Petya ransomware โจมตีอย่างไรและใครติดเชื้อ วิธีหยุดมัน

การโจมตี ransomware ใหม่ซึ่งใช้ช่องโหว่ EternalBlue รุ่นที่ถูกแก้ไขในการโจมตี WannaCry เกิดขึ้นเมื่อวันอังคารและได้โจมตีพีซีกว่า 2, 000 เครื่องทั่วโลกในสเปนฝรั่งเศสยูเครนรัสเซียและประเทศอื่น ๆ

การโจมตีครั้งนี้มีเป้าหมายหลักเพื่อธุรกิจในประเทศเหล่านี้ในขณะที่โรงพยาบาลในพิตต์สบูร์ก ผู้ที่ตกเป็นเหยื่อของการโจมตีรวมถึงธนาคารกลาง, รถไฟ, Ukrtelecom (ยูเครน), Rosnett (รัสเซีย), WPP (UK) และ DLA Piper (USA) และอื่น ๆ

ในขณะที่พบการติดเชื้อในยูเครนมากที่สุดอันดับสองเป็นอันดับสองในรัสเซียรองลงมาคือโปแลนด์อิตาลีและเยอรมนี บัญชี bitcoin ที่รับการชำระเงินเสร็จสิ้นมากกว่า 24 ธุรกรรมก่อนที่จะถูกปิด

ยังอ่าน: แฮกเกอร์ Petya Ransomware สูญเสียการเข้าถึงบัญชีอีเมล ผู้ประสบภัยตกค้างฝั่งซ้าย

แม้ว่าการโจมตีจะไม่ได้มุ่งเป้าไปที่ธุรกิจในอินเดีย แต่ก็มีเป้าหมายที่จะทำการขนส่ง AP Moller-Maersk ยักษ์ใหญ่และท่าเรือ Jawaharlal Nehru อยู่ภายใต้การคุกคามเนื่องจาก บริษัท ดำเนินการท่าเรือปลายทางที่ท่าเรือ

Petya Ransomware แพร่กระจายอย่างไร

ransomware ใช้ช่องโหว่ที่คล้ายกันซึ่งใช้ในการโจมตี ransomware ขนาดใหญ่ของ WannaCry เมื่อต้นเดือนที่ผ่านมาซึ่งเครื่องเป้าหมายทำงานบน Windows รุ่นที่ล้าสมัยโดยมีการปรับเปลี่ยนเล็กน้อย

ช่องโหว่ดังกล่าวสามารถถูกโจมตีผ่านการเรียกใช้รหัสระยะไกลบนพีซีที่ใช้ระบบ Windows XP ถึง Windows 2008

Ransomware ติดพีซีและรีบูตโดยใช้เครื่องมือระบบ เมื่อรีบูตเครื่องมันจะเข้ารหัสตาราง MFT ในพาร์ติชัน NTFS และเขียนทับ MBR ด้วยตัวโหลดที่กำหนดเองซึ่งแสดงหมายเหตุเรียกค่าไถ่

Kaspersky Labs กล่าวว่า“ ในการจับข้อมูลประจำตัวสำหรับการแพร่กระจาย ransomware ใช้เครื่องมือที่กำหนดเอง a la Mimikatz แยกข้อมูลประจำตัวเหล่านี้จากกระบวนการ lsass.exe หลังจากการแยกข้อมูลประจำตัวจะถูกส่งผ่านไปยังเครื่องมือ PsExec หรือ WMIC เพื่อแจกจ่ายภายในเครือข่าย”

เกิดอะไรขึ้นหลังจากติดพีซี

หลังจาก Petya ติดเชื้อพีซีผู้ใช้จะสูญเสียการเข้าถึงเครื่องซึ่งจะแสดงหน้าจอสีดำพร้อมข้อความสีแดงบนเครื่องซึ่งอ่านดังนี้:

“ ถ้าคุณเห็นข้อความนี้แสดงว่าไฟล์ของคุณไม่สามารถเข้าถึงได้อีกต่อไปเพราะถูกเข้ารหัส บางทีคุณอาจกำลังมองหาวิธีกู้คืนไฟล์ แต่ไม่ต้องเสียเวลา ไม่มีใครสามารถกู้คืนไฟล์ของคุณได้โดยไม่ต้องใช้บริการถอดรหัสของเรา”

และมีคำแนะนำเกี่ยวกับการชำระเงิน $ 300 ใน Bitcoins และวิธีป้อนคีย์ถอดรหัสและเรียกใช้ไฟล์

จะอยู่อย่างปลอดภัยได้อย่างไร

ปัจจุบันยังไม่มีวิธีที่เป็นรูปธรรมในการถอดรหัสไฟล์ที่ถูกจับเป็นตัวประกันโดย Petya ransomware เนื่องจากใช้คีย์เข้ารหัสที่เป็นของแข็ง

แต่เว็บไซต์ความปลอดภัย Bleeping Computer เชื่อว่าการสร้างไฟล์แบบอ่านอย่างเดียวชื่อ 'perfc' และวางไว้ในโฟลเดอร์ Windows ในไดรฟ์ C สามารถช่วยหยุดการโจมตีได้

สิ่งสำคัญก็คือผู้คนที่ยังไม่ได้ดาวน์โหลดและติดตั้ง Microsoft patch สำหรับระบบปฏิบัติการ Windows รุ่นเก่าในทันทีที่ยุติช่องโหว่ที่ถูกโจมตีโดย EternalBlue วิธีนี้จะช่วยป้องกันพวกเขาจากการถูกโจมตีโดยสายพันธุ์มัลแวร์ที่คล้ายกันเช่น Petya

หากเครื่องรีบูตและคุณเห็นข้อความนี้ให้ปิดเครื่องทันที! นี่คือกระบวนการเข้ารหัส หากคุณไม่เปิดเครื่องไฟล์ก็ใช้ได้ pic.twitter.com/IqwzWdlrX6

- Hacker Fantastic (@hackerfantastic) 27 มิถุนายน 2017

ในขณะที่จำนวนและขนาดของการโจมตี ransomware เพิ่มขึ้นในแต่ละวันที่ผ่านมาก็แนะนำว่าความเสี่ยงของการติดเชื้อใหม่ลดลงอย่างมากหลังจากการโจมตีสองสามชั่วโมงแรก

อ่านเพิ่มเติม: Ransomware การโจมตีที่เพิ่มขึ้น: นี่คือวิธีที่จะอยู่อย่างปลอดภัย

และในกรณีของ Petya นักวิเคราะห์คาดการณ์ว่ารหัสจะแสดงให้เห็นว่ามันจะไม่กระจายไปทั่วเครือข่าย ยังไม่มีใครสามารถระบุได้ว่าใครเป็นผู้รับผิดชอบการโจมตีนี้

นักวิจัยด้านความปลอดภัยยังไม่พบวิธีถอดรหัสระบบที่ติดเชื้อโดย Petya ransomware และเนื่องจากแม้แต่แฮกเกอร์ไม่สามารถติดต่อได้ในตอนนี้ทุกคนที่ได้รับผลกระทบจะยังคงอยู่ในช่วงเวลานั้น