ผลวิเคราะห์ชี้ Petya ตัวใหม่ไม่ใช่ Ransomware แต่เป็นมัลแวร์ทำลายข้อมูล

Matt Suiche ผู้ก่อตั้งบริษัท Comae Technologies ออกมาเปิดเผยผลการวิเคราะห์ Petya Ransomware สายพันธุ์ใหม่ หรือ Petwrap ที่เริ่มแพร่ระบาดเมื่อวันอังคารที่ผ่านมา ระบุว่า แท้ที่จริงแล้ว Petya ตัวนี้ไม่ใช่ Ransomware แต่อย่างใด แต่เป็นมัลแวร์สำหรับทำลายล้างข้อมูล ต่อให้จ่ายค่าไถ่ก็ไม่สามารถเข้าระบบคอมพิวเตอร์ได้อยู่ดี

Credit: ShutterStock.com

Petya Ransomware สายพันธุ์ใหม่เริ่มแพร่ระบาดไปยังระบบคอมพิวเตอร์ทั่วโลกเมื่อวันอังคารที่ 27 มิถุนายนที่ผ่านมา ไม่ว่าจะเป็นบริษัท ISP ธนาคาร โรงกลั่นน้ำมัน หรือโรงไฟฟ้า ทั้งในรัสเซีย ยูเครน อินเดีย ยุโรป และสหรัฐฯ โดยเรียกร้องเงินค่าไถ่เป็นจำนวน $300 หรือประมาณ 10,200 บาทผ่าน Bitcoin

อย่างไรก็ตาม ผลการวิเคราะห์ Ransomware ล่าสุดของ Comar Technologies กลับระบุว่า Petya ไม่ใช่ Ransomware แต่อย่างใด เนื่องจากไม่ได้ถูกออกแบบมาให้คืนสิทธิ์การเข้าใช้ระบบคอมพิวเตอร์แก่ผู้ใช้ ต่อให้จ่ายค่าไถ่แก่แฮ็คเกอร์ไปแล้วก็ตาม จึงเรียกได้ว่าเป็น Wiper Malware หรือมัลแวร์สำหรับทำลายข้อมูลมากกว่า นอกจากนี้ พวกเขายังเชื่อว่า การที่แฮ็คเกอร์ใช้ Petya ทำตัวเหมือน Ransomware ก็เพื่อหันเหความสนใจของสื่อให้พุ่งตรงประเด็นไปที่การแพร่ระบาดเหมือน WannaCry เพื่อปกปิดความจริงที่ว่าเป็นการโจมตีประเทศยูเครนโดยไม่หน่วยงานรัฐหนุนหลัง (State-sponsored Attack)

Petya ต่างจาก Ransomware ทั่วไปตรงที่ไม่ได้เข้ารหัสไฟล์ข้อมูล แต่ใช้วิธีรีบูตอุปกรณ์คอมพิวเตอร์ของผู้ใช้เพื่อเข้ารหัส Master File Table (MFT) ของฮาร์ดดิสก์ และเขียนทับ Master Boot Record (MBR) เพื่อให้ใช้งานไม่ได้ ส่งผลให้ผู้ใช้ไม่สามารถเข้าถึงระบบปฏิบัติการได้เนื่องจากคอมพิวเตอร์ไม่ทราบว่า OS อยู่ใน Partition ใด และจะเริ่มต้นการทำงานอย่างไร

โดยปกติแล้ว Petya เวอร์ชันแรกจะทำการคัดลอก MBR มาเก็บไว้ เพื่อที่จะได้กู้ข้อมูลกลับคืนมาได้หลังเหยื่อจ่ายค่าไถ่ แต่ Petya สายพันธุ์ใหม่นี้ไม่ได้เก็บ MBR ต้นฉบับไว้แต่อย่างใด ซึ่งไม่แน่ใจว่าแฮ็คเกอร์จงใจหรือไม่ตั้งใจกันแน่ ส่งผลให้ต่อให้เหยื่อจ่ายค่าไถ่ก็ไม่สามารถกลับเข้าไปใช้ระบบคอมพิวเตอร์ได้ นอกจากนี้ หลังจากที่เครื่องติด Petya แล้ว มันจะทำการสแกนระบบเครือข่ายภายใน และแพร่กระจายตัวไปยังเครื่องอื่นๆ โดยใช้ช่องโหว่ EternalBlue, WMIC และ PsExec

จนถึงตอนนี้ มีเหยื่อยอมจ่ายค่าไถ่แล้วประมาณ 45 คน คิดเป็นเงินประมาณ $10,500 (ประมาณ 360,000 บาท) อย่างไรก็ตาม เหยื่อกลับไม่สามารถปลดล็อกระบบคอมพิวเตอร์ของตนเองได้ ทั้งนี้อีกหนึ่งสาเหตุที่สำคัญคือ ISP ของประเทศเยอรมนีได้ทำการบล็อกอีเมลของแฮ็คเกอร์ที่ใช้ติดต่อกับเหยื่อและส่งกุญแจสำหรับใช้ปลดรหัส หลังจากที่เริ่มมีการแพร่ระบาด ดังนั้น ถ้าติด Petya ไม่แนะนำให้จ่ายค่าไถ่โดยเด็ดขาด

รายละเอียดเพิ่มเติม: https://blog.comae.io/petya-2017-is-a-wiper-not-a-ransomware-9ea1d8961d3b

ที่มา: http://thehackernews.com/2017/06/petya-ransomware-wiper-malware.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบมัลแวร์บนแอนดรอยด์ลอบขโมยโค้ด 2FA จาก Google Authenticator

ผู้เชี่ยวชาญจาก ThreatFabric ได้ออกเตือนว่าเริ่มพบ Banking Trojan ที่มีความสามารถในการขโมยโค้ด 2FA ที่ได้จาก Google Authenticator บนแอนดรอยด์

Zyxel ออกแพตช์อุดช่องโหว่ Zero-day ให้ NAS และ Firewall เตือนผู้ใช้เร่งอัปเดต

เมื่อไม่มีกี่วันที่ผ่านมาทาง Zyxel ได้ออกแพตช์ช่องโหว่ Zero-day ให้ผลิตภัณฑ์ NAS หลายรุ่น ต่อมายังส่งผลกระทบกับ Firewall อีกถึงหลายสิบรุ่นเช่นกัน ด้วยเหตุนี้จึงแนะนำให้อัปเดต