คือ หลังจากที่เราโกลาหลไปกับ WannaCry ไปรอบหนึ่งแล้ว มางานนี้ก็ต้องปวดหัวซ้ำสองกับตัว Ransomware ที่เปรียบเสมือนเหล้าเก่าในขวดใหม่ นั่นก็คือเจ้า Petya
จากรายงานของแหล่งข่าวจากที่ต่างๆ พบว่า Petya Ransomware นั้นซึ่งบางทีก็รู้จักในนาม Petwrap นั้นแพร่กระจายอย่างรวดเร็ว ใช้หลักการเดียวกับตัว WannaCry คือช่องโหว่ Windows SMBv1 ซึ่งทำให้เครื่องเซิร์ฟเวอร์กว่า 300,000 ระบบล่มอย่างรวดเร็ว
คือ Petya นั้นเป็นแรนซั่มแวร์ที่ทำงานแตกต่างจากแรนซั่มแวร์ตัวอื่นตรงที่มันจะไม่เข้ารหัสไฟล์บนเครื่องเป้าหมาย แต่มันจะรีบูตเครื่องเหยื่อและทำการเข้ารหัสตัว MFT (Master file table) ในไดรฟ์ และทำการจัดการกับตัวบูตเรคคอร์ด (MBR) และป้องกันการเข้าถึงระบบจากทุกทางโดยการยึดข้อมูลเกี่ยวกับทุกอย่างบนดิสก์ไม่ว่าจะเป็นชื่อไล์, ขนาด และตำแหน่ง !!!!
แหล่งข้อมูลต่างๆ ที่เรารวบรวมมาอาทิ เทรนด์ไมโคร ก็ได้สรุปข้อมูลที่น่าสนใจผ่านทาง TrendLabs มาให้ทราบคร่าวๆ เช่น
– แรนซัมแวร์อาศัยช่องโหว่ EternalBlue (แนวทางเดียวกันกับที่ WannaCryใช้) เป็นทางเข้าและ ใช้ สิทธิ PsExec ของวินโดวส์อย่างถูกต้องผ่านการตรวจสกัดเพื่อแพร่กระจายตัวเอง
– Petya ทำการเข้ารหัสฮาร์ดดิสก์ MFT และเปลี่ยนแปลง Master Boot Record (MBR) ไม่ให้เปิดได้ และใส่คำสั่งในแสดงข้อเรียกร้อง การไถ่คืนแบบฉบับแรนซัมแวร์ตัวจริง!
ซึ่งเทรนด์ไมโคร ยังให้คำแนะนำ ที่ช่วยลดความเสี่ยงได้จริง! ดังนี้
1. ลงแพทช์ MS17-010 เพราะช่องทางเข้ามันมีรู จำเป็นต้องปิดที้สุด
2. ปิดพอร์ต TCP port 445
3. จำกัดสิทธิบัญชีแอดมินในการเข้าใช้ สำหรับลูกค้าเทรนด์ไมโคร สามารถอ้างอิงข้อมูลเพิ่มเติมได้ที่ https://success.trendmicro.com/solution/1117665
ด้าน Juniper ก็ตรวจพบภัยดังกล่าวในลักษณะเดียวกัน และก็ให้ข้อมูลการโจมตีของมัลแวร์ดังกล่าวนี้ และสำหรับใครใช้ Juniper ก็สามารถไปดูวิธีการป้องกันได้จากที่เว็บ Forum ของ Juniper ได้ที่ Link นี้ https://forums.juniper.net/t5/Security-Now/Rapid-Response-New-Petya-Ransomware-Discovered/ba-p/309653?utm_medium=social&utm_source=facebook&utm_campaign=Security_AMER&__prclt=65bDFWQL
ขอบคุณที่มา : http://thehackernews.com/2017/06/petya-ransomware-attack.html?m=1
