Đừng mơ chuộc dữ liệu khi ‘dính’ biến thể Petya

Phát hiện từ các chuyên gia bảo mật cho thấy biến thể của mã độc tống tiền Petya, còn được biết đến với tên gọi Petya.2017 thực chất sẽ xóa sạch dữ liệu của người dùng.

Theo phát hiện mới nhất, mã độc tống tiền còn được biết đến với tên gọi Petya rộ lên dạo gần đây nhằm vào hàng loạt tổ chức chính phủ, ngân hàng, công ty tư nhân và hệ thống quản lý điện năng tại Châu Âu thực chất không hẳn là một ransomware. Cụ thể, theo Comae Technologies, loại mã độc tống tiền mà người dùng vẫn lầm tưởng với tên gọi Petya xuất hiện gần đây thực chất là một biến thể mang tên Petya.2017 và là một mã độc có khả năng xóa toàn bộ dữ liệu trên ổ cứng.

Nói một cách đơn giản hơn, một khi “dính” biến thể Petya.2017 người dùng dẫu cho đã chi một khoản tiền chuộc theo yêu cầu sẽ vẫn không thể nào cứu lại những dữ liệu quý giá của mình vì thực chất, đây là một công cụ được thiết kế để phá hủy dữ liệu và được mạo danh thành mã độc tống tiền để đánh lừa người dùng.

Biến thể của mã độc Petya một khi đã "dính" thì vô phương cứu dữ liệu cho dù người dùng có trả tiền chuộc theo yêu cầu.

Được biết, phiên bản ransomware mang tên Petya mặc định đã rất khác biệt so với hầu hết mã độc tống tiền. Cụ thể, Petya thay vì nhằm vào từng tập tin riêng lẻ, mã độc này lại “khóa cứng” toàn bộ đĩa cứng bằng cách chỉnh sửa thông tin MBR (vốn dùng để chứa thông tin về các phân vùng ổ đĩa và các hệ thống tập tin) trên đĩa cứng của người dùng. Cũng theo phát hiện của các chuyên gia bảo mật, mã độc tống tiền Petya phiên bản 2016 về cơ bản sẽ mã hóa sector đầu tiên trên ổ đĩa. Điều này cơ bản cho phép tái khôi phục MRB về trạng thái ban đầu (trước khi bị mã hóa) khi người dùng trả một khoản tiền chuộc theo yêu cầu.

Tuy nhiên, với Petya phiên bản 2017, điều này lại hoàn toàn khác biệt. Cụ thể, theo Comae Technologies biến thể Petya không hề mã hóa MRB hoặc lưu lại trạng thái của MBR trước khi chiếm dụng mà thay vào đó mã độc này sẽ xóa hẳn 25 khối sector đầu tiên của đĩa cứng. Chính điều này đã khiến dữ liệu trở nên “mồ côi” hay nói khác đi, người dùng sẽ không còn cách nào để khôi phục lại những dữ liệu quý giá của mình.
 

Từ khóa: an ninh bảo mật, mã độc, mã độc tống tiền, Mai Hoa, Petya, Ransomware, xóa dữ liệu