PETYA ระบาดหนักอย่างรวดเร็ว ซึ่งเกิดขึ้นเริ่มต้นที่ประเทศยูเครน และตามด้วยประเทศรัสเซีย ซึ่ง PETYA นี้เป็น Ransomware คล้ายกับ Wannacry แต่โหดกว่า ตรงที่หลังจากติดแล้ว จะเข้ารหัสดิสก์ บูตเครื่อง แล้วจะใช้ทำงานอะไรไม่ได้เลย มีแต่ตัวอักษรแดงเท่านั้น
จริงๆ แล้ว Malware ตัวนี้เป็นตัวเก่าเล่าใหม่ แต่มีการพัฒนาโดยใช้การแพร่กระจายผ่านช่องโหว่ SMBv1 ซึ่งเป็น ช่องทางเดียวกับ Wannacry ซึ่งในประเทศไทยเริ่มติด Virus นี้แล้วตั้งแต่ 24 มิถุนายน ที่ผ่านมา
การทำงานของ PETYA
PETYA เคยแพร่ระบาดมาแล้วเมื่อกลางปี 2559 และหลักของมันไม่ใช่การล๊อค File ข้อมูลด้วยการเข้ารหัสลับเหมือน Malware อื่นๆ ทั่วไป แต่จะเข้าไปล๊อครหัสลับ Master File Table (MFT) ในระดับ Partition ของ Harddisk ที่ใช้ระบุตำแหน่งชื่อและเนื้อหาของไฟล์ ทำให้ผู้ใช้ไม่สามารถเปิดระบบปฏิบัติการขึ้นมาใช้งานได้ โดยเหยื่อจะต้องจ่ายเงิน 300 USD เป็น Bitcoin เพื่อปลดล็อกรหัส แต่อย่างไรก็ตาม ตอนนี้ email ของผู้พัฒนา Malware ตัวนี้ ได้ถูกระงับ ทำให้เหยื่อไม่สามารถขอกุญแจเพื่อปลดล๊อคได้ คงมีทางเลือกเดียวสำหรับคนที่ได้รับ Malware นี้ คือถอด Harddisk เดิมแล้วซื้อใหม่ เผื่อจะมีคนสามารถกู้หรือปลด Malware นี้ได้ในอนาคต
และระหว่างเข้ารหัสลับ Maleware จะตั้ง Task Schedule เพื่อสั่งให้เครื่อง restart โดยอัตโนมัติภายในระยะเวลา 1-2 ชั่วโมง และพยายามดักรหัสผ่านบัญชีผู้ดูแลระบบในเครือข่ายเพื่อใช้เป็นช่องทางในการแพร่กระจายต่อไปยังบุคคลอื่นๆ
PetWrap หรือ PetrWrap เป็นชื่อที่เรียกอย่างไม่เป็นการทางการของ PETYA สายพันธ์ใหม่นี้ มันได้พัฒนาการแพร่กระจายโดยผ่านช่องโหว่ SMBv1 เหมือน Wannacry ทำให้เครื่องคอมพิวเตอร์ที่ยังไม่ได้ Update Patch มีโอกาสที่ได้รับ Malware นี้ได้
ข้อแนะนำในการป้องกัน
- เริ่มต้นด้วยปิดการเชื่อมต่อเครือข่ายทั้งหมด ก่อนเปิดเครื่อง และลง Patch ในข้อ 2 แล้วทำการ restart เครื่อง
- สำหรับเครื่องที่มี Operating System ได้แก่ Windows Vista, Windows Server 2008 ถึง 2010 และ Windows Server 2016 สามารถ Download Patch ได้ที่ https://technet.microsoft.com/en-us/library/security/ms17-010.aspx และสำหรับเครื่องที่มี Operating System ได้แก่ Windows XP และ Windows Server 2003 สามารถ Download Patch ได้ที่ https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
- Update ติดตั้ง Anti-Virus อย่างสม่ำเสมอ เพราะปัจจุบันมี Anti-Virus หลายตัวที่สามารถตรวจจับ Malware ประเภทนี้ได้ เช่น CISCO-AMP เป็นต้น จะได้รับการป้องกันตั้งแต่เริ่มแพร่กระจาย
- Backup ข้อมูลที่ใช้งานอย่างสม่ำเสมอ และควรมีการสำรองข้อมูลไว้ในอุปกรณ์ที่ไม่มีการเชื่อมต่อเครือข่ายใดๆ
หมายเหตุ ในขณะใช้งาน หากเครื่องคอมพิวเตอร์หยุดทำงานและแสดงหน้าจอสีน้ำเงิน ห้าม Restart เด็ดขาด เนื่องจาก PETYA จะเข้ารหัสลับข้อมูลหลัง Restart เครื่องเท่านั้น ฉะนั้นให้รีบปิดเครื่องคอมพิวเตอร์และติดต่อผู้ดูแลระบบเพื่อ Backup ข้อมูลโดยด่วน
หากพบเหตุต้องสงสัยหรือต้องการคำแนะนำเพิ่มเติมการป้องกัน Malware ให้กับธุรกิจองค์กรของท่าน สามารถติดต่อหรือขอคำปรึกษาได้ที่ channel@mfec.co.th