Cybercrime Malware Ransomware

ทุกอย่างที่คุณต้องรู้เกี่ยวกับโปรแกรมเรียกค่าไถ่ตัวล่าสุด Petya

โปรแกรมเรียกค่าไถ่ Petya รีวิวมัลแวร์อย่างละเอียด

การโจมตีโดยโปรแกรมเรียกค่าไถ่ครั้งล่าสุด Petya Ransomware หรือในชื่อที่ ESET ตรวจจับได้คือ Win32/Diskcoder.C มีเป้าหมายเป็นระบบคอมพิวเตอร์ที่ไม่อัพเดต และการรักษาความปลอดภัยที่ไม่เพียงพอ

คุณลักษณะเฉพาะตัวของ Petya Ransomware

  • เข้ารหัส(ล็อค): เข้ารหัสไฟล์ตามนามสกุลไฟล์ที่แฮกเกอร์กำหนด และเข้ารหัส Master Boot Record (MBR)
  • การแพร่กระจาย: Petya มีความสามารถในการคัดลอกตัวเองเหมือนกับ Worm
  • การเจาะระบบ: ใช้วิธีเดียวกับ WannaCry คือเจาะระบบผ่าน SMBv1 ที่ยังไม่ได้อัพเดตแพทช์แก้ไข

Petya รุนแรงเหมือน WannaCry หรือไม่?

ทั้ง Petya และ WannaCry มีความสามารถใกล้เคียงกัน แต่ Diskcoder.C ของ Petya นอกจากเข้ารหัสไฟล์ในระบบ เมื่อผู้ใช้รีสตาร์ทเครื่อง Petya จะล็อคระบบปฏิบัติการด้วย ทำให้ผู้ใช้จะต้องติดตั้งระบบปฏิบัติการใหม่

วิธีการแพร่กระจายเดียวกับ WannaCry

โปรแกรมเรียกค่าไถ่ Petya ใช่ช่องโหว่ EternalBlue เหมือนกับ WannaCryptor แต่แฮกเกอร์ยังเพิ่มวิธีการแพร่กระจายผ่านเครื่องมือของ Windows อย่าง PsExec และ Windows Management Instrumentation Command-line (WMIC)

Petya และ Mischa เกี่ยวข้องกันอย่างไร?

เหตุผลที่ Mischa เข้ามาร่วมในวงสนทนานั่นคงเป็นเพราะความสามารถในการล็อคระบบปฏิบัติการในส่วนของ Master Boot Record (MBR) และเข้ารหัสข้อมูล แต่ความแตกต่างระหว่าง Petya และ Mischa คงเป็นกระบวนการและเทคนิคเท่านั้น

mischa-y-petya-768x569

การทำงานของ Petya

หลังจากที่มัลแวร์เริ่มทำงาน จะตั้งเวลาปิดเครื่องภายใน 1 ชั่วโมง

diskcoder-768x444

ต่อมาโปรแกรมจะหาโฟลเดอร์หรือดิสก์ที่มัลแวร์สามารถแพร่กระจายได้ ถ้าพบมัลแวร์จะใช้ WMIC เพื่อเปิดซอฟต์แวร์อันตรายบนเครื่อง

diskcoder-procesos

ต่อมาจะโปรแกรมจะเริ่มเข้ารหัสไฟล์นามสกุลตามที่แฮกเกอร์เขียนเอาไว้ แต่ Win32/Diskcoder.C จะไม่เปลี่ยนหรือเพิ่มนามสกุลไฟล์ของเหยื่อเหมือนกับโปรแกรมเรียกค่าไถ่อื่นๆ

โดยนามสกุลไฟล์ที่โปรแกรมเรียกค่าไถ่จะทำการเข้ารหัสมีดังนี้

diskcoder-extensiones-cifrar-768x132

ท้ายที่สุดมัลแวร์จำดำเนินการลบร่องรอยกิจกรรมและรองรอยตัวเองออกจากคอมพิวเตอร์เครื่องนั้น เห็นได้จากภาพถ่ายหน้าจอด้านล่าง:

diskcoder-comando-768x601

วิธีป้องกัน

ติดตั้งโปรแกรมแอนตี้ไวรัส

ติดตั้งโปรแกรมแอนตี้ไวรัสบนคอมพิวเตอร์ที่บ้าน และที่ทำงาน และไม่ลืมที่จะอัพเดตระบบรักษาความปลอดภัย

บล็อคไฟล์นามสกุล EXE

บล็อคการทำงานไฟล์นามสกุล EXE ใน %AppData% และ %Temp% และปิดการทำงานเซอร์วิสของ SMBv1

สังเกตการณ์เครือข่าย

ตรวจสอบการทำงานของเครือข่าย การตั้งค่า และคอยดูทราฟฟิคและพฤติกรรมน่าสงสัยภายในเครือข่าย

สำรองข้อมูลสำคัญ

คัดลอกข้อมูลสำคัญของคุณและองค์กรไว้ในพื้นที่ที่ไม่มีการเชื่อมต่อกับอินเตอร์เน็ต อย่างฮาร์ดดิสก์ แฟลชไดร์ฟ หรือเซิร์ฟเวอร์คลาวด์ เพื่อใช้ฟื้นฟูหลังจากโดนโปรแกรมเรียกค่าไถ่เล่นงาน

แฮกเกอร์รับเงินด้วยช่องทางไหน?

ทันทีที่การเข้ารหัสหรือล็อคไฟล์สำเร็จ Win32/Dishcoder.C จะส่งรายละเอียดการชำระเงินเป็นบิทคอยน์ผ่านหน้า BIOS ในกรณีของ Petya ค่าไถ่อยู่ที่ 300 ดอลล่าร์แปลงเป็นบิทคอยน์

diskcoder-rescate

ทำไมการเรียกค่าไถ่ถึงเกิดขึ้นบ่อย?

ผู้ใช้ส่วนมากไม่ทันได้ระวังภัยคุกคามบนโลกออนไลน์มากเท่าไหร่นัก และไม่มีความรู้ในการรับมือเมื่อต้องเผชิญด้วยตัวเอง นี่เป็นเหตุผลที่ทำให้การเรียกค่าไถ่ยังคงเกิดขึ้นอยู่เรื่อยๆ

เมื่อรวมกันการรักษาความปลอดภัยที่ไม่เพียงพอ แฮกเกอร์สามารถหาช่องโหว่ของระบบได้อย่างง่ายดาย และออกแบบมัลแวร์ที่สามารถสร้างความเสียหายได้ง่ายขึ้น

แฮกเกอร์ที่อยู่เบื้องหลังมีคนเดียว?

เป็นไปไม่ได้ที่คนเพียงคนเดียวจะอยู่เบื้องหลังการโจมตีนี้ ด้วยธรรมชาติของ Win32/Diskcoder.C ที่มีทั้งการเจาะระบบ แพร่กระจาย เข้ารหัส และการหลีกเลี่ยงการตรวจจับ แต่เราก็ไม่สามารถคาดการณ์จำนวนผู้ที่อยู่เบื้องหลังได้ แต่ไม่ว่าอย่างไรต้องมีมากกว่า 1 คนแน่นอน

เป็นไปได้หรือไม่ที่จะหาตัวคนร้าย?

ยังไม่ใช่ในตอนนี้ เช่นเดียวกับบอทเน็ตการวาวดึงตัวการแทบจะเป็นไปไม่ได้ และยิ่งเป็นเซิร์ฟเวอร์ต่างประเทศ ที่ควบคุมและเข้าถึงโดย TOR สำหรับช่องทางการชำระเงินที่เป็น Bitcoins ก็ไม่สามารถหาปลายทางได้เช่นเดียวกัน

Author: DIEGO PEREZ
Source:
https://www.welivesecurity.com/2017/07/06/everything-need-know-latest-variant-petya/
Translated by: Worapon H.

%d bloggers like this: