Breaking News

ผลวิเคราะห์ชี้ Petya ตัวใหม่ไม่ใช่ Ransomware แต่เป็นมัลแวร์ทำลายข้อมูล

Matt Suiche ผู้ก่อตั้งบริษัท Comae Technologies ออกมาเปิดเผยผลการวิเคราะห์ Petya Ransomware สายพันธุ์ใหม่ หรือ Petwrap ที่เริ่มแพร่ระบาดเมื่อวันอังคารที่ผ่านมา ระบุว่า แท้ที่จริงแล้ว Petya ตัวนี้ไม่ใช่ Ransomware แต่อย่างใด แต่เป็นมัลแวร์สำหรับทำลายล้างข้อมูล ต่อให้จ่ายค่าไถ่ก็ไม่สามารถเข้าระบบคอมพิวเตอร์ได้อยู่ดี

Credit: ShutterStock.com

Petya Ransomware สายพันธุ์ใหม่เริ่มแพร่ระบาดไปยังระบบคอมพิวเตอร์ทั่วโลกเมื่อวันอังคารที่ 27 มิถุนายนที่ผ่านมา ไม่ว่าจะเป็นบริษัท ISP ธนาคาร โรงกลั่นน้ำมัน หรือโรงไฟฟ้า ทั้งในรัสเซีย ยูเครน อินเดีย ยุโรป และสหรัฐฯ โดยเรียกร้องเงินค่าไถ่เป็นจำนวน $300 หรือประมาณ 10,200 บาทผ่าน Bitcoin

อย่างไรก็ตาม ผลการวิเคราะห์ Ransomware ล่าสุดของ Comar Technologies กลับระบุว่า Petya ไม่ใช่ Ransomware แต่อย่างใด เนื่องจากไม่ได้ถูกออกแบบมาให้คืนสิทธิ์การเข้าใช้ระบบคอมพิวเตอร์แก่ผู้ใช้ ต่อให้จ่ายค่าไถ่แก่แฮ็คเกอร์ไปแล้วก็ตาม จึงเรียกได้ว่าเป็น Wiper Malware หรือมัลแวร์สำหรับทำลายข้อมูลมากกว่า นอกจากนี้ พวกเขายังเชื่อว่า การที่แฮ็คเกอร์ใช้ Petya ทำตัวเหมือน Ransomware ก็เพื่อหันเหความสนใจของสื่อให้พุ่งตรงประเด็นไปที่การแพร่ระบาดเหมือน WannaCry เพื่อปกปิดความจริงที่ว่าเป็นการโจมตีประเทศยูเครนโดยไม่หน่วยงานรัฐหนุนหลัง (State-sponsored Attack)

Petya ต่างจาก Ransomware ทั่วไปตรงที่ไม่ได้เข้ารหัสไฟล์ข้อมูล แต่ใช้วิธีรีบูตอุปกรณ์คอมพิวเตอร์ของผู้ใช้เพื่อเข้ารหัส Master File Table (MFT) ของฮาร์ดดิสก์ และเขียนทับ Master Boot Record (MBR) เพื่อให้ใช้งานไม่ได้ ส่งผลให้ผู้ใช้ไม่สามารถเข้าถึงระบบปฏิบัติการได้เนื่องจากคอมพิวเตอร์ไม่ทราบว่า OS อยู่ใน Partition ใด และจะเริ่มต้นการทำงานอย่างไร

โดยปกติแล้ว Petya เวอร์ชันแรกจะทำการคัดลอก MBR มาเก็บไว้ เพื่อที่จะได้กู้ข้อมูลกลับคืนมาได้หลังเหยื่อจ่ายค่าไถ่ แต่ Petya สายพันธุ์ใหม่นี้ไม่ได้เก็บ MBR ต้นฉบับไว้แต่อย่างใด ซึ่งไม่แน่ใจว่าแฮ็คเกอร์จงใจหรือไม่ตั้งใจกันแน่ ส่งผลให้ต่อให้เหยื่อจ่ายค่าไถ่ก็ไม่สามารถกลับเข้าไปใช้ระบบคอมพิวเตอร์ได้ นอกจากนี้ หลังจากที่เครื่องติด Petya แล้ว มันจะทำการสแกนระบบเครือข่ายภายใน และแพร่กระจายตัวไปยังเครื่องอื่นๆ โดยใช้ช่องโหว่ EternalBlue, WMIC และ PsExec

จนถึงตอนนี้ มีเหยื่อยอมจ่ายค่าไถ่แล้วประมาณ 45 คน คิดเป็นเงินประมาณ $10,500 (ประมาณ 360,000 บาท) อย่างไรก็ตาม เหยื่อกลับไม่สามารถปลดล็อกระบบคอมพิวเตอร์ของตนเองได้ ทั้งนี้อีกหนึ่งสาเหตุที่สำคัญคือ ISP ของประเทศเยอรมนีได้ทำการบล็อกอีเมลของแฮ็คเกอร์ที่ใช้ติดต่อกับเหยื่อและส่งกุญแจสำหรับใช้ปลดรหัส หลังจากที่เริ่มมีการแพร่ระบาด ดังนั้น ถ้าติด Petya ไม่แนะนำให้จ่ายค่าไถ่โดยเด็ดขาด

รายละเอียดเพิ่มเติม: https://blog.comae.io/petya-2017-is-a-wiper-not-a-ransomware-9ea1d8961d3b

ที่มา: http://thehackernews.com/2017/06/petya-ransomware-wiper-malware.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Homomorphic Encryption: เทคโนโลยีการเข้ารหัสข้อมูลที่เหล่าผู้ให้บริการ Cloud กำลังให้ความสนใจ

ในช่วงหลายปีที่ผ่านมานี้ หนึ่งในเทคโนโลยีที่เหล่าผู้ให้บริการ Cloud ระดับโลกทั้งหลายไม่ว่าจะเป็น Microsoft, Google, AWS และ IBM ต่างก็ให้ความสำคัญในการวิจัยและพัฒนาเครื่องมือต่างๆ ขึ้นมารองรับการใช้งานจริงในระดับ Commercial นั้น ก็คือ Homomorphic Encryption หรือเทคโนโลยีการเข้ารหัสข้อมูลที่ยังเปิดให้ผู้ใช้งานสามารถทำการวิเคราะห์ข้อมูลได้อยู่นั่นเอง

Fortinet เปิดตัว FortiGate E-Series ระดับ High-end ใหม่ 3 รุ่น

Fortinet ประกาศเปิดตัว FortiGate E-Series 3 รุ่นใหม่ ได้แก่ 3300E, 2200E และ 1100E ชูจุดเด่นด้านประสิทธิภาพของ Threat Protection และ …