Clear
Lead Graphic Papers

แจ้งเตือน มัลแวร์เรียกค่าไถ่ Petya สายพันธุ์ใหม่ แพร่กระจายแบบเดียวกับ WannaCry เข้ารหัสลับข้อมูลทั้งดิสก์

วันที่ประกาศ: 27 มิถุนายน 2560
ปรับปรุงล่าสุด: 29 มิถุนายน 2560
เรื่อง: แจ้งเตือน มัลแวร์เรียกค่าไถ่ Petya สายพันธุ์ใหม่ แพร่กระจายแบบเดียวกับ WannaCry เข้ารหัสลับข้อมูลทั้งดิสก์
ประเภทภัยคุกคาม: Intrusion

Share on Facebook Share on Twitter Share on Google+

สถานการณ์การแพร่ระบาด

เมื่อวันที่ 27 มิถุนายน 2560 มีรายงานการแพร่ระบาดของมัลแวร์เรียกค่าไถ่ Petya สายพันธุ์ใหม่ที่แพร่กระจายผ่านช่องโหว่ของระบบ SMBv1 แบบเดียวกับที่มัลแวร์ WannaCry ใช้ (อ่านข้อมูลเพิ่มเติมเรื่องมัลแวร์เรียกค่าไถ่ WannaCry ได้ที่ https://www.thaicert.or.th/alerts/user/2017/al2017us001.html) สถิติความเสียหายพบคอมพิวเตอร์ทั่วโลกติดมัลแวร์นี้แล้วกว่า 12,500 เครื่อง ประเทศที่ได้รับแจ้งว่าถูกโจมตี ได้แก่ รัสเซีย ยูเครน อินเดีย และประเทศในแถบยุโรป หน่วยงานที่ได้รับผลกระทบ เช่น ธนาคารกลาง บริษัทพลังงานไฟฟ้า สนามบิน เป็นต้น [1]

การทำงานของมัลแวร์ Petya

มัลแวร์เรียกค่าไถ่ Petya เคยมีการแพร่ระบาดมาแล้วก่อนหน้านี้เมื่อกลางปี 2559 [2] ลักษณะการทำงานจะไม่ใช่การเข้ารหัสลับไฟล์ข้อมูลเหมือนมัลแวร์เรียกค่าไถ่ทั่วไป แต่จะเข้ารหัสลับ Master File Table (MFT) ของพาร์ทิชัน ซึ่งเป็นตารางที่ใช้ระบุตำแหน่งชื่อไฟล์และเนื้อหาของไฟล์ในฮาร์ดดิสก์ ทำให้ผู้ใช้ไม่สามารถเข้าถึงข้อมูลในฮาร์ดดิสก์ได้ [3]

เครื่องที่ตกเป็นเหยื่อมัลแวร์เรียกค่าไถ่ จะไม่สามารถเปิดระบบปฏิบัติการขึ้นมาใช้งานได้ตามปกติ โดยจะปรากฏหน้าจอเป็นข้อความสีแดงบนพื้นหลังสีดำตามรูปที่ 1 ผู้พัฒนามัลแวร์เรียกร้องให้เหยื่อจ่ายเงินเป็นจำนวน 300 ดอลลาร์สหรัฐ โดยให้จ่ายเป็น Bitcoin เพื่อปลดล็อกถอดรหัสลับข้อมูล อย่างไรก็ตาม เนื่องจากผู้พัฒนามัลแวร์ได้แจ้งให้ผู้ที่ตกเป็นเหยื่อส่งอีเมลแจ้งการชำระเงิน แต่ล่าสุดที่อยู่อีเมลดังกล่าวถูกระงับการใช้งานแล้ว ทำให้ปัจจุบันผู้ที่ตกเป็นเหยื่อจะไม่สามารถขอกุญแจสำหรับกู้คืนข้อมูลได้อีกต่อไป [4]

รูปที่ 1 ตัวอย่างหน้าจอเครื่องคอมพิวเตอร์ที่ติดมัลแวร์เรียกค่าไถ่ Petya (ที่มา - The Independent [5])

หลังจากที่เครื่องคอมพิวเตอร์ติดมัลแวร์ ไฟล์นามสกุลเหล่านี้จะถูกเข้ารหัสลับ

.3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .db, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip

ระหว่างเข้ารหัสลับไฟล์ มัลแวร์จะตั้ง Task Schedule เพื่อสั่งให้เครื่อง restart โดยอัตโนมัติภายในระยะเวลา 1-2 ชั่วโมง นอกจากนี้ยังพยายามดักรหัสผ่านบัญชีผู้ดูแลระบบในเครือข่ายเพื่อใช้เป็นช่องทางในการแพร่กระจายต่อ [6]

หลังจากครบระยะเวลาที่กำหนด หรือผู้ใช้สั่ง restart เครื่อง เมื่อเปิดเครื่องขึ้นมาในครั้งต่อไป จะพบหน้าจอสีดำแสดงข้อความ CHKDSK หลอกว่าเป็นการตรวจสอบฮาร์ดดิสก์ ดังรูปที่ 2 แต่ที่จริงแล้วเป็นการเข้ารหัสลับข้อมูล MFT ทำให้ไม่สามารถเข้าถึงไฟล์ใดๆ ในฮาร์ดดิสก์ได้อีก

รูปที่ 2 ตัวอย่างหน้าจอมัลแวร์ Petya กำลังเข้ารหัสลับข้อมูลหลังจากเครื่อง restart (ที่มา - Hacker Fantastic [7])

ช่องทางการแพร่กระจาย

จากข้อมูลเบื้องต้น มัลแวร์เรียกค่าไถ่ Petya สายพันธุ์ใหม่ (ถูกเรียกชื่อว่า PetWrap หรือ PetrWrap) มีความสามารถในการแพร่กระจายโดยอัตโนมัติผ่านช่องโหว่ของระบบ SMBv1 ใน Windows ทำให้เครื่องคอมพิวเตอร์ที่ยังไม่ได้อัปเดตแพตช์แก้ไขช่องโหว่หรือเปิดให้สามารถเชื่อมต่อบริการ SMBv1 ได้จากเครือข่ายภายนอก มีโอกาสที่จะตกเป็นเหยื่อได้

นอกจากนี้ ตัวมัลแวร์ยังสามารถแพร่กระจายผ่านเครือข่ายโดยอาศัย Windows Management Instrumentation Command-line (WMIC) [8] และ PsExec [9] ซึ่งเป็นเครื่องมือที่สามารถสั่งให้เครื่องคอมพิวเตอร์อื่นในเครือข่ายรันโปรแกรมใดๆ ก็ได้ จึงทำให้เครื่องที่ติดตั้งอัปเดตแพตช์ล่าสุดแล้ว แต่อยู่ในระบบเครือข่ายเดียวกับผู้ที่ติดมัลแวร์ Petya มีโอกาสที่จะถูกโจมตีได้ด้วย [10] [11]

นักวิจัยด้านความมั่นคงปลอดภัยบางรายแจ้งว่าพบการแพร่กระจายมัลแวร์เรียกค่าไถ่ Petya ผ่านไฟล์เอกสาร Microsoft Office โดยใช้วิธีแนบไฟล์มาทางอีเมล ไฟล์เอกสารดังกล่าวมีการโจมตีช่องโหว่รหัส CVE-2017-0199 ซึ่งเป็นช่องโหว่ที่เปิดโอกาสให้ผู้ประสงค์ร้ายสามารถหลอกให้เหยื่อเปิดไฟล์เอกสาร Microsoft Ofiice แล้วดาวน์โหลดมัลแวร์มาติดตั้งได้ อย่างไรก็ตาม ข้อมูลนี้อยู่ระหว่างการยืนยันและรายงานจำนวนเครื่องที่ติดมัลแวร์ด้วยวิธีนี้ยังพบไม่มากนัก [12] [13]

ข้อแนะนำในการป้องกัน

  1. สำหรับครั้งแรกก่อนมีการเปิดใช้งานเครื่องคอมพิวเตอร์ ให้ตัดการเชื่อมต่อทางเครือข่ายก่อน (LAN และ WiFi) จากนั้นเปิดเครื่องคอมพิวเตอร์เพื่อติดตั้งแพตซ์ (ข้อ 2) หรือตั้งค่าปิดการใช้งาน SMBv1 (ข้อ 3) และทำการ restart เครื่องคอมพิวเตอร์อีกครั้ง
  2. ติดตั้งแพตช์แก้ไขช่องโหว่ SMBv1 จาก Microsoft โดย Windows Vista, Windows Server 2008 ถึง Windows 10 และ Windows Server 2016 ดาวน์โหลดอัปเดตได้จาก https://technet.microsoft.com/en-us/library/security/ms17-010.aspx ส่วน Windows XP และ Windows Server 2003 ดาวน์โหลดอัปเดตได้จาก https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
  3. หากไม่สามารถติดตั้งอัปเดตได้ เนื่องจากมัลแวร์เรียกค่าไถ่ Petya แพร่กระจายผ่านช่องโหว่ SMBv1 ซึ่งถูกใช้ใน Windows เวอร์ชันเก่า เช่น Windows XP, Windows Server 2003 หรืออุปกรณ์เครือข่ายบางรุ่น หากใช้งาน Windows เวอร์ชันใหม่และไม่มีความจำเป็นต้องใช้ SMBv1 ผู้ดูแลระบบอาจพิจารณาปิดการใช้งาน SMBv1 โดยดูวิธีการปิดได้จาก https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
  4. หากไม่สามารถติดตั้งอัปเดตได้ ผู้ดูแลระบบควรติดตามและป้องกันการเชื่อมต่อพอร์ต SMB (TCP 137, 139 และ 445 UDP 137 และ 138) จากเครือข่ายภายนอก อย่างไรก็ตาม การปิดกั้นพอร์ต SMB อาจมีผลกระทบกับบางระบบที่จำเป็นต้องใช้งานพอร์ตเหล่านี้ เช่น file sharing, domain, printer ผู้ดูแลระบบควรตรวจสอบก่อนบล็อกพอร์ตเพื่อป้องกันไม่ให้เกิดปัญหา
  5. อัปเดต Microsoft Office เพื่อแก้ไขช่องโหว่ CVE-2017-0199 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
  6. พิจารณาปิดบริการ Windows Management Instrumentation หากไม่จำเป็นต้องใช้งาน โดยดูวิธีการปิดได้จาก https://msdn.microsoft.com/en-us/library/aa826517(v=vs.85).aspx
  7. พิจารณาจำกัดการใช้งานบัญชีผู้ใช้ที่ได้สิทธิ์ระดับผู้ดูแลระบบ (Administrator) เพื่อลดความเสี่ยงและความเสียหาย
  8. อัปเดตระบบปฎิบัติการให้เป็นเวอร์ชันล่าสุดอยู่เสมอ หากเป็นได้ได้ควรหยุดใช้งานระบบปฏิบัติการ Windows XP, Windows Server 2003 และ Windows Vista เนื่องจากสิ้นสุดระยะเวลาสนับสนุนด้านความมั่นคงปลอดภัยแล้ว หากยังจำเป็นต้องใช้งานไม่ควรใช้กับระบบที่มีข้อมูลสำคัญ
  9. ติดตั้งแอนติไวรัสและอัปเดตฐานข้อมูลอย่างสม่ำเสมอ ปัจจุบันแอนติไวรัสจำนวนหนึ่ง (รวมถึง Windows Defender ของ Microsoft) สามารถตรวจจับมัลแวร์ Petya สายพันธุ์ที่กำลังมีการแพร่ระบาดได้แล้ว

ข้อแนะนำในการแก้ไขหากตกเป็นเหยื่อ

  1. หากใช้งานเครื่องคอมพิวเตอร์แล้วพบว่ามีบางไฟล์ที่เปิดแล้วเนื้อหาของไฟล์ไม่สามารถอ่านได้ตามปกติ หรือหาก restart เครื่องแล้วพบหน้าจอสีดำแสดงข้อความ CHKDSK มีโอกาสที่จะตกเป็นเหยื่อมัลแวร์เรียกค่าไถ่ ให้ตัดการเชื่อมต่อเครือข่าย (ถอดสาย LAN, ปิด Wi-Fi) และรีบปิดเครื่องคอมพิวเตอร์ จากนั้นติดต่อผู้ดูแลระบบ
  2. แจ้งเตือนผู้ดูแลระบบในหน่วยงานว่ามีเครื่องคอมพิวเตอร์ตกเป็นเหยื่อ เพื่อตรวจสอบและป้องกันการแพร่ระบาด
  3. หากสามารถปิดเครื่องได้ทันก่อนที่มัลแวร์ Petya จะเข้ารหัสลับข้อมูลเสร็จสิ้น ยังพอมีโอกาสกู้คืนข้อมูลได้โดยการนำฮาร์ดดิสก์ไปเชื่อมต่อกับเครื่องอื่นที่ไม่ติดมัลแวร์ หรือบู๊ตเครื่องจากระบบปฏิบัติการอื่นที่ไม่ได้ติดตั้งในเครื่อง (เช่น จาก Live CD) อย่างไรก็ตาม มัลแวร์เวอร์ชันหลังๆ อาจพัฒนาให้เข้ารหัสลับไฟล์ข้อมูลทั้งหมดก่อนที่จะ restart ทำให้วิธีนี้อาจใช้ไม่ได้ผลในอนาคต

ข้อแนะนำอื่นๆ

  • ปัจจุบันยังไม่พบช่องทางที่สามารถกู้คืนไฟล์ที่ถูกเข้ารหัสลับจากมัลแวร์เรียกค่าไถ่ Petya ได้โดยไม่จ่ายเงิน แต่การจ่ายเงินก็มีความเสี่ยงเนื่องจากไม่สามารถมั่นใจได้ว่าจะได้ข้อมูลกลับคืนมา
  • เนื่องจากพบรายงานว่ามัลแวร์เรียกค่าไถ่ Petya เวอร์ชันที่กำลังแพร่ระบาดอยู่ในปัจจุบันมีการแพร่กระจายผ่านอีเมล ผู้ใช้ควรตระหนักถึงความเสี่ยงของการเปิดไฟล์แนบจากอีเมลที่น่าสงสัย
  • มีรายงานว่าสามารถยับยั้งการทำงานของมัลแวร์ Petya ได้ด้วยการสร้างไฟล์พิเศษขึ้นมาในเครื่อง อย่างไรก็ตาม วิธีนี้ยังไม่ยืนยันว่าจะสามารถป้องกันได้ 100% และเป็นเพียงการแก้ไขปัญหาเฉพาะหน้า ควรอัปเดตแพตช์และฐานข้อมูลแอนติไวรัสเพื่อแก้ไขปัญหาที่ต้นเหตุ [14] [15]
  • ควรสำรองข้อมูลบนเครื่องคอมพิวเตอร์ที่ใช้งานอย่างสม่ำเสมอ และหากเป็นไปได้ให้เก็บข้อมูลที่ทำการสำรองไว้ในอุปกรณ์ที่ไม่มีการเชื่อมต่อกับคอมพิวเตอร์หรือระบบเครือข่ายอื่นๆ โดยสามารถศึกษาข้อมูลเพิ่มเติมได้จากบทความข้อแนะนำวิธีสำรองข้อมูลเพื่อป้องกันมัลแวร์เรียกค่าไถ่หรือข้อมูลสูญหาย https://www.thaicert.or.th/papers/general/2017/pa2017ge002.html
  • หากมีการแชร์ข้อมูลร่วมกันผ่านระบบเครือข่าย ให้ตรวจสอบสิทธิในการเข้าถึงข้อมูลแต่ละส่วน และกำหนดสิทธิ์ให้ผู้ใช้มีสิทธิ์อ่านหรือแก้ไขเฉพาะไฟล์ที่มีความจำเป็นต้องใช้สิทธิเหล่านั้น
  • หากพบเหตุต้องสงสัยหรือต้องการคำแนะนำเพิ่มเติมในกรณีนี้ สามารประสานกับไทยเซิร์ตได้ทางอีเมล report@thaicert.or.th หรือโทรศัพท์ 0-2123-1212

อ้างอิง

  1. http://www.telegraph.co.uk/news/2017/06/27/ukraine-hit-massive-cyber-attack1/
  2. https://labsblog.f-secure.com/2016/04/01/petya-disk-encrypting-ransomware/
  3. https://www.bleepingcomputer.com/news/security/petrwrap-ransomware-is-a-petya-offspring-used-in-targeted-attacks/
  4. http://thehackernews.com/2017/06/petya-ransomware-attack.html
  5. https://www.independent.co.uk/news/world/europe/ukraine-cyber-attack-hackers-national-bank-state-power-company-airport-rozenko-pavlo-cabinet-a7810471.html
  6. https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
  7. https://twitter.com/hackerfantastic/status/879793827267174400
  8. https://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/wmic.mspx?mfr=true
  9. https://technet.microsoft.com/en-us/sysinternals/bb897553.aspx
  10. https://securelist.com/schroedingers-petya/78870/
  11. https://colsec.blogspot.co.uk/2017/06/petya-outbreak-june-27th.html
  12. https://www.fireeye.com/blog/threat-research/2017/04/cve-2017-0199-hta-handler.html
  13. https://www.malwaretech.com/2017/06/petya-ransomware-attack-whats-known.html
  14. https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/
  15. https://eddwatton.wordpress.com/2017/06/27/use-group-policy-preferences-to-deploy-the-notpetya-vaccine/
Clear