Petya มัลแวร์เรียกค่าไถ่ตัวใหม่ เรียกเงิน $300 พิษร้ายถึงขนาดใช้เครื่องคอมพิวเตอร์ ต่อไม่ได้

องค์กรธุรกิจจำนวนมากในยุโรป รวมถึงรัสเซีย, ยูเครน, อินเดีย และสหรัฐอเมริกา กำลังเผชิญภัยพิบัติรอบใหม่จากมัลแวร์เรียกค่าไถ่ที่มีชื่อว่า Petya (หรือเรียกแบบไทยๆ ว่า "เพชรยา") มันเข้าโจมตีระบบคอมพิวเตอร์ของบริษัทใหญ่หลายแห่ง อาทิ บริษัทเอเจนซี่โฆษณา WPP บริษัทด้านอาหาร Mondelez บริษัทด้านกฏหมาย DLA Piper รวมถึงบริษัทด้านการขนส่งชื่อดังสัญชาติเดนมาร์กอย่าง Maersk สถิติความเสียหาย พบคอมพิวเตอร์ทั่วโลกติดมัลแวร์นี้แล้วกว่า 300,000 เครื่องภายใน 72 ชั่วโมง

รูปแบบการเจาะระบบของ Petya นั้นก้าวล้ำ WannaCry ไปอีกขั้น โดยในขั้นแรกมันจะพยายามเจาะเข้าระบบผ่านช่องโหว่  EternalBlue ที่มีอยู่ในระบบปฏิบัติการ Microsoft Windows (ซึ่งทาง Microsoft ได้ปล่อย Patch ออกมาอุดช่องโหว่นี้แล้ว แต่ก็ยังมีเครื่องคอมฯ เป็นจำนวนมากที่ไม่ได้อัพเดต Patch นี้) หรือถ้าเจาะผ่านช่องทางแรกไม่สำเร็จ มันก็มีอีกหนึ่งทางเลือกคือการเจาะผ่านเครื่องมือ Windows administrative

พิษภัยของ Petya มันไม่ได้ทำการเข้ารหัสไฟล์ข้อมูลในเครื่องคอมฯ เหมือนมัลแวร์เรียกค่าไถ่ทั่วๆ ไป แต่มันจะทำการเข้ารหัสในส่วน Master File Table (MFT) ของฮาร์ดดิสก์ ทำให้ไม่สามารถเข้าถึงข้อมูลในฮาร์ดิสก์ และเครื่องที่โดน Petya เล่นงาน ในขณะที่บูธเครื่องจะมีหน้าจอปรากฏตามภาพด้านล่างนี้ และไม่สามารถเข้าใช้งานเครื่องได้ตามปกติ

โดยผู้ที่อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ Petya เรียกร้องให้เหยื่อจ่ายเงินเป็นจำนวน $300 (ประมาณ 10,200 บาท) ผ่านระบบ Bitcoin เพื่อปลดล็อกให้เครื่องคอมพิวเตอร์กลับมาใช้งานได้ตามเดิม

และมีอีกหนึ่งสัญญาณเตือนภัยที่ต้องระมัดระวังคือ เมื่อมัลแวร์เรียกค่าไถ่เจาะเข้ามาในเครื่องคอมฯ ของเราได้สำเร็จ มันจะรอเวลาประมาณ 1 ชั่วโมง แล้วจึงทำการรีสตาร์ทเครื่องคอมฯ เพื่อทำการเข้ารหัสไฟล์ ซึ่งถ้าอยู่ดีๆ เครื่องคอมฯ ของคุณก็รีสตาร์ทตัวเองแล้วปรากฏข้อความตามภาพด้านบนนี้ ให้รีบกดสวิตซ์ปิดเครื่องคอมฯ ทันที เพื่อป้องกันไม่ให้มันทำการเข้ารหัสไฟล์ จากนั้นค่อยหาทางกู้ไฟล์ข้อมูลในเครื่อง

ข้อแนะนำในการป้องกัน

ทางศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งประเทศไทย หรือ ThaiCERT ได้ให้ข้อแนะนำในการป้องกันเครื่องคอมพิวเตอร์ ไม่ให้ตกเป็นเหยื่อของ Petya เอาไว้ว่า

• ก่อนการเปิดใช้งานเครื่องคอมพิวเตอร์ ให้ถอดสาย LAN ออกจากเครื่อง หรือปิดการเชื่อมต่อ Wi-Fi เพื่อตัดเครื่องคอมฯ ออกจากระบบเครือข่ายขององค์กร จากเปิดเครื่องคอมฯ แล้วทำการติดตั้ง Patch จาก Microsoft เพื่อแก้ไขช่องโหว่ SMBv1
  • สามารถดาวน์โหลดไฟล์ Patch สำหรับเครื่องคอมฯ ที่ใช้ Windows Vista, Windows Server 2008, Windows Server 2016 และ Windows 10 ได้จาก
    https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
  • สามารถดาวน์โหลดไฟล์ Patch สำหรับเครื่องคอมฯ ที่ใช้ Windows XP และ Windows Server 2003 ได้จาก
    ​​​​​​https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
• หากมีข้อขัดข้อง ไม่สามารถอัพเดต Patch ได้ ก็มีอีกหนึ่งวิธีป้องกัน Petya ที่ได้ผล คือปิดการทำงานของระบบ SMBv1 ซึ่งเป็นช่องโหว่ที่ Petya ใช้ในการเจาะระบบ โดยสามารถดูวิธีปิดการทำงานของระบบ SMBv1 บน Windows Vista, 7, 8, 8.1, 10, Server 2008 R2, Server 2012, Server 2012 R2  และ Server 2016 ได้จากลิงก์นี้
  https://bit.ly/2tVOx8Q
• หากไม่สามารถติดตั้งอัพเดตได้ ผู้ดูแลระบบคอมฯ ควรติดตาม และป้องกันการเชื่อมต่อพอร์ต SMB (TCP 137, 139 และ 445 UDP 137 และ 138) จากเครือข่ายภายนอก อย่างไรก็ตาม การบล็อกพอร์ต SMB อาจมีผลกระทบกับบางระบบที่จำเป็นต้องใช้งานพอร์ตเหล่านี้ เช่น File sharing และ Printer sharing ดังนั้นผู้ดูแลระบบ ควรตรวจสอบก่อนบล็อกพอร์ตเพื่อป้องกันไม่ให้เกิดปัญหา
• ทางออกที่ดีที่สุดคือ อัพเดตระบบปฏิบัติการให้เป็นเวอร์ชันล่าสุดอยู่เสมอ หากเป็นไปได้ควรหยุดใช้งานระบบปฏิบัติการ Windows XP / Windows Server 2003 และ Windows Vista เนื่องจากทาง Microsoft ได้ยกเลิกการสนับสนุนด้านความปลอดภัยแล้ว หากยังจำเป็นต้องใช้งาน ไม่ควรเก็บไฟล์ข้อมูลสำคัญไว้ในเครื่อง
• ติดตั้งโปรแกรม Antivirus และอัพเดตฐานข้อมูลอย่างสม่ำเสมอ และในเวลานี้มีโปรแกรม Antivirus บางตัวสามารถตรวจจับ Petya ได้แล้ว
• ควรสำรองไฟล์ข้อมูลสำคัญเอาไว้อย่างสม่ำเสมอ อย่างเช่นการ Backup ไฟล์ไว้ในฮาร์ดดิสก์แบบภายนอก แล้วถอดฮาร์ดดิสก์ที่มีข้อมูล Backup เก็บไว้ ไม่นำมาเชื่อมต่อกับเครื่องคอมฯ หรือระบบเครือข่าย เพื่อให้เรามีไฟล์ข้อมูลที่สามารถเรียกกลับมาใช้ได้เมื่อเครื่องคอมฯ เกิดปัญหา

แต่อย่างไรก็ดี หากพบว่าเครื่องคอมฯ ของเราตกเป็นเหยื่อของ Petya ให้รีบปิดเครื่องคอมพิวเตอร์ทันที ถอดสาย LAN ตัดการเชื่อมต่อเครื่องคอมฯ ออกจากระบบ Wi-Fi แล้วรีบแจ้งฝ่าย IT ของบริษัทในทันที เพื่อป้องกันไม่ให้ Petya แพร่กระจายไปยังคอมพิวเตอร์เครื่องอื่นๆ ในบริษัท

มี NotPetya มัลแวร์เรียกค่าไถ่ตัวใหม่ออกมาระบาดอีกแล้ว...

ในช่วงเวลานี้ ก็มีมัลแวร์เรียกค่าไถ่อีกตัวมาแรงไม่แพ้ Petya คือมัลแวร์เรียกค่าไถ่ที่ทาง แคสเปอร์สกี้ แลป บริษัทผู้พัฒนาโปรแกรม Antivirus ได้ตั้งชื่อให้มันอย่างไม่เป็นทางการว่า NotPetya และในเวลานี้พบว่า มีผู้ใช้ที่โดนโจมตีประมาณ 2,000 ราย โดยองค์กรในประเทศรัสเซีย และยูเครนได้รับผลกระทบมากที่สุด นอกจากนี้ยังพบการโจมตีใน ประเทศโปแลนด์ ประเทศอิตาลี สหราชอาณาจักร เยอรมนี ฝรั่งเศส สหรัฐอเมริกา และอีกหลายประเทศทั่วโลก

การโจมตีครั้งนี้มีความซับซ้อนด้วยการโจมตีที่หลากหลาย โดยทาง แคสเปอร์สกี้ แลป ยืนยันว่า ผู้ที่สร้าง NotPetya ได้ปรับแต่งและใช้ช่องโหว่ EternalBlue เพื่อการแพร่กระจายมัลแวร์ภายในระบบเครือข่ายคอมพิวเตอร์ขององค์กร โดยที่ แคสเปอร์สกี้ แลป ตรวจพบภัยคุกคามนี้ในชื่อ  UDS:DangeroundObject.Multi.Generic และทาง แคสเปอร์สกี้แลป จะมีการออกซิกเนเจอร์ใหม่ เพื่อการตรวจจับมัลแวร์ตัวนี้ในระยะเวลาอันรวดเร็ว