ผลวิเคราะห์ชี้ Petya ตัวใหม่ไม่ใช่ Ransomware แต่เป็นมัลแวร์ทำลายข้อมูล

Matt Suiche ผู้ก่อตั้งบริษัท Comae Technologies ออกมาเปิดเผยผลการวิเคราะห์ Petya Ransomware สายพันธุ์ใหม่ หรือ Petwrap ที่เริ่มแพร่ระบาดเมื่อวันอังคารที่ผ่านมา ระบุว่า แท้ที่จริงแล้ว Petya ตัวนี้ไม่ใช่ Ransomware แต่อย่างใด แต่เป็นมัลแวร์สำหรับทำลายล้างข้อมูล ต่อให้จ่ายค่าไถ่ก็ไม่สามารถเข้าระบบคอมพิวเตอร์ได้อยู่ดี

Credit: ShutterStock.com

Petya Ransomware สายพันธุ์ใหม่เริ่มแพร่ระบาดไปยังระบบคอมพิวเตอร์ทั่วโลกเมื่อวันอังคารที่ 27 มิถุนายนที่ผ่านมา ไม่ว่าจะเป็นบริษัท ISP ธนาคาร โรงกลั่นน้ำมัน หรือโรงไฟฟ้า ทั้งในรัสเซีย ยูเครน อินเดีย ยุโรป และสหรัฐฯ โดยเรียกร้องเงินค่าไถ่เป็นจำนวน $300 หรือประมาณ 10,200 บาทผ่าน Bitcoin

อย่างไรก็ตาม ผลการวิเคราะห์ Ransomware ล่าสุดของ Comar Technologies กลับระบุว่า Petya ไม่ใช่ Ransomware แต่อย่างใด เนื่องจากไม่ได้ถูกออกแบบมาให้คืนสิทธิ์การเข้าใช้ระบบคอมพิวเตอร์แก่ผู้ใช้ ต่อให้จ่ายค่าไถ่แก่แฮ็คเกอร์ไปแล้วก็ตาม จึงเรียกได้ว่าเป็น Wiper Malware หรือมัลแวร์สำหรับทำลายข้อมูลมากกว่า นอกจากนี้ พวกเขายังเชื่อว่า การที่แฮ็คเกอร์ใช้ Petya ทำตัวเหมือน Ransomware ก็เพื่อหันเหความสนใจของสื่อให้พุ่งตรงประเด็นไปที่การแพร่ระบาดเหมือน WannaCry เพื่อปกปิดความจริงที่ว่าเป็นการโจมตีประเทศยูเครนโดยไม่หน่วยงานรัฐหนุนหลัง (State-sponsored Attack)

Petya ต่างจาก Ransomware ทั่วไปตรงที่ไม่ได้เข้ารหัสไฟล์ข้อมูล แต่ใช้วิธีรีบูตอุปกรณ์คอมพิวเตอร์ของผู้ใช้เพื่อเข้ารหัส Master File Table (MFT) ของฮาร์ดดิสก์ และเขียนทับ Master Boot Record (MBR) เพื่อให้ใช้งานไม่ได้ ส่งผลให้ผู้ใช้ไม่สามารถเข้าถึงระบบปฏิบัติการได้เนื่องจากคอมพิวเตอร์ไม่ทราบว่า OS อยู่ใน Partition ใด และจะเริ่มต้นการทำงานอย่างไร

โดยปกติแล้ว Petya เวอร์ชันแรกจะทำการคัดลอก MBR มาเก็บไว้ เพื่อที่จะได้กู้ข้อมูลกลับคืนมาได้หลังเหยื่อจ่ายค่าไถ่ แต่ Petya สายพันธุ์ใหม่นี้ไม่ได้เก็บ MBR ต้นฉบับไว้แต่อย่างใด ซึ่งไม่แน่ใจว่าแฮ็คเกอร์จงใจหรือไม่ตั้งใจกันแน่ ส่งผลให้ต่อให้เหยื่อจ่ายค่าไถ่ก็ไม่สามารถกลับเข้าไปใช้ระบบคอมพิวเตอร์ได้ นอกจากนี้ หลังจากที่เครื่องติด Petya แล้ว มันจะทำการสแกนระบบเครือข่ายภายใน และแพร่กระจายตัวไปยังเครื่องอื่นๆ โดยใช้ช่องโหว่ EternalBlue, WMIC และ PsExec

จนถึงตอนนี้ มีเหยื่อยอมจ่ายค่าไถ่แล้วประมาณ 45 คน คิดเป็นเงินประมาณ $10,500 (ประมาณ 360,000 บาท) อย่างไรก็ตาม เหยื่อกลับไม่สามารถปลดล็อกระบบคอมพิวเตอร์ของตนเองได้ ทั้งนี้อีกหนึ่งสาเหตุที่สำคัญคือ ISP ของประเทศเยอรมนีได้ทำการบล็อกอีเมลของแฮ็คเกอร์ที่ใช้ติดต่อกับเหยื่อและส่งกุญแจสำหรับใช้ปลดรหัส หลังจากที่เริ่มมีการแพร่ระบาด ดังนั้น ถ้าติด Petya ไม่แนะนำให้จ่ายค่าไถ่โดยเด็ดขาด

รายละเอียดเพิ่มเติม: https://blog.comae.io/petya-2017-is-a-wiper-not-a-ransomware-9ea1d8961d3b

ที่มา: http://thehackernews.com/2017/06/petya-ransomware-wiper-malware.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ฟรี eBook: Privileged Access Cloud Security for Dummies

Delinea ผู้ให้บริการโซลูชัน Privileged Access Management (PAM) ชั้นนำของโลก ออก eBook เรื่อง “Privileged Access Cloud Security for …

Zoom ออกแพตช์เวอร์ชัน 5.10.0 แก้ไขช่องโหว่ XMPP

โดยทีมนักวิจัยของ Google Project Zero ได้ตรจพบช่องโหว่หลายรูปแบบที่ XML อยู่ใน Zoom Client และ Server เมื่อเดือนกุมภาพันธ์ และในวันที่ 24 เมษายน …