27 มิถุนายน 2560 เกิดการแพร่ระบาดของมัลแวร์ ในรูปแบบ แรนซัมแวร์แบบเรียกค่าไถ่ ตัวใหม่ที่ชื่อว่า Petya (หรือว่า Petrwrap) ที่อาศัยช่องโหว่ของระบบ SMBv1 หรือ EternalBlue แบบเดียวกับ Wannacry ที่เคยระบาดไปเมื่อไม่นานมานี้ ทว่าPetya นั้นพิษสงร้ายกว่า เพราะมันไม่ใช่แค่ล็อคไฟล์เอกสารในเครื่อง แต่มันล็อคไม่ให้เปิดเข้าไปใช้งานระบบปฎิบัติการได้ และตอนนี้ยังไม่มี Key ที่จะถอดรหัสได้!
อัพเดต: ล่าสุดทาง Kaspersky Lab ได้ออกมาระบุว่า แรนซัมแวร์ที่กำลังระบาดตอนนี้ไม่ใช่Petya อาจจะไม่มีความเกี่ยวข้องกัน และเป็นสายพันธุ์ใหม่ที่ไม่เคยตรวจพบมาก่อน รวมถึงตอนนี้กำลังเร่งออกตัวข้อมูลป้องกัน และ System Watcher เพื่อป้องกันการแพร่ระบาดครั้งนี้
Petya เพียงแค่ 72 ชั่วโมง พบคอมพิวเตอร์ทั่วโลกถูกจับเป็นตัวประกันแล้วมากกว่า 3 แสนเครื่อง!!
ตอนนี้มีการแจ้งข้อมูลแล้วว่าเริ่มระบาดหนักในประเทศ รัสเซีย ยูเครน อินเดีย และกลุ่มประเทศในยุโรป ส่วนใหญ่ที่ได้รับผลกระทบคือ ธุรกิจธนาคาร, บริษัทด้านพลังงาน, สนามบิน และล่าสุดในประเทศไทยก็เริ่มมีพบคอมพิวเตอร์ในองค์กรธุรกิจ อเจนซี่ ติดมัลแวร์ตัวนี้แล้ว
ถึงแม้ว่ามัลแวร์ตัวนี้จะอาศัยช่องโหว่เดียวกันกับที่ Wannacry เคยใช้ แต่จะต่างกันตรงที่ Wannacry ผู้ใช้จะยังสามารถบูตเครื่องเข้า Windows และยังมองเห็นไฟล์เอกสารที่โดนล็อคอยู่ แต่Petya จะโหดกว่าเพราะ มันจะล็อคข้อมูลทั้งฮาร์ดดิสก์ และไม่อนุญาตให้บูตเครื่องเข้าสู่ระบบปฎิบัติการ เมื่อเปิดเครื่องขึ้นมาจะเป็นหน้าจอสีดำ ตัวหนังสือสีแดง โดยมีข้อความแจ้ง มีเนื้อหาว่า ข้อมูลทั้งหมดได้ถูกเข้ารหัสไว้แล้ว ไม่มีใครสามารถกู้คืนข้อมูลได้ ถ้าหากต้องการได้ข้อมูลคืน ให้ทำการส่งเงิน $300 หรือประมาณ 10,000 บาท ผ่านทาง Bitcoin เพื่อทำการปลดรหัสที่ล็อกข้อมูลเอาไว้
มีข้อมูลว่า มีคนยอมที่จะจ่ายเงินค่าไถ่ $300 ไปทางอีเมล์ wowsmith123456@posteo.net ที่ระบุอยู่บนหน้าจอ แต่ก็ไม่สามารถติดต่อไปย้งอีเมล์ดังกล่าวได้
วิธีป้องกัน Petya
การแพร่กระจายของมัลแวร์ตัวนี้ สามารถวิ่งไปยังคอมพิวเตอร์อื่นๆ ได้โดยอัตโนมัติผ่านช่องโหว่ระบบ SMBv1 ที่มีใน Windows รุ่นเก่าๆ อย่าง Windows XP, Windows Server 2003 และ Windows Vista วิธีป้องกัน ก่อนที่จะติดมัลแวร์นั้น ก็เหมือนกับก่อนหน้านี้คือ
- จัดการติดตั้งแพตช์แก้ไขช่องโหว่ SMBv1 ทันที ซึ่งตอนนี้ Microsoft ได้ออกแพตซ์เพื่ออุดรูรั่วนี้แล้ว
- Windows Vista, Windows Server 2008 ถึง Windows 10 และ Windows Server 2016 ดาวน์โหลดที่ https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
- Windows XP และ Windows Server 2003 ดาวน์โหลดอัปเดตได้จาก https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
- ติดตั้งโปรแกรมแอนติไวรัส และอัพเดตฐานข้อมูลให้เป็นเวอร์ชั่นล่าสุด
- Back Up ข้อมูลที่สำคัญในคอมพิวเตอร์เอาไว้สม่ำเสมอ โดยพื้นที่เก็บข้อมูลสำรองนี้จะต้องไม่เชื่อมต่อกับคอมพิวเตอร์อื่น, ระบบเครือข่าย หรือต่อออนไลน์
- ปัจจุบันยังไม่ทราบแน่ชัดว่า มัลแวร์ตัวนี้สามารถแพร่กระจายผ่านทางอีเมล์ได้หรือไม่ แต่เพื่อความปลอดภัย แนะนำให้หลีกเลี่ยงการเปิดไฟล์ที่ต้องสงสัยที่แนบมากกับอีเมล์
วิธีแก้ Petya ถ้าหากเครื่องติดมัลแวร์นี้แล้ว!
ณ เวลานี้ ต้องบอกว่า ยังไม่มีเครื่องมือหรือ Tool ใดๆ ที่จะถอดรหัสมัลแวร์ตัวนี้ได้ ถ้าหากเครื่องคอมพิวเตอร์ของคุณพลาดติดมัลแวร์นี้ไปแล้ว สิ่งแรกที่ควรทำคือ ทำการถอดสาย LAN และปิด Wi-Fi เพื่อป้องกันไม่ให้มันแพร่ไปสู่คอมพิวเตอร์อื่นๆ ในวงแลนหรือองค์กรของคุณ และรีบแจ้งผู้ดูแลระบบของบริษัทเพื่อทำการเฝ้าระวังและป้องกันไม่ให้เกิดการแพร่กระจาย
และถ้าทราบว่าภายในองค์กรของคุณมีการติดมัลแวร์Petya ให้รีบทำการออฟไลน์ออกจากระบบ แต่ยังไม่ต้องปิดเครื่อง ให้ทำการแบคอัพไฟล์งาน หรือเอกสารที่สำคัญออกมาก่อน
ข้อมูลอ้างอิง : The Hacker News , Telegraph , Thaicert