Mã độc tống tiền Petya khóa người dùng khởi động hệ thống

09:01 | 07/04/2016

Ngày 25/03/2016 các chuyên gia bảo mật của Trend Micro đã đưa ra cảnh báo về một họ mã độc tống tiền mới có tên là Petya (một loại mã độc thuộc dòng crypto_ransomware có tên đầy đủ là RANSOM_PETYAA). Chúng lây lan qua các liên kết độc hại DropBox và ghi đè có chủ đích lên tập tin quản lý khởi động hệ thống của thiết bị (MBR) để khóa người dùng khởi động.

Trend Micro giải thích rằng Petya là một sự chuyển hướng mới của mã độc tống tiền lây qua các tập tin độc hại đính kèm trên thư điện tử, hoặc được lưu trữ trong các trang web và được phát tán thông qua việc khai thác các bộ công cụ trên trang web này.

Petya đã được tìm thấy trong thư điện tử dưới dạng hồ sơ xin việc tại một số công ty trên thế giới. Các hồ sơ xin việc này được gửi thông qua DropBox dưới dạng liên kết độc hại. Chuyên gia phân tích phần mềm độc hại Jasen Sumalapao giải thích: Các tập tin tải về không phải là một sơ yếu lý lịch thật sự, mà là một tập tin thực thi, nó có thể tự giải nén sau đó sẽ cài trojan vào hệ thống. Các trojan này sẽ qua mặt tất cả các chương trình virus đã được cài trong máy trước đó và tải về các mã độc tống tiền Petya.



Mã độc Petya khi đó sẽ ghi đè lên MBR của toàn bộ ổ cứng, gây ra lỗi màn hình xanh phổ biến của Windows. Nếu người dùng cố gắng khởi động lại máy tính của mình, họ sẽ được chào mời bằng bảng mã ASCII hình đầu lâu màu đỏ kèm theo thông báo “Trả Bitcoins hoặc mất tất cả dữ liệu”.

Người dùng sẽ được hướng dẫn để thực hiện việc trả tiền thông qua trang web Tor. Mức giá mà tin tặc đưa ra để mở khóa là 0,99 Bitcoins hoặc 431 USD. Nếu quá thời hạn trên trang web yêu cầu, thì mức phí sẽ tăng lên gấp đôi.

DropBox đã nhanh chóng loại bỏ các liên kết độc hại và các tập tin độc hại khi nhận được thông báo của Trend Micro vào ngày 28/3/2016. Hãng này tuyên bố mặc dù cuộc tấn công này không liên quan gì đến vấn đề an toàn của mình nhưng họ sẽ có một đội ngũ chuyên trách để giám sát và ngăn chặn việc lạm dụng DropBox thực hiện các hành vi tống tiền. 

Hãng cũng cam kết sẽ điều tra và đưa ra các thủ tục để xử lý loại bỏ các hoạt động phá hoại ngay khi nó xảy ra.