Breaking News

Satana Ransomware แบบ 2-in-1 เข้ารหัสไฟล์และล็อคเครื่องคอมพิวเตอร์

malwarebytes_logo_2

Malwarebytes ผู้ให้บริการโซลูชัน Anti-malware และ Anti-exploit ชื่อดัง ออกมาเปิดเผยถึง Ransomware ตัวใหม่บน Windows ซึ่งนอกจากจะเข้ารหัสไฟล์ข้อมูลบนเครื่องแล้ว ยังเข้ารหัส Master Boot Record (MBR) อีกด้วย ส่งผลให้เหยื่อไม่สามารถเข้าใช้ระบบปฏิบัติการได้ Ransomware ตัวนี้มีชื่อว่า “Satana” ซึ่งมาจากคำว่า “Satan” นั่นเอง

Ransomware ตัวที่ 2 ที่โจมตี Master Boot Record

Satana นับเป็น Ransomware ตัวที่สองที่เข้าโจมตี MBR ต่อจาก Petya Ransomware ที่ปรากฏโฉมเมื่อเดือนมีนาคมที่ผ่านมา แต่ต่างกันตรงที่ Petya จะเขียนทับ MBR เพื่อให้คอมพิวเตอร์รีสตาร์ทตัวเอง แล้วเข้ารหัส Master File Table (MFT) ส่งผลให้ OS ไม่ทราบว่าไฟล์เก็บอยู่ที่ส่วนใดของ HDD ในขณะที่ Satana จะเข้ารหัส MBR และแทนที่ด้วยโค้ดของมันเอง เพื่อให้สามารถ Restore MBR คืนหลังจากที่ได้ค่าไถ่โดยง่าย อย่างไรก็ตาม โค้ดที่เขียนทับ MBR ก็ส่งผลให้อุปกรณ์ไม่สามารถบูต OS ได้อยู่ดี

เข้ารหัสไฟล์ข้อมูลและล็อคคอมพิวเตอร์พร้อมๆ กัน

เดือนพฤษภาคมที่ผ่านมา มีข่าวว่า Petya ได้ร่วมมือกับ Mischa Ransomware อีกตัวหนึ่ง ส่งผลให้เหยื่อจะถูกเข้ารหัสไฟล์ข้อมูลแทน ในกรณีที่ไม่มีสิทธิ์ระดับสูงเพียงพอที่จะโจมตี MBR และเข้ารหัส MFT แต่ Satana เหนือล้ำขึ้นไปกว่านั้น โดยมันเริ่มต้นเข้ารหัสไฟล์ข้อมูลบนเครื่องคอมพิวเตอร์ก่อน จากนั้นจะรอจนกว่าเหยื่อจะรีบูตคอมพิวเตอร์ใหม่ แล้วจัดการเข้ารหัส MBR และแทนที่ด้วยโค้ดของตนเอง เสร็จแล้วถึงจะแสดงข้อความเรียกค่าไถ่เป็นจำนวนเงิน 0.5 Bitcoin หรือประมาณ 12,000 บาท

satana_ransomware_1

ไฟล์ที่ถูกเข้ารหัสจะอยู่ในรูปของ EMAIL___FILENAME.EXTENSION เช่น Sarah_G@ausi.com___test.jpg ซึ่งอีเมลด้านหน้าแสดงถึงช่องทางที่เหยื่อจะต้องติดต่อกลับเพื่อจ่ายค่าไถ่แลกกับกุญแจถอดรหัส รายชื่ออีเมลทั้งหมดที่ค้นพบจนถึงตอนนี้ประกอบด้วย

  • Gricakova@techemail.com
  • ryanqw31@gmail.com
  • Sarah_G@ausi.com
  • rayankirr@gmail.com
  • matusik11@techemail.com
  • megrela777@gmail.com

ที่แย่คือ จนถึงตอนนี้ยังไม่มี Decrypter ใดที่สามารถปลดรหัส Satana Ransomware ได้ ผู้ใช้บางคนอาจสามารถแก้ไข MBR ให้กลับมาใช้งานได้ผ่านทาง Windows Recovery Options ซึ่งจำเป็นต้องมีความรู้เรื่อง Command Line และ Bootrec.exe แต่คงเกินขอบเขตของคนปกติทั่วไป

ที่มา: http://www.networkworld.com/article/3091029/new-satana-ransomware-encrypts-user-files-and-master-boot-record.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Fortinet เปิดตัว FortiGate E-Series ระดับ High-end ใหม่ 3 รุ่น

Fortinet ประกาศเปิดตัว FortiGate E-Series 3 รุ่นใหม่ ได้แก่ 3300E, 2200E และ 1100E ชูจุดเด่นด้านประสิทธิภาพของ Threat Protection และ …

Gartner ออกรายงาน Magic Quadrant ทางด้าน Meeting Solutions ปี 2019 Cisco ยังคงครองอันดับ 1

Gartner บริษัทวิจัยและที่ปรึกษาชื่อดังจากสหรัฐฯ ออกรายงาน Magic Quadrant สำหรับ Meeting Solutions ประจำปี 2019 ผลปรากฏว่า Cisco ครองตำแหน่ง Leader อันดับหนึ่งทั้งทางด้าน …