หน้าแรก Security ระวัง น่ากลัวมาก !! Petya Ransomware กลับมาคราวนี้มันทำลายรุนแรงกว่าที่เคย !!

ระวัง น่ากลัวมาก !! Petya Ransomware กลับมาคราวนี้มันทำลายรุนแรงกว่าที่เคย !!

แบ่งปัน

คือ หลังจากที่เราโกลาหลไปกับ WannaCry ไปรอบหนึ่งแล้ว มางานนี้ก็ต้องปวดหัวซ้ำสองกับตัว Ransomware ที่เปรียบเสมือนเหล้าเก่าในขวดใหม่ นั่นก็คือเจ้า Petya

จากรายงานของแหล่งข่าวจากที่ต่างๆ พบว่า Petya Ransomware นั้นซึ่งบางทีก็รู้จักในนาม Petwrap นั้นแพร่กระจายอย่างรวดเร็ว ใช้หลักการเดียวกับตัว WannaCry คือช่องโหว่ Windows SMBv1 ซึ่งทำให้เครื่องเซิร์ฟเวอร์กว่า 300,000 ระบบล่มอย่างรวดเร็ว

Advertisement

คือ Petya นั้นเป็นแรนซั่มแวร์ที่ทำงานแตกต่างจากแรนซั่มแวร์ตัวอื่นตรงที่มันจะไม่เข้ารหัสไฟล์บนเครื่องเป้าหมาย แต่มันจะรีบูตเครื่องเหยื่อและทำการเข้ารหัสตัว MFT (Master file table) ในไดรฟ์ และทำการจัดการกับตัวบูตเรคคอร์ด (MBR) และป้องกันการเข้าถึงระบบจากทุกทางโดยการยึดข้อมูลเกี่ยวกับทุกอย่างบนดิสก์ไม่ว่าจะเป็นชื่อไล์, ขนาด และตำแหน่ง !!!!

แหล่งข้อมูลต่างๆ ที่เรารวบรวมมาอาทิ เทรนด์ไมโคร ก็ได้สรุปข้อมูลที่น่าสนใจผ่านทาง TrendLabs มาให้ทราบคร่าวๆ เช่น

– แรนซัมแวร์อาศัยช่องโหว่ EternalBlue (แนวทางเดียวกันกับที่ WannaCryใช้) เป็นทางเข้าและ ใช้ สิทธิ PsExec ของวินโดวส์อย่างถูกต้องผ่านการตรวจสกัดเพื่อแพร่กระจายตัวเอง

– Petya ทำการเข้ารหัสฮาร์ดดิสก์ MFT และเปลี่ยนแปลง Master Boot Record (MBR) ไม่ให้เปิดได้ และใส่คำสั่งในแสดงข้อเรียกร้อง การไถ่คืนแบบฉบับแรนซัมแวร์ตัวจริง!

ซึ่งเทรนด์ไมโคร ยังให้คำแนะนำ ที่ช่วยลดความเสี่ยงได้จริง! ดังนี้
1. ลงแพทช์ MS17-010 เพราะช่องทางเข้ามันมีรู จำเป็นต้องปิดที้สุด
2. ปิดพอร์ต TCP port 445
3. จำกัดสิทธิบัญชีแอดมินในการเข้าใช้ สำหรับลูกค้าเทรนด์ไมโคร สามารถอ้างอิงข้อมูลเพิ่มเติมได้ที่ https://success.trendmicro.com/solution/1117665

ด้าน Juniper ก็ตรวจพบภัยดังกล่าวในลักษณะเดียวกัน และก็ให้ข้อมูลการโจมตีของมัลแวร์ดังกล่าวนี้ และสำหรับใครใช้ Juniper ก็สามารถไปดูวิธีการป้องกันได้จากที่เว็บ Forum ของ Juniper ได้ที่ Link นี้ https://forums.juniper.net/t5/Security-Now/Rapid-Response-New-Petya-Ransomware-Discovered/ba-p/309653?utm_medium=social&utm_source=facebook&utm_campaign=Security_AMER&__prclt=65bDFWQL

ขอบคุณที่มา : http://thehackernews.com/2017/06/petya-ransomware-attack.html?m=1