กองเทคโนโลยีสารสนเทศ โรงเรียนนายร้อยพระจุลจอมเกล้า

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจากทั่วโลกออกมาแจ้งเตือนถึง Petya Ransomware สายพันธุ์ใหม่ ซึ่งเจาะระบบคอมพิวเตอร์ผ่านช่องโหว่ Windows SMBv1 (EternalBlue) เหมือนกับ WannaCry ซึ่งขณะนี้มีผู้ตกเป็นเหยื่อทั่วโลกแล้วจำนวนมากในภาคธุรกิจทั่วโลกทั้งในรัสเซีย อินเดีย และยุโรป

** ขอขอบคุณคุณ Bhume Bhumiratana ที่แจ้งเรื่องการแปลเนื้อหาผิดพลาดของทาง TechTalkThai ด้วยครับ ปัจจุบันทางทีมงานทำการแก้ไขบทความให้ถูกต้องแล้วครับ

Petya Ransomware สายพันธุ์ใหม่นี้ถูกเรียกว่า Petwrap ซึ่งกำลังโจมตีระบบคอมพิวเตอร์ทั่วโลกอยู่ในขณะนี้ ไม่ว่าจะเป็นบริษัท ISP ธนาคาร โรงกลั่นน้ำมัน หรือโรงไฟฟ้า ทั้งในรัสเซีย ยูเครน อินเดีย และยุโรปโดยเรียกร้องเงินค่าไถ่เป็นจำนวน $300 หรือประมาณ 10,200 บาทผ่าน Bitcoin

จุดที่เหนือกว่าการใช้ EternalBlue เจาะช่องโหว่บน Windows SMBv1 ของ Petwrap ก็คือการที่ Petwrap มีการใช้ WMIC และ PSEXEC เพื่อเจาะเครื่องคอมพิวเตอร์ภายในระบบเครือข่ายเดียวกันที่ Patch ไว้เป็นอย่างดีได้ด้วย ดังนั้นอีกช่องทางหนึ่งที่จะลดความเสี่ยงในการติด Petwrap ลงได้เพิ่มเติมก็คือควรปิด WMIC ด้วย

Petya Ransomware ถูกค้นพบครั้งแรกเมื่อช่วงต้นปี 2016 โดย Trend Micro ซึ่งเป็น Ransomware รูปแบบใหม่ ต่างจาก Ransonware ทั่วไปตรงที่ไม่ได้เข้ารหัสไฟล์ข้อมูล แต่อาศัยการเขียนทับ Master Boot Record (MBR) เพื่อไม่ให้เครื่องของเหยื่อบูต OS ได้ พร้อมเรียกค่าไถ่ในการปลดล็อคเพื่อเข้าใช้คอมพิวเตอร์

ภาพด้านล่างแสดงข้อความเรียกค่าไถ่ของ Petwrap ที่แชร์บน Twitter ณ ตอนนี้ ซึ่งระบุข้อความไว้ว่า

"If you see this text, then your files are no longer accessible, because they are encrypted. Perhaps you are busy looking for a way to recover your files, but don't waste your time. Nobody can recover your files without our decryption service."

จากการตรวจสอบกับฐานข้อมูลมัลแวร์ของ VirusTotal พบว่าขณะที่เขียนบทความอยู่นี้มีโปรแกรม Antivirus เพียง 14 จาก 61 รายการเท่านั้นที่สามารถตรวจจับ Petwrap ได้

Petwrap ได้แพร่ระบาดไปทั่วโลกแล้วในขณะนี้ ล่าสุดเมื่อไม่กี่ชั่วโมงที่ผ่านมา Rosneft โรงกลั่นน้ำมันในรัสเซีย Kyivenergo และ Ukrenergo สองโรงผลิตไฟฟ้าในยูเครน ได้ออกแถลงข่าวแล้วว่ากำลังตกเป็นเป้าหมายของ Ransomware จนถึงขั้นต้องปิดระบบคอมพิวเตอร์ทั้งหมด เพื่อไม่ให้การโจมตีแพร่กระจายออกไป

"พวกเราถูกโจมตี 2 ชั่วโมงก่อนพวกเราเพิ่งจะปิดเครื่องคอมพิวเตอร์ทั้งหมด และกำลังรอคำอนุญาตจาก Ukrain's Security Service (SBU) เพื่อกลับมาเปิดระบบคอมพิวเตอร์ใหม่อีกครั้ง" — Kyivenergo ออกแถลงการณ์

นอกจากนี้ Petwrap ยังได้โจมตีสถาบันการเงินหลายแห่งในยูเครน เช่น National Bank of Ukraine (NBU) และ Oschadbank รวมไปถึงบริษัท ISP หลายราย เช่น Kyivstar, LifeCell และ Ukrtelecom จากการตรวจสอบพบว่าจนถึงตอนนี้มีเหยื่อยินยอมจ่ายค่าไถ่แล้วจำนวน 23 ราย ประมาณเป็นเงิน $6,775 แน่นอนว่าวิธีป้องกัน Petwrap ได้ดีที่สุดก็คือการอัปเดตแพทช์ระบบปฏิบัติการ Windows ล่าสุด เช่นเดียวกับการรับมือ WannaCry

*** อัปเดต ปัจจุบันเริ่มมีภาคธุรกิจในไทย รวมถึงบริษัทใหญ่ๆ ตกเป็นเหยื่อกันมากขึ้นเรื่อยๆ แล้วครับ ดังนั้นอย่าชะล่าใจนะครับ

ที่มา: http://thehackernews.com/2017/06/petya-ransomware-attack.html