พบ Ransomware ใหม่ เขียนทับ MBR ล็อกไม่ให้เหยื่อใช้คอมพิวเตอร์

trend_micro_logo_h50

Trend Micro ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยชั้นนำของโลก ได้ออกมาเปิดเผยถึง Ransomware หรือมัลแวร์เรียกค่าไถ่รูปแบบใหม่ ที่ไม่ได้เข้ารหัสไฟล์อีกต่อไป แต่ทำการเขียนทับ Master Boot Record (MBR) เพื่อไม่ให้เครื่องของเหยื่อบูท OS ได้ พร้อมเรียกค่าไถ่ในการปลดล็อคเพื่อเข้าใช้คอมพิวเตอร์ Trend Micro เรียกมัลแวร์ตัวนี้ว่า Petya Ransomware

Credit: Macrovector/ShutterStock
Credit: Macrovector/ShutterStock

แพร่กระจายผ่านอีเมลในรูปของจดหมายสมัครงาน

Trend Micro ระบุว่า Petya จะแพร่กระจายตัวผ่าน Spam Emails โดยจ่าหน้าเป็นเรื่องการสมัครงาน และภายในอีเมลจะแนบลิงค์ให้ดาวน์โหลดไฟล์ ZIP ซึ่งระบุว่าเป็น Resume และรูปภาพ ถ้า HR หรือผู้ที่เกี่ยวข้องเผลอดาวน์โหลดและดับเบิลคลิ้กเพื่อแตกไฟล์ ZIP ดังกล่าว Petya Ransomware จะถูกติดตั้งลงบนเครื่องทันที

เขียนโค้ดทับ MBR ส่งผลให้เกิด Blue Screen of Death

เมื่อติดตั้งตัวเองลงบนเครื่องแล้ว Petya จะทำการเขียนทับ MBR ซึ่งเป็นโค้ดที่เก็บอยู่ในส่วนแรกสุดของ HDD มีหน้าที่เก็บข้อมูลเกี่ยวกับ Partition ของ HDD และเริ่มต้นการทำงานของ OS Boot Loader ถ้า MBR มีปัญหาจะส่งผลให้คอมพิวเตอร์ไม่ทราบว่า OS อยู่ใน Partition ใด และจะเริ่มต้นการทำงานอย่างไร ซึ่งหลังจากที่ MBR ถูก Petya เขียนทับแล้ว จะทำให้คอมพิวเตอร์เกิดความผิดพลาดขึ้นจนต้องรีบูท หรือที่รู้จักกันดีในนาม “Blue Screen of Death”

เข้ารหัส MFT เพื่อไม่ให้ OS ทราบว่าไฟล์ถูกเก็บไว้ที่ใด

หลังจากที่รีบูทใหม่ โค้ด MBR ที่ถูกเขียนใหม่จะแสดงการตรวจสอบ HDD ปลอมๆ ขึ้นมา ที่เรามักจะเห็นหลังจากที่ HDD เกิดความผิดปกติ หรือปิดเครื่องโดยไม่ Shutdown ให้เรียบร้อย แท้ที่จริงแล้ว ระหว่างกระบวนการนี้ Petya จะทำการเข้ารหัส Master File Table (MFT) ซึ่งเป็นไฟล์พิเศษบน NTFS Partitions ที่ทำหน้าที่เก็บข้อมูลเกี่ยวกับไฟล์อื่นๆ เช่น ชื่อไฟล์ ขนาด และการแม็บตัวไฟล์เข้ากับส่วนของ HDD ส่งผลให้ OS ไม่ทราบว่าไฟล์ทั้งหลายถูกเก็บอยู่ที่ส่วนใดของ HDD อีกต่อไป

เรียกค่าไถ่ 0.99 Bitcoins

เมื่อเข้ารหัสไฟล์ MFT เสร็จเรียบร้อยแล้ว โค้ด MBR จะทำการแสดงผลข้อความเรียกค่าไถ่ที่มาพร้อมกับรูปหัวกะโหลกที่วาดโดยตัวอักษร ASCII ซึ่งข้อความดังกล่าวจะแนะนำให้ผู้ใช้เข้าถึงเว็บไซต์สำหรับปลดรหัสของแฮ็คเกอร์ผ่านทางเครือข่าย Tor และให้ชำระค่าไถ่เป็นจำนวนเงิน 0.99 BTC หรือประมาณ 15,000 บาท

petya_ransomware

อาจกู้ไฟล์คืนได้โดยใช้โปรแกรม Data Recovery

Trend Micro ระบุว่า Petya Ransomware นี้กำลังแพร่กระจายอย่างหนักในประเทศเยอรมนี ซึ่งคาดว่าจะเริ่มแพร่กระจายไปยังทั่วโลกเร็วๆนี้ อย่างไรก็ตาม ข่าวดีคือ Petya ไม่ได้เข้ารหัสไฟล์ข้อมูลจริงๆ แต่เป็นการเข้ารหัส MFT ซึ่งเก็บตำแหน่งของไฟล์ข้อมูลบน HDD ส่งผลให้สามารถกู้ไฟล์คืนโดยใช้โปรแกรมจำพวก Data Recovery ได้ แต่ก็อาจจะต้องเสียเวลานานพอสมควร

ที่มา: http://www.csoonline.com/article/3048319/security/petya-ransomware-overwrites-mbrs-locking-users-out-of-their-computers.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

CISA พบบั๊ก Microsoft Outlook เพื่อโจมตี RCE ระบาดหนัก แนะเร่งอัปเดต

CISA ได้แจ้งเตือนหน่วยงานรัฐบาลกลางสหรัฐเพื่อให้ป้องกันระบบไอทีจากช่องโหว่ภายใน Microsoft Outlook ที่พบตั้งแต่ปีที่แล้วซึ่งอาจนำไปสู่การโจมตี Remote Code Execution (RCE) ได้นั้นกำลังระบาดหนัก แนะนำให้เร่งอัปเดตโดยเร่งด่วน

Amazon RDS for Oracle พร้อมสนับสนุน January 2025 Release Update แล้ว

องค์กรที่ใช้งาน Amazon RDS for Oracle ล่าสุด AWS ได้ประกาศความพร้อมให้บริการ January 2025 Release Update (RU) สำหรับฐานข้อมูล Oracle …