ผลวิเคราะห์ชี้ Petya ตัวใหม่ไม่ใช่ Ransomware แต่เป็นมัลแวร์ทำลายข้อมูล

Matt Suiche ผู้ก่อตั้งบริษัท Comae Technologies ออกมาเปิดเผยผลการวิเคราะห์ Petya Ransomware สายพันธุ์ใหม่ หรือ Petwrap ที่เริ่มแพร่ระบาดเมื่อวันอังคารที่ผ่านมา ระบุว่า แท้ที่จริงแล้ว Petya ตัวนี้ไม่ใช่ Ransomware แต่อย่างใด แต่เป็นมัลแวร์สำหรับทำลายล้างข้อมูล ต่อให้จ่ายค่าไถ่ก็ไม่สามารถเข้าระบบคอมพิวเตอร์ได้อยู่ดี

Credit: ShutterStock.com

Petya Ransomware สายพันธุ์ใหม่เริ่มแพร่ระบาดไปยังระบบคอมพิวเตอร์ทั่วโลกเมื่อวันอังคารที่ 27 มิถุนายนที่ผ่านมา ไม่ว่าจะเป็นบริษัท ISP ธนาคาร โรงกลั่นน้ำมัน หรือโรงไฟฟ้า ทั้งในรัสเซีย ยูเครน อินเดีย ยุโรป และสหรัฐฯ โดยเรียกร้องเงินค่าไถ่เป็นจำนวน $300 หรือประมาณ 10,200 บาทผ่าน Bitcoin

อย่างไรก็ตาม ผลการวิเคราะห์ Ransomware ล่าสุดของ Comar Technologies กลับระบุว่า Petya ไม่ใช่ Ransomware แต่อย่างใด เนื่องจากไม่ได้ถูกออกแบบมาให้คืนสิทธิ์การเข้าใช้ระบบคอมพิวเตอร์แก่ผู้ใช้ ต่อให้จ่ายค่าไถ่แก่แฮ็คเกอร์ไปแล้วก็ตาม จึงเรียกได้ว่าเป็น Wiper Malware หรือมัลแวร์สำหรับทำลายข้อมูลมากกว่า นอกจากนี้ พวกเขายังเชื่อว่า การที่แฮ็คเกอร์ใช้ Petya ทำตัวเหมือน Ransomware ก็เพื่อหันเหความสนใจของสื่อให้พุ่งตรงประเด็นไปที่การแพร่ระบาดเหมือน WannaCry เพื่อปกปิดความจริงที่ว่าเป็นการโจมตีประเทศยูเครนโดยไม่หน่วยงานรัฐหนุนหลัง (State-sponsored Attack)

Petya ต่างจาก Ransomware ทั่วไปตรงที่ไม่ได้เข้ารหัสไฟล์ข้อมูล แต่ใช้วิธีรีบูตอุปกรณ์คอมพิวเตอร์ของผู้ใช้เพื่อเข้ารหัส Master File Table (MFT) ของฮาร์ดดิสก์ และเขียนทับ Master Boot Record (MBR) เพื่อให้ใช้งานไม่ได้ ส่งผลให้ผู้ใช้ไม่สามารถเข้าถึงระบบปฏิบัติการได้เนื่องจากคอมพิวเตอร์ไม่ทราบว่า OS อยู่ใน Partition ใด และจะเริ่มต้นการทำงานอย่างไร

โดยปกติแล้ว Petya เวอร์ชันแรกจะทำการคัดลอก MBR มาเก็บไว้ เพื่อที่จะได้กู้ข้อมูลกลับคืนมาได้หลังเหยื่อจ่ายค่าไถ่ แต่ Petya สายพันธุ์ใหม่นี้ไม่ได้เก็บ MBR ต้นฉบับไว้แต่อย่างใด ซึ่งไม่แน่ใจว่าแฮ็คเกอร์จงใจหรือไม่ตั้งใจกันแน่ ส่งผลให้ต่อให้เหยื่อจ่ายค่าไถ่ก็ไม่สามารถกลับเข้าไปใช้ระบบคอมพิวเตอร์ได้ นอกจากนี้ หลังจากที่เครื่องติด Petya แล้ว มันจะทำการสแกนระบบเครือข่ายภายใน และแพร่กระจายตัวไปยังเครื่องอื่นๆ โดยใช้ช่องโหว่ EternalBlue, WMIC และ PsExec

จนถึงตอนนี้ มีเหยื่อยอมจ่ายค่าไถ่แล้วประมาณ 45 คน คิดเป็นเงินประมาณ $10,500 (ประมาณ 360,000 บาท) อย่างไรก็ตาม เหยื่อกลับไม่สามารถปลดล็อกระบบคอมพิวเตอร์ของตนเองได้ ทั้งนี้อีกหนึ่งสาเหตุที่สำคัญคือ ISP ของประเทศเยอรมนีได้ทำการบล็อกอีเมลของแฮ็คเกอร์ที่ใช้ติดต่อกับเหยื่อและส่งกุญแจสำหรับใช้ปลดรหัส หลังจากที่เริ่มมีการแพร่ระบาด ดังนั้น ถ้าติด Petya ไม่แนะนำให้จ่ายค่าไถ่โดยเด็ดขาด

รายละเอียดเพิ่มเติม: https://blog.comae.io/petya-2017-is-a-wiper-not-a-ransomware-9ea1d8961d3b

ที่มา: http://thehackernews.com/2017/06/petya-ransomware-wiper-malware.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Application Experience คือจุดสูงสุด ตราบเท่าที่มีความมั่นคงปลอดภัย

ปัจจุบันนี้ ความต่อเนื่องของธุรกิจขึ้นกับว่าแอปพลิเคชันพร้อมใช้งานหรือไม่เป็นสำคัญ ซึ่งเป็นสิ่งที่ทั้งพนักงานและลูกค้าต่างเป็นกังวลไม่ต่างกัน ฝ่าย IT ถูกกดดันให้จัดเตรียมแอปพลิเคชันที่มีทั้ง Experience และ Security ที่ดี แต่ความซับซ้อนด้านโครงสร้างพื้นฐานที่เพิ่มขึ้น ณ Edge และ Cloud กลับสร้างภาระเพิ่มเติมให้แก่ผู้ดูแลระบบ ที่ต้องคอยจัดหาเครื่องมือและเทคโนโลยีมาสร้างสมดุลย์ให้แก่แอปพลิเคชันโดยไม่ให้ส่งผลกระทบต่อความมั่นคงปลอดภัย

Free Webinar : หัวข้อ : รู้ทัน พร้อมรับมือ! พรบ.Cookie (PDPA) [15 ธ.ค. 2021 – 14.00น.]

เนื่องด้วยความก้าวหน้าทางเทคโนโลยีและการสื่อสารต่างๆ มีความหลากหลายที่มากขึ้น จึงส่งผลให้เกิดการละเมิดสิทธิความเป็นส่วนตัวข้อมูลส่วนบุคคลสามารถทำได้ง่าย และนำมาซึ่งการสร้างความเสียหายให้แก่เจ้าของข้อมูล ตลอดจนส่งผลกระทบต่อเศรษฐกิจโดยรวมของประเทศ ดังนั้น ประเทศไทย จึงจำเป็นต้องมีการออกกฎหมาย เพื่อกำหนดหลักเกณฑ์ กลไกหรือมาตรฐานการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย (ต่อไปนี้เรียกโดยย่อว่า PDPA) ขึ้นมา โดยถูกกำหนดให้มีผลบังคับใช้ภายในเดือนพฤษภาคม 2565 …