พบ Ransomware ใหม่ เขียนทับ MBR ล็อกไม่ให้เหยื่อใช้คอมพิวเตอร์

trend_micro_logo_h50

Trend Micro ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยชั้นนำของโลก ได้ออกมาเปิดเผยถึง Ransomware หรือมัลแวร์เรียกค่าไถ่รูปแบบใหม่ ที่ไม่ได้เข้ารหัสไฟล์อีกต่อไป แต่ทำการเขียนทับ Master Boot Record (MBR) เพื่อไม่ให้เครื่องของเหยื่อบูท OS ได้ พร้อมเรียกค่าไถ่ในการปลดล็อคเพื่อเข้าใช้คอมพิวเตอร์ Trend Micro เรียกมัลแวร์ตัวนี้ว่า Petya Ransomware

Credit: Macrovector/ShutterStock
Credit: Macrovector/ShutterStock

แพร่กระจายผ่านอีเมลในรูปของจดหมายสมัครงาน

Trend Micro ระบุว่า Petya จะแพร่กระจายตัวผ่าน Spam Emails โดยจ่าหน้าเป็นเรื่องการสมัครงาน และภายในอีเมลจะแนบลิงค์ให้ดาวน์โหลดไฟล์ ZIP ซึ่งระบุว่าเป็น Resume และรูปภาพ ถ้า HR หรือผู้ที่เกี่ยวข้องเผลอดาวน์โหลดและดับเบิลคลิ้กเพื่อแตกไฟล์ ZIP ดังกล่าว Petya Ransomware จะถูกติดตั้งลงบนเครื่องทันที

เขียนโค้ดทับ MBR ส่งผลให้เกิด Blue Screen of Death

เมื่อติดตั้งตัวเองลงบนเครื่องแล้ว Petya จะทำการเขียนทับ MBR ซึ่งเป็นโค้ดที่เก็บอยู่ในส่วนแรกสุดของ HDD มีหน้าที่เก็บข้อมูลเกี่ยวกับ Partition ของ HDD และเริ่มต้นการทำงานของ OS Boot Loader ถ้า MBR มีปัญหาจะส่งผลให้คอมพิวเตอร์ไม่ทราบว่า OS อยู่ใน Partition ใด และจะเริ่มต้นการทำงานอย่างไร ซึ่งหลังจากที่ MBR ถูก Petya เขียนทับแล้ว จะทำให้คอมพิวเตอร์เกิดความผิดพลาดขึ้นจนต้องรีบูท หรือที่รู้จักกันดีในนาม “Blue Screen of Death”

เข้ารหัส MFT เพื่อไม่ให้ OS ทราบว่าไฟล์ถูกเก็บไว้ที่ใด

หลังจากที่รีบูทใหม่ โค้ด MBR ที่ถูกเขียนใหม่จะแสดงการตรวจสอบ HDD ปลอมๆ ขึ้นมา ที่เรามักจะเห็นหลังจากที่ HDD เกิดความผิดปกติ หรือปิดเครื่องโดยไม่ Shutdown ให้เรียบร้อย แท้ที่จริงแล้ว ระหว่างกระบวนการนี้ Petya จะทำการเข้ารหัส Master File Table (MFT) ซึ่งเป็นไฟล์พิเศษบน NTFS Partitions ที่ทำหน้าที่เก็บข้อมูลเกี่ยวกับไฟล์อื่นๆ เช่น ชื่อไฟล์ ขนาด และการแม็บตัวไฟล์เข้ากับส่วนของ HDD ส่งผลให้ OS ไม่ทราบว่าไฟล์ทั้งหลายถูกเก็บอยู่ที่ส่วนใดของ HDD อีกต่อไป

เรียกค่าไถ่ 0.99 Bitcoins

เมื่อเข้ารหัสไฟล์ MFT เสร็จเรียบร้อยแล้ว โค้ด MBR จะทำการแสดงผลข้อความเรียกค่าไถ่ที่มาพร้อมกับรูปหัวกะโหลกที่วาดโดยตัวอักษร ASCII ซึ่งข้อความดังกล่าวจะแนะนำให้ผู้ใช้เข้าถึงเว็บไซต์สำหรับปลดรหัสของแฮ็คเกอร์ผ่านทางเครือข่าย Tor และให้ชำระค่าไถ่เป็นจำนวนเงิน 0.99 BTC หรือประมาณ 15,000 บาท

petya_ransomware

อาจกู้ไฟล์คืนได้โดยใช้โปรแกรม Data Recovery

Trend Micro ระบุว่า Petya Ransomware นี้กำลังแพร่กระจายอย่างหนักในประเทศเยอรมนี ซึ่งคาดว่าจะเริ่มแพร่กระจายไปยังทั่วโลกเร็วๆนี้ อย่างไรก็ตาม ข่าวดีคือ Petya ไม่ได้เข้ารหัสไฟล์ข้อมูลจริงๆ แต่เป็นการเข้ารหัส MFT ซึ่งเก็บตำแหน่งของไฟล์ข้อมูลบน HDD ส่งผลให้สามารถกู้ไฟล์คืนโดยใช้โปรแกรมจำพวก Data Recovery ได้ แต่ก็อาจจะต้องเสียเวลานานพอสมควร

ที่มา: http://www.csoonline.com/article/3048319/security/petya-ransomware-overwrites-mbrs-locking-users-out-of-their-computers.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Collaboration Platform: หัวใจสำคัญสำหรับการทำ Digital Transformation ของธุรกิจหลากหลายอุตสาหกรรม

ทีมงาน TechTalkThai ได้มีโอกาสพูดคุยกับคุณสาธิต พันธ์ไพศาล ผู้ดำรงตำแหน่ง Country Manager แห่ง Alcatel-Lucent Enterprise Thailand ถึงประเด็นเรื่องแนวโน้มด้านการทำ Digital Transformation ของธุรกิจไทยและในเอเชียตะวันออกเฉียงใต้ ที่หลายธุรกิจนั้นต้องเริ่มสร้าง Collaboration Platform สำหรับใช้เป็นช่องทางในการสื่อสารทั้งภายในองค์กรและกับลูกค้าภายนอกองค์กรขึ้นมาเอง เพื่อควบคุมการสร้างประสบการณ์ในการสื่อสารและให้บริการที่ดี รวมถึงตอบโจทย์ด้าน Data Privacy ที่กำลังกลายเป็นประเด็นสำคัญในหลายๆ ประเทศในยามนี้

[Guest Post] โปรโมชั่น Veritas Backup Exec (VBE) “Cheaper price Guarantee”

Veritas จัดโปรโมชั่นพิเศษสุดๆ รับประกันถูกชัวร์ 100% สำหรับลูกค้าทุกท่าน เพียงนำใบเสนอราคาหรือ PO ของคู่แข่ง มาแลกซื้อ Backup Exec แบบ Capacity Edition หรือ V-Ray Edition ได้ในราคาต่ำกว่า คู่แข่ง อย่างต่ำ 100 บาท จากตัวแทนจำหน่าย ที่ร่วมรายการ **** ฟรี ติดตั้ง Backup Exec แบบรีโมท **** **** ฟรี บริการ ถาม-ตอบ ปัญหาด้านเทคนิค โดยตรงกับผู้เชี่ยวขาญคนไทย