Breaking News
AMR | Citrix Webinar: The Next New Normal

Satana Ransomware แบบ 2-in-1 เข้ารหัสไฟล์และล็อคเครื่องคอมพิวเตอร์

malwarebytes_logo_2

Malwarebytes ผู้ให้บริการโซลูชัน Anti-malware และ Anti-exploit ชื่อดัง ออกมาเปิดเผยถึง Ransomware ตัวใหม่บน Windows ซึ่งนอกจากจะเข้ารหัสไฟล์ข้อมูลบนเครื่องแล้ว ยังเข้ารหัส Master Boot Record (MBR) อีกด้วย ส่งผลให้เหยื่อไม่สามารถเข้าใช้ระบบปฏิบัติการได้ Ransomware ตัวนี้มีชื่อว่า “Satana” ซึ่งมาจากคำว่า “Satan” นั่นเอง

Ransomware ตัวที่ 2 ที่โจมตี Master Boot Record

Satana นับเป็น Ransomware ตัวที่สองที่เข้าโจมตี MBR ต่อจาก Petya Ransomware ที่ปรากฏโฉมเมื่อเดือนมีนาคมที่ผ่านมา แต่ต่างกันตรงที่ Petya จะเขียนทับ MBR เพื่อให้คอมพิวเตอร์รีสตาร์ทตัวเอง แล้วเข้ารหัส Master File Table (MFT) ส่งผลให้ OS ไม่ทราบว่าไฟล์เก็บอยู่ที่ส่วนใดของ HDD ในขณะที่ Satana จะเข้ารหัส MBR และแทนที่ด้วยโค้ดของมันเอง เพื่อให้สามารถ Restore MBR คืนหลังจากที่ได้ค่าไถ่โดยง่าย อย่างไรก็ตาม โค้ดที่เขียนทับ MBR ก็ส่งผลให้อุปกรณ์ไม่สามารถบูต OS ได้อยู่ดี

เข้ารหัสไฟล์ข้อมูลและล็อคคอมพิวเตอร์พร้อมๆ กัน

เดือนพฤษภาคมที่ผ่านมา มีข่าวว่า Petya ได้ร่วมมือกับ Mischa Ransomware อีกตัวหนึ่ง ส่งผลให้เหยื่อจะถูกเข้ารหัสไฟล์ข้อมูลแทน ในกรณีที่ไม่มีสิทธิ์ระดับสูงเพียงพอที่จะโจมตี MBR และเข้ารหัส MFT แต่ Satana เหนือล้ำขึ้นไปกว่านั้น โดยมันเริ่มต้นเข้ารหัสไฟล์ข้อมูลบนเครื่องคอมพิวเตอร์ก่อน จากนั้นจะรอจนกว่าเหยื่อจะรีบูตคอมพิวเตอร์ใหม่ แล้วจัดการเข้ารหัส MBR และแทนที่ด้วยโค้ดของตนเอง เสร็จแล้วถึงจะแสดงข้อความเรียกค่าไถ่เป็นจำนวนเงิน 0.5 Bitcoin หรือประมาณ 12,000 บาท

satana_ransomware_1

ไฟล์ที่ถูกเข้ารหัสจะอยู่ในรูปของ EMAIL___FILENAME.EXTENSION เช่น Sarah_G@ausi.com___test.jpg ซึ่งอีเมลด้านหน้าแสดงถึงช่องทางที่เหยื่อจะต้องติดต่อกลับเพื่อจ่ายค่าไถ่แลกกับกุญแจถอดรหัส รายชื่ออีเมลทั้งหมดที่ค้นพบจนถึงตอนนี้ประกอบด้วย

  • Gricakova@techemail.com
  • ryanqw31@gmail.com
  • Sarah_G@ausi.com
  • rayankirr@gmail.com
  • matusik11@techemail.com
  • megrela777@gmail.com

ที่แย่คือ จนถึงตอนนี้ยังไม่มี Decrypter ใดที่สามารถปลดรหัส Satana Ransomware ได้ ผู้ใช้บางคนอาจสามารถแก้ไข MBR ให้กลับมาใช้งานได้ผ่านทาง Windows Recovery Options ซึ่งจำเป็นต้องมีความรู้เรื่อง Command Line และ Bootrec.exe แต่คงเกินขอบเขตของคนปกติทั่วไป

ที่มา: http://www.networkworld.com/article/3091029/new-satana-ransomware-encrypts-user-files-and-master-boot-record.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

CU Webinar: ขานรับการเติบโตของข้อมูล และการจัดการ Storage แบบง่ายๆ ด้วย IBM FlashSystem

TechTalkThai ขอเรียนเชิญ IT Manager, Data Center Engineer, ผู้ดูแลระบบ IT, และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "ขานรับการเติบโตของข้อมูล และการจัดการ Storage แบบง่ายๆ ด้วย IBM FlashSystem" เพื่ออัปเดตเทคโนโลยีล่าสุดของ Flash Storage และเครื่องมือที่น่าสนใจสำหรับนำไปใช้เพื่อรองรับงานทางด้าน AI, Analytics, SAP HANA และ Red Hat OpenShift ในวันอังคารที่ 16 มิถุนายน 2020 เวลา 10.30 – 12.00 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

Aruba ขอเชิญร่วมสัมมนาออนไลน์ฟรี ATM Digital 18 มิ.ย. 2020 พร้อมเนื้อหาภาษาไทยทุกหัวข้อ

Aruba ขอเชิญ CIO, CTO, IT Manager, Network Engineer, ผู้ดูแลระบบ IT และผู้ที่สนใจทุกท่าน เข้าร่วมงานสัมมนาออนไลน์ฟรี ATM Digital งานสัมมนาใหญ่ประจำปีที่จะอัปเดตทุกเทคโนโลยีของ Aruba พร้อมแขกรับเชิญจาก WIRED และ SpaceX โดยเนื้อหาทั้งหมดจะมี Subtitle ภาษาไทย ในวันที่ 18 มิถุนายน 2020 เวลา 9.00น. - 13.00น. โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมงานฟรีดังนี้