"Petrwrap" มัลแวร์เรียกค่าไถ่ตัวใหม่กระจายทั่วโลก!!! พร้อมวิธีป้องกัน HalalThailand

"Petrwrap" มัลแวร์เรียกค่าไถ่ตัวใหม่กระจายทั่วโลก!!! พร้อมวิธีป้องกัน

1355
29 มิ.ย. 60

Ransomware ตัวนี้มีชื่อว่า Petya หรือ Petrwrap, NotPetya, Petna หรือ SortaPetya ได้เริ่มแพร่กระจายในประเทศกลุ่มยุโรปเป็นวงกว้างในช่วงวันที่ 27 มิถุนายน โดยเฉพาะกลุ่มประเทศยูเครน รัสเซีย เริ่มมีภาพซูเปอร์มาร์เก็ตโดนกันไปยกแผง, สนามบิน Boryspil ของเมือง Kiev ก็โดน คอมพิวเตอร์ที่คอยมอนิเตอร์ระดับรังสีที่โรงไฟฟ้า Chernobyl ก็ไม่รอด บริษัทยักษ์ใหญ่ของโลกอย่าง WPP, Rosneft (บริษัทน้ำมันของรัสเซีย), Merck (บริษัทสุขภาพ) หรือ AP Moller-Maersk (บริษัทขนส่งที่เราเห็นข้างตู้คอนเทนเนอร์เขียนว่า Maersk นั้นแหละ) ก็โดนเรียกค่าไถ่ไปทั้งหมด

แรนซัมแวร์ Petrwrap ตัวนี้พัฒนาต่อจาก Petya ที่แพร่กระจายในปีที่แล้ว โดยมัลแวร์ล็อกไฟล์ตระกูลนี้แตกต่างจากตระกูลอื่นๆ ตรงที่ไม่ได้เข้ารหัสทุกไฟล์ในฮาร์ดดิสก์ แต่เข้ารหัส MFT หรือ Master File Table ที่เป็นเหมือนสารบัญไฟล์ทั้งหมดของไดร์ฟหลัก ทำให้ระบบไม่สามารถอ้างอิงข้อมูลที่อยู่ในไดร์ฟได้เลยว่าไฟล์อะไรอยู่ตรงไหน และมีขอบเขตไฟล์ถึงตรงไหน ผลคือทำให้เครื่องบูตไม่ได้ อ่านไฟล์ในไดร์ฟไม่ได้ทั้งหมด และทิ้งข้อความเรียกค่าไถ่ไว้ในหน้าจอดำๆ

ความแตกต่างของ Petrwrap ที่กระจายในปีนี้คือนำเอาช่องโหว่ Eternalblue ที่เคยทำให้ Wannacry แพร่กระจายไปได้ทั่วโลกมาใช้ แถมยังกระจายตัวเองในเครือข่ายด้วย WMIC และ PSEXEC ด้วย ทำให้กระจายไปยังเครื่องที่ป้องกัน WannaCry ไปแล้วได้ด้วย

ถ้าโดนตอนนี้ อย่าจ่ายค่าไถ่!

สำหรับเครื่องที่โดน Petrwrap ไปแล้วจะได้รับข้อความว่าให้ส่งรายละเอียดการจ่ายเงินค่าไถ่ผ่าน bitcoin ไปที่ [email protected] แต่หลังจากเกิดเรื่องขึ้น posteo.net ผู้ให้บริการก็ปิดเมลนี้ไปเรียบร้อย เพราะขัดกับระเบียบของบริษัท แต่ก็ทำให้คนที่โดน Petrwrap ตัวนี้เล่นงานไม่สามารถติดต่อแฮกเกอร์เพื่อขอคีย์ปลดล็อกกลับมาได้เช่นกัน ก็ยังไม่มีทางเรียกข้อมูลกลับมาได้ตอนนี้

โดยตอนนี้มีคนจ่ายค่าไถ่ไปแล้ว 36 ครั้ง หรือแฮกเกอร์ได้เงินไปประมาณ 366,000 บาท

วิธีป้องกัน Petrwrap

วิธีที่ดีที่สุดคือใช้ Windows แท้ และอัปเดทแพทซ์รักษาความปลอดภัยสม่ำเสมอ ก็จะป้องกันปัญหาเหล่านี้ในอนาคตไปได้ระดับหนึ่งครับ

และสำหรับใครที่รู้เรื่องคอมพิวเตอร์หน่อย ก็สามารถเข้าไปสร้างไฟล์ชื่อว่า perfc ใน c:windows แล้วตั้งไฟล์นี้เป็น Read Only ก็จะป้องกันการเขียนของมัลแวร์ตัวนี้ได้ หรือถ้าใครทำไม่เป็น ก็โหลด batch file ตัวนี้ ที่พัฒนาโดย Lawrence Abrams ไปใช้สร้างอัตโนมัติก็ได้ แต่ต้องเปิดใช้ไฟล์นี้ในโหมด admin นะครับ

Tags: