quyền để phát hiện và xử lý các mã thực thi do tin tặc tấn công vào hệ thống. Song song đó, thực hiện sao lưu ngay dữ liệu quan trọng trong máy tính ra thiết bị lưu trữ bên ngoài. Sau khi sao lưu xong đưa ra cất giữ riêng và không kết nối vào mạng nội bộ hay mạng internet. Ngoài ra, nếu phát hiện máy tính tại đơn vị bị mã độc tấn công thì tiến hành cô lập máy tính bị nhiễm và cô lập hệ thống mạng tại đơn vị (rút dây mạng nội bộ của máy bị nhiễm và tất cả các máy trong hệ thống mạng Lan của đơn vị; tắt máy và rút nguồn điện).

Trong trường hợp cần thiết, các cơ quan, đơn vị có thể liên hệ với ông Trần Hải Đăng, Trung tâm Công nghệ thông tin và Truyền thông Hậu Giang qua số điện thoại 02933877337 - 0979880928, Email: tran11011dang@gmail.com để được phối hợp, hỗ trợ./.

Hữu Trọng