Cảnh báo về biến thể mới của mã độc tống tiền mã hóa dữ liệu (mã độc Petya)
Thứ Sáu - 14/07/2017 11:41 SA

Trong thời gian qua tình hình mất an toàn thông tin đang diễn biến phức tạp và có chiều hướng gia tăng về tần suất và số lượng các cuộc tấn công xâm nhập vào các hệ thống thông tin. Đặc biệt, gần đây là các cuộc tấn công hồi tháng 5 có quy mô toàn cầu liên quan đến mã độc có tên là WannaCry. Trước tình hình trên, Sở Thông tin và Truyền thông đã ban hành các công văn số 534/STTTT-CNTT ngày 05/5/2017; Công văn số 109/TTCNTT&TT-QTHT ngày 14/5/2017; Công văn khẩn số 611/STTTT-CNTT ngày 23/5/2016 nhằm tăng cường chủ động kiểm tra, rà soát hệ thống để phòng ngừa, ứng phó và giảm thiểu các sự cố mất an toàn thông tin cho các cơ quan, đơn vị trên địa bàn tỉnh liên quan đến mã độc WannaCry. Qua công tác giám sát An toàn thông tin trên địa bàn tỉnh và cảnh báo của Cục An toàn thông tin về biến thể mới của mã độc tống tiền Ransomware (mã độc Petya). Theo đó, ngày 27/6/2017 mã độc tống tiền Ransomware lại tiếp tục gây ảnh hưởng tới nhiều nước trên thế giới, mã độc lần này với biến thể mới mang tên Petya (còn gọi là Petwrap) không chỉ khai thác và lây lan thông qua lỗ hổng MS17-010 như cách thức khai thác của mã độc WannaCry mà còn lây nhiễm vào các máy tính đã thực hiện vá lỗ hổng này bằng cách thông qua các công cụ như: WMI (công cụ có sẵn trong Windows cho phép truy cập và thiết lập cấu hình trên máy Windows ); công cụ PSEXE (công cụ của Microsoft cho phép truy cập vào máy tính Windows từ xa mà người dùng không biết thông qua dịch vụ SMB) và lỗ hổng bảo mật trên phần mềm Microsoft Office có mã quốc tế CVE-2017-0199 cho phép tin tặc khai thác và chiếm quyền điều khiển hệ thống. Bên cạnh đó, mã độc Petya có cách thức hoạt động rất khác so với các biến thể mã độc tống tiền Ransomware khác. Đó là, khi lây nhiễm vào máy tính sẽ không thực mã hóa dữ liệu mà thực hiện cơ chế mã hóa bảng File, nơi chứa thông tin về tất cả các tập tin và thư mục trong phân vùng trên máy tính. Do đó, máy tính người dùng không thể khởi động được khi bị nhiễm mã độc này. Vì vậy, để chủ động khắc phục, loại bỏ các nguy cơ  cũng như tăng cường phòng ngừa các rủi ro do mã độc này gây ra; Trung tâm Công nghệ thông tin và Truyền thông Thanh Hóa đề nghị các cơ quan, doanh nghiệp trên địa bàn tỉnh chỉ đạo các bộ phận, cán bộ liên quan thực hiện tốt các nội dung sau:
         1. Tuyên truyền, phổ biến sâu rộng cho toàn thể cán bộ trong cơ quan, đơn vị về nguy cơ mất an toàn thông tin do ảnh hưởng của loại mã độc trên, cũng như khẩn trương nhanh chóng triển khai các biện pháp kỹ thuật để kiểm tra, phòng ngừa và xây dựng các kế hoạch ứng phó khi bị lây nhiễm mã độc trên trong hệ thống thông tin của các cơ quan, đơn vị theo các nội dung hướng dẫn chi tiết kỹ thuật được đăng tải trên trang thông tin điện tử của Trung tâm Công nghệ thông tin và Truyền thông Thanh Hóa tại địa chỉ: http://ict.thanhhoa.gov.vn
           2. Thực hiện nghiêm túc các văn bản đã ban hành trong thời gian qua về công tác đảm bảo an toàn thông tin mạng trên địa bàn như: Quyết định số 1293/2017/QĐ-UBND ngày 25/4/2017; Chỉ thị số 22/CT-UBND ngày 19/10/2015, Quyết định số 3380/2013/QĐ-UBND ngày 30/9/2013,…của UBND tỉnh và các văn bản hướng dẫn, hỗ trợ kỹ thuật của Sở Thông tin và Truyền thông, của Trung tâm CNTT&TT.
          Trong quá trình thực hiện, nếu gặp khó khăn, vướng mắc về kỹ thuật liên quan đến các nội dung, công việc trên đề nghị liên hệ với: Chuyên viên ứng cứu sự cố tại Ban: Đ/c Hải đthoai: 0972.52.52.25 or Tổ ứng cứu sự cố – Trung tâm Công nghệ thông tin và Truyền thông Thanh Hóa để phối hợp xử lý. Điện thoại: (0237)3718.699 Đường dây nóng: 0916.422.583 Hộp thư điện tử tiếp nhận báo cáo sự cố: ungcuusuco@thanhhoa.gov.vn Xin trân trọng cảm ơn./.