Petya มัลแวร์แสดงจุดอ่อนช่องโหว่ซอฟต์แวร์คอมพิวเตอร์

เมื่อเร็ว ๆ นี้หลายองค์กรทั้งในยุโรปและสหรัฐอเมริกาได้ถูกคุกเข่าลงด้วยการโจมตี ransomware ใหม่เรียกว่า" Petya " "นี่เป็นซอฟต์แวร์ที่เป็นอันตรายซึ่งได้ผ่านทาง บริษัท ขนาดใหญ่หลายแห่งเช่น Mondelez บริษัท อาหาร WPP ผู้โฆษณา Maersk บริษัท ลอจิสติกส์ของเดนมาร์กและ DLA Piper ซึ่งเป็น บริษัท กฎหมาย บริษัท เหล่านี้มีประสบการณ์ในการล็อกคอมพิวเตอร์และข้อมูลล็อกและขอให้จ่ายค่าไถ่สำหรับการเข้าถึง

การโจมตีครั้งนี้เป็นเรื่องที่น่าหนักใจเพราะเป็นการโจมตี Ransomware ครั้งที่สองเป็นเวลา 2 เดือนซึ่งส่งผลกระทบต่อ บริษัท ต่างๆทั่วโลก คุณอาจจำได้ว่าในเดือนพฤษภาคม National Health Service, NHS ในสหราชอาณาจักรติดมัลแวร์ชื่อ WannaCry โปรแกรมนี้มีผลต่อ NHS และองค์กรอื่น ๆ อีกหลายแห่งทั่วโลก WannaCry ถูกเปิดเผยเป็นครั้งแรกต่อสาธารณชนเมื่อเอกสารรั่วที่เกี่ยวข้องกับ NHS ได้รับการปล่อยตัวโดยแฮกเกอร์ที่รู้จักกันในชื่อ Shadow Brokers ในเดือนเมษายน

ซอฟต์แวร์ WannaCry หรือที่เรียกว่า WannaCrypt มีผลต่อคอมพิวเตอร์จำนวน 230,000 เครื่องซึ่งตั้งอยู่ในกว่า 150 ประเทศทั่วโลก นอกจาก NHS แล้ว Telefonica ซึ่งเป็น บริษัท โทรศัพท์สัญชาติสเปนและทางรถไฟของรัฐในประเทศเยอรมนีถูกโจมตีด้วยเช่นกัน

คล้ายกับ WannaCry "Petya" แพร่กระจายไปทั่วเครือข่ายที่ใช้ Microsoft Windows ได้อย่างรวดเร็ว คำถามคืออย่างไรก็คืออะไร? เรายังต้องการทราบสาเหตุที่เกิดขึ้นและจะหยุดลงได้อย่างไร

Ransomware คืออะไร?

สิ่งแรกที่คุณต้องเข้าใจคือคำนิยามของ ransomware โดยทั่วไป ransomware คือมัลแวร์ประเภทใดก็ตามที่ทำงานเพื่อป้องกันไม่ให้คุณเข้าถึงคอมพิวเตอร์หรือข้อมูล จากนั้นเมื่อคุณพยายามเข้าถึงคอมพิวเตอร์เครื่องนั้นหรือข้อมูลที่อยู่ในคอมพิวเตอร์คุณจะไม่สามารถเข้าถึงข้อมูลนั้นได้จนกว่าคุณจะจ่ายค่าไถ่ ค่อนข้างน่ารังเกียจและจริงจังหมายถึง!

Ransomware ทำงานได้อย่างไร?

สิ่งสำคัญคือต้องเข้าใจว่า ransomware ทำงานอย่างไร เมื่อคอมพิวเตอร์มีการติดเชื้อโดย ransomware จะกลายเป็นเข้ารหัส ซึ่งหมายความว่าเอกสารในคอมพิวเตอร์ของคุณถูกล็อคแล้วและคุณไม่สามารถเปิดได้โดยไม่ต้องจ่ายค่าไถ่ เพื่อที่จะทำให้เรื่องยุ่งยากขึ้นค่าไถ่ต้องจ่ายใน Bitcoin ไม่ใช่เงินสดสำหรับคีย์ดิจิทัลที่คุณสามารถใช้เพื่อปลดล็อกไฟล์ได้ หากคุณไม่มีไฟล์สำรองอยู่คุณสามารถเลือกได้สองวิธีคือคุณสามารถจ่ายค่าไถ่ซึ่งโดยปกติจะเป็นสองร้อยถึงหลายพันเหรียญหรือเสียสิทธิ์การเข้าถึงไฟล์ทั้งหมดของคุณ

งาน Ransomware "Petya" ทำงานได้อย่างไร?

ransomware "Petya" ทำงานเหมือน ransomware มากที่สุด มันใช้เวลามากกว่าคอมพิวเตอร์และจากนั้นก็ขอให้ $ 300 ใน Bitcoin นี่เป็นซอฟต์แวร์ที่เป็นอันตรายซึ่งแพร่กระจายไปทั่วเครือข่ายหรือองค์กรได้อย่างรวดเร็วเมื่อมีการติดเชื้อคอมพิวเตอร์เครื่องเดียวซอฟต์แวร์นี้ใช้ช่องโหว่ EternalBlue ซึ่งเป็นส่วนหนึ่งของ Microsoft Windows แม้ว่าไมโครซอฟท์ได้ออกแพทช์สำหรับช่องโหว่แล้ว แต่ทุกคนยังไม่ได้ติดตั้งโปรแกรม ransomware อาจแพร่กระจายผ่านทางเครื่องมือการดูแลระบบ Windows ซึ่งสามารถเข้าถึงได้หากไม่มีรหัสผ่านในคอมพิวเตอร์ หากมัลแวร์ไม่สามารถทำได้ในลักษณะเดียวก็จะพยายามใช้วิธีอื่นโดยอัตโนมัติซึ่งเป็นวิธีการแพร่กระจายอย่างรวดเร็วระหว่างองค์กรเหล่านี้

ดังนั้น "Petya" กระจายได้ง่ายกว่า WannaCry ตามที่ผู้เชี่ยวชาญด้านความปลอดภัยในโลกไซเบอร์

มีวิธีการป้องกันตัวเองจาก "Petya? "

ตอนนี้คุณอาจจะสงสัยว่ามีวิธีใดในการป้องกันตัวเองจาก" Petya " "บริษัท ซอฟต์แวร์ป้องกันไวรัสรายใหญ่ ๆ ส่วนใหญ่ได้อ้างว่าได้อัปเดตซอฟต์แวร์เพื่อช่วยในการตรวจจับไม่เพียง แต่เพื่อป้องกันการติดเชื้อมัลแวร์" Petya "เท่านั้น ตัวอย่างเช่นซอฟต์แวร์ Symantec ได้รับการปกป้องจาก "Petya" และ Kaspersky ได้อัปเดตซอฟต์แวร์ทั้งหมดเพื่อช่วยลูกค้าปกป้องตนเองจากมัลแวร์ ด้านบนนี้คุณสามารถป้องกันตัวเองโดยการรักษา Windows ปรับปรุง หากคุณไม่ได้ทำอย่างอื่นอย่างน้อยต้องติดตั้งแพทช์ที่สำคัญที่ Windows ออกมาในเดือนมีนาคมซึ่งช่วยปกป้องช่องโหว่ EternalBlue นี้ นี้จะหยุดหนึ่งในวิธีที่สำคัญที่จะติดเชื้อและยังป้องกันการโจมตีในอนาคต

มีการป้องกันเพิ่มเติมสำหรับการระบาดของมัลแวร์ "Petya" อีกด้วยและเพิ่งได้รับการค้นพบเมื่อเร็ว ๆ นี้ มัลแวร์ตรวจสอบไดรฟ์ C: สำหรับไฟล์แบบอ่านอย่างเดียวที่เรียกว่า perfc ดาด หากมัลแวร์พบไฟล์นี้ระบบจะไม่เรียกใช้การเข้ารหัส อย่างไรก็ตามแม้ว่าคุณจะมีไฟล์นี้ แต่ก็ไม่สามารถป้องกันมัลแวร์ได้ ยังสามารถแพร่กระจายมัลแวร์ไปยังคอมพิวเตอร์เครื่องอื่น ๆ ในเครือข่ายแม้ว่าผู้ใช้จะไม่สังเกตเห็นคอมพิวเตอร์ของตนก็ตาม

ทำไมมัลแวร์นี้เรียกว่า "Petya? "

คุณอาจสงสัยว่าทำไมมัลแวร์นี้จึงมีชื่อว่า" Petya " "จริงๆแล้วมันไม่ใช่เทคนิคที่เรียกว่า" Petya " "แต่ดูเหมือนว่าจะใช้รหัสร่วมกับโค้ดเก่าที่เรียกว่า" Petya " "ภายในไม่กี่ชั่วโมงหลังจากการระบาดครั้งแรกผู้เชี่ยวชาญด้านความปลอดภัยตั้งข้อสังเกตว่าทั้งสองค่าไถ่ไม่เหมือนกันเหมือนกับที่คิดก่อน ดังนั้นนักวิจัยจาก Kaspersky Lab จึงเริ่มพูดถึงมัลแวร์ว่า "NotPetya" (เดิม!) รวมถึงชื่ออื่น ๆ เช่น "Petna" และ "Pneytna" "นอกจากนี้นักวิจัยคนอื่น ๆ ยังเรียกชื่อโปรแกรมอื่น ๆ เช่น" Goldeneye "ซึ่ง Bitdefender จากโรมาเนียเริ่มเรียกมันว่า อย่างไรก็ตาม "Petya" ติดอยู่แล้ว

เริ่มต้น "Petya" ที่ไหน?

คุณกำลังสงสัยว่า "Petya" เริ่มต้นอยู่ที่ไหน? ดูเหมือนว่าจะเริ่มจากกลไกการอัปเดตจากซอฟต์แวร์ที่มีอยู่ในโปรแกรมบัญชีบางอย่าง บริษัท เหล่านี้กำลังทำงานร่วมกับรัฐบาลยูเครนและรัฐบาลต้องใช้โปรแกรมพิเศษนี้ นี่คือเหตุผลที่ บริษัท จำนวนมากในยูเครนได้รับผลกระทบจากสิ่งนี้องค์กรต่างๆ ได้แก่ ธนาคารรัฐบาลระบบรถไฟใต้ดินของเคียฟสนามบินเคียฟรายใหญ่และระบบสาธารณูปโภคของรัฐ

ระบบตรวจจับระดับรังสีที่เชอร์โนบิลยังได้รับผลกระทบจากค่าไถ่และในที่สุดได้รับการออฟไลน์ บังคับให้พนักงานใช้อุปกรณ์มือถือเพื่อวัดรังสีในเขตยกเว้น ด้านบนมีการติดเชื้อมัลแวร์ครั้งที่สองที่เกิดขึ้นโดยแคมเปญที่มีอีเมลแนบซึ่งเต็มไปด้วยมัลแวร์

การติดเชื้อ "Petya" แพร่กระจายไปไกลแค่ไหน?

เครื่องมือไถ่ถอน "Petya" แพร่กระจายออกไปได้ไกลและกว้างและทำให้ธุรกิจของ บริษัท ต่างๆทั้งในสหรัฐฯและในยุโรปหยุดชะงัก ตัวอย่างเช่น WPP บริษัท โฆษณาในสหรัฐฯ Saint-Gobain บริษัท วัสดุก่อสร้างในประเทศฝรั่งเศสและ Rosneft และ Evraz บริษัท น้ำมันและเหล็กกล้าในรัสเซียก็ได้รับผลกระทบเช่นกัน เฮิร์ทแวลลีย์เฮลธ์ซิสเต็มส์ยังได้รับความเสียหายจากมัลแวร์ "Petya" อีกด้วย บริษัท นี้ดำเนินการโรงพยาบาลและสถานที่ดูแลทั่วพื้นที่พิตส์เบิร์ก

อย่างไรก็ตามใน WannaCry มัลแวร์ "Petya" พยายามแพร่กระจายได้อย่างรวดเร็วผ่านเครือข่ายที่เข้าถึงได้ แต่ก็ไม่ได้พยายามแพร่กระจายออกไปนอกเครือข่าย ความจริงเรื่องนี้เพียงอย่างเดียวอาจช่วยผู้ที่ตกเป็นเหยื่อของมัลแวร์นี้ได้เนื่องจากมีข้อ จำกัด ในการแพร่ระบาดของซอฟต์แวร์นี้ ดังนั้นดูเหมือนว่าจะมีการลดจำนวนการติดเชื้อใหม่ ๆ ลงบ้าง

อะไรคือแรงจูงใจสำหรับอาชญากรไซเบอร์ที่ส่ง "Petya? "เมื่อมีการค้นพบ" Petya "ครั้งแรกดูเหมือนว่าการแพร่ระบาดของมัลแวร์นั้นเป็นเพียงแค่ความพยายามของอาชญากรทางไซเบอร์เพื่อใช้ประโยชน์จากอาวุธไซเบอร์แบบออนไลน์ที่รั่วไหล อย่างไรก็ตามเมื่อผู้เชี่ยวชาญด้านความปลอดภัยมองอย่างใกล้ชิดมากกว่าเมื่อมีการระบาดของมัลแวร์ "Petya" พวกเขากล่าวว่ากลไกบางอย่างเช่นวิธีการชำระเงินจะถูกเก็บรวบรวมค่อนข้างชำนาญดังนั้นพวกเขาจึงไม่เชื่อว่าอาชญาไซเบอร์ร้ายแรงอยู่เบื้องหลัง

ขั้นแรกให้ค่าไถ่ที่มาพร้อมกับมัลแวร์ "Petya" รวมถึงที่อยู่สำหรับการชำระเงินเดียวกันทั้งหมดสำหรับเหยื่อมัลแวร์ทุกราย นี่เป็นเรื่องแปลกเพราะผู้เชี่ยวชาญสร้างที่อยู่ที่กำหนดเองสำหรับแต่ละคนที่ตกเป็นเหยื่อ ประการที่สองโปรแกรมขอให้ผู้ที่ตกเป็นเหยื่อทำการสื่อสารกับผู้บุกรุกโดยตรงผ่านทางอีเมล์แอดเดรสซึ่งถูกระงับทันทีเมื่อพบว่าที่อยู่อีเมลถูกใช้สำหรับผู้ที่ตกเป็นเหยื่อ "Petya" ซึ่งหมายความว่าแม้ว่าบุคคลหนึ่งจ่ายค่าไถ่ 300 ดอลลาร์พวกเขาไม่สามารถสื่อสารกับผู้บุกรุกและพวกเขาไม่สามารถเข้าถึงคีย์ถอดรหัสเพื่อปลดล็อกคอมพิวเตอร์หรือไฟล์ได้

ผู้บุกรุกคือใคร?

ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ไม่เชื่อว่าอาชญากรรมทางไซเบอร์แบบมืออาชีพอยู่เบื้องหลังมัลแวร์ "Petya" ดังนั้นใครคือใคร? ไม่มีใครรู้ในขณะนี้ แต่มีโอกาสที่บุคคลหรือบุคคลที่ปล่อยตัวต้องการให้มัลแวร์มีลักษณะคล้ายกับ ransomware แต่แทนที่จะเป็นอันตรายมากกว่า ransomware ทั่วไป นักวิจัยด้านความปลอดภัย Nicolas Weaver เชื่อว่า "Petya" เป็นการโจมตีที่เป็นอันตรายทำลายล้างและเจตนานักวิจัยอีกคนหนึ่งซึ่งเดินทางโดย Grugq เชื่อว่า "Petya" เป็นส่วนหนึ่งขององค์กรอาชญากรรมเพื่อหารายได้ แต่ "Petya" ไม่ได้ทำเช่นเดียวกัน พวกเขาทั้งคู่เห็นพ้องกันว่ามัลแวร์นี้ได้รับการออกแบบให้แพร่กระจายได้อย่างรวดเร็วและก่อให้เกิดความเสียหายอย่างมาก

ในขณะที่เรากล่าวถึงนี้ยูเครนได้รับผลกระทบอย่างหนักจาก "Petya" และประเทศได้ชี้มือไปที่รัสเซีย ไม่น่าแปลกใจที่การพิจารณาคดีนี้ทำให้รัสเซียเห็นว่ารัสเซียเป็นประเทศที่มีการโจมตีทางอินเทอร์เน็ตก่อนหน้านี้ด้วย หนึ่งในการโจมตีทางอินเทอร์เน็ตเหล่านี้เกิดขึ้นในปีพ. ศ. 2558 และมุ่งเป้าไปที่กริดของยูเครน ในที่สุดมันก็จบลงด้วยการออกจากส่วนตะวันตกของยูเครนโดยไม่ได้รับอำนาจใด ๆ รัสเซียอย่างไรก็ตามปฏิเสธการมีส่วนร่วมในการโจมตีทางอินเทอร์เน็ตเกี่ยวกับยูเครน

คุณควรทำอย่างไรหากคุณเชื่อว่าคุณเป็นเหยื่อของ Ransomware?

คุณคิดว่าคุณอาจตกเป็นเหยื่อของการโจมตี ransomware หรือไม่? การโจมตีครั้งนี้เป็นการโจมตีคอมพิวเตอร์และรอประมาณหนึ่งชั่วโมงก่อนที่คอมพิวเตอร์จะเริ่มต้นใหม่โดยอัตโนมัติ หากเกิดเหตุการณ์เช่นนี้ให้ลองปิดคอมพิวเตอร์ทันที ซึ่งอาจป้องกันไม่ให้ไฟล์ในคอมพิวเตอร์ถูกเข้ารหัส ณ จุดนี้คุณสามารถลองนำไฟล์ออกจากเครื่องได้

ถ้าคอมพิวเตอร์เสร็จสิ้นการรีบูตและค่าไถ่ไม่ปรากฏขึ้นอย่าจ่ายเงิน โปรดจำไว้ว่าที่อยู่อีเมลที่ใช้ในการรวบรวมข้อมูลจากผู้ที่ตกเป็นเหยื่อและเพื่อส่งคีย์จะถูกปิดลง ดังนั้นให้ถอดพีซีออกจากอินเทอร์เน็ตและเครือข่ายฟอร์แมตฮาร์ดดิสก์แล้วใช้การสำรองข้อมูลเพื่อติดตั้งไฟล์ใหม่ ตรวจสอบให้แน่ใจว่าคุณได้สำรองไฟล์ของคุณอยู่เป็นประจำเสมอและคอยอัพเดตซอฟต์แวร์ป้องกันไวรัสอยู่เสมอ