สารบัญ
- NotPetya ransomware คืออะไร?
- ใครที่คุณปกป้องตัวเองจากมัน?
NotPetya ransomware คืออะไร?
นอตเปตยา (หรือ ห่อสัตว์เลี้ยง) ขึ้นอยู่กับเวอร์ชันเก่าของ แรนซั่มแวร์ Petyaซึ่งแต่เดิมได้รับการออกแบบมาเพื่อเก็บไฟล์และอุปกรณ์เป็นตัวประกันเพื่อการชำระเงิน Bitcoin อย่างไรก็ตาม ความพยายามของ NotPetya ในการรวบรวมเงิน ในการโจมตีระดับโลกที่ดำเนินไปอย่างรวดเร็ว ดูเหมือนว่ามันไม่ได้มุ่งเป้าไปที่เงินอย่างเคร่งครัด แต่ NotPetya กลับเข้ารหัสระบบไฟล์ของเครื่องเพื่อสร้างความเสียหายให้กับบริษัท ลักษณะของแรนซัมแวร์เป็นเพียงการปกปิดเท่านั้น
วิดีโอแนะนำ
สิ่งที่ทำให้ NotPetya เป็นอันตรายก็คือภายใต้ส่วนหน้าที่ใช้แรนซัมแวร์นั้นมีช่องโหว่ที่เรียกว่า
นิรันดร์บลู, ถูกกล่าวหาว่าออกแบบโดยสำนักงานความมั่นคงแห่งชาติของสหรัฐอเมริกา (หรือที่รู้จักในชื่อ NSA) โดยกำหนดเป้าหมายโปรโตคอลเครือข่ายที่มีช่องโหว่เฉพาะที่เรียกว่า บล็อกข้อความเซิร์ฟเวอร์ (เวอร์ชัน 1) ใช้สำหรับแชร์เครื่องพิมพ์ ไฟล์ และพอร์ตอนุกรมระหว่างพีซีที่ใช้ Windows ในเครือข่าย ดังนั้นช่องโหว่นี้ทำให้ผู้โจมตีจากระยะไกลสามารถส่งและรันโค้ดที่เป็นอันตรายบนเป้าหมายได้ คอมพิวเตอร์. กลุ่มแฮกเกอร์ Shadow Brokers EternalBlue รั่วไหลออกมาในเดือนเมษายนปี 2017.แรนซั่มแวร์ NotPetya ยังมีส่วนประกอบ "หนอน" อีกด้วย โดยปกติแล้ว เหยื่อจะตกเป็นเหยื่อของแรนซัมแวร์โดยการดาวน์โหลดและเรียกใช้มัลแวร์ซึ่งปลอมตัวเป็นไฟล์ที่ถูกต้องตามกฎหมายที่แนบมาในอีเมล ในทางกลับกัน มัลแวร์จะเข้ารหัสไฟล์บางไฟล์และโพสต์หน้าต่างป๊อปอัปบนหน้าจอ โดยเรียกร้องการชำระเงินเป็น Bitcoin เพื่อปลดล็อคไฟล์เหล่านั้น
อย่างไรก็ตาม Petya ransomware ที่เกิดขึ้นในต้นปี 2559 ได้ยกระดับการโจมตีนั้นไปอีกขั้นด้วยการเข้ารหัสฮาร์ดพีซีทั้งหมด ไดรฟ์หรือโซลิดสเตตไดรฟ์โดยการติดไวรัสมาสเตอร์บูตเรกคอร์ด ซึ่งจะเขียนทับโปรแกรมที่เริ่มการบูต Windows ลำดับ. ส่งผลให้เกิดการเข้ารหัสของตารางที่ใช้ในการติดตาม ทั้งหมด ไฟล์ในเครื่อง (NTFS) ทำให้ Windows ไม่สามารถค้นหาสิ่งที่จัดเก็บไว้ในเครื่องได้
แม้จะมีความสามารถในการเข้ารหัสทั้งดิสก์ แต่ Petya ก็สามารถแพร่ระบาดไปยังพีซีเป้าหมายเดียวเท่านั้น แต่เท่าที่เห็นมาด้วย. การระบาดของ WannaCry ล่าสุดขณะนี้แรนซัมแวร์มีความสามารถในการย้ายจากพีซีไปยังพีซีบนเครือข่ายท้องถิ่นโดยที่ผู้ใช้ไม่ต้องดำเนินการใด ๆ แรนซั่มแวร์ NotPetya ใหม่มีความสามารถในการบุกรุกเครือข่ายด้านข้างแบบเดียวกัน ต่างจาก Petya เวอร์ชันดั้งเดิม
จากข้อมูลของ Microsoft หนึ่งในเวกเตอร์การโจมตีของ NotPetya คือความสามารถในการขโมยข้อมูลประจำตัวหรือใช้เซสชันที่ใช้งานอยู่ซ้ำได้
“เนื่องจากผู้ใช้มักเข้าสู่ระบบโดยใช้บัญชีที่มีสิทธิ์ของผู้ดูแลระบบภายในและมีเซสชันที่เปิดอยู่ ข้อมูลประจำตัวที่ถูกขโมยไปหลายเครื่องมีแนวโน้มที่จะให้การเข้าถึงระดับเดียวกันกับที่ผู้ใช้มีในเครื่องอื่น เครื่องจักร” บริษัทรายงาน. “เมื่อแรนซัมแวร์มีข้อมูลประจำตัวที่ถูกต้อง มันจะสแกนเครือข่ายท้องถิ่นเพื่อสร้างการเชื่อมต่อที่ถูกต้อง”
แรนซั่มแวร์ NotPetya ยังสามารถใช้การแชร์ไฟล์เพื่อเพิ่มจำนวนตัวเองในเครือข่ายท้องถิ่น และรบกวนเครื่องที่ไม่ได้รับการแพตช์กับช่องโหว่ EternalBlue Microsoft ยังกล่าวถึง โรแมนติกชั่วนิรันดร์ซึ่งเป็นช่องโหว่อื่นที่ใช้กับโปรโตคอล Server Message Block ที่คาดคะเนโดย NSA
“นี่เป็นตัวอย่างที่ดีขององค์ประกอบมัลแวร์สองตัวที่มารวมกันเพื่อสร้างมัลแวร์ที่เป็นอันตรายและยืดหยุ่นมากขึ้น” กล่าว อิวานติ หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูล ฟิล ริชาร์ดส์.
นอกเหนือจากการโจมตีที่รวดเร็วและกว้างขวางของ NotPetya แล้ว ยังมีปัญหาอีกประการหนึ่ง นั่นก็คือการชำระเงิน แรนซัมแวร์มีหน้าต่างป๊อปอัปเรียกร้องให้เหยื่อจ่ายเงิน 300 ดอลลาร์เป็น Bitcoins โดยใช้ที่อยู่ Bitcoin, ID กระเป๋าเงิน Bitcoin และหมายเลขการติดตั้งส่วนตัว ผู้ที่ตกเป็นเหยื่อจะส่งข้อมูลนี้ไปยังที่อยู่อีเมลที่ให้ไว้ซึ่งตอบกลับด้วยรหัสปลดล็อค ที่อยู่อีเมลนั้นถูกปิดลงอย่างรวดเร็วเมื่อ Posteo ผู้ให้บริการอีเมลหลักในเยอรมนีค้นพบเจตนาชั่วร้ายของตน
“เราพบว่าขณะนี้ผู้แบล็กเมล์แรนซัมแวร์กำลังใช้ที่อยู่ Posteo เป็นวิธีการติดต่อ ทีมต่อต้านการละเมิดของเราตรวจสอบสิ่งนี้ทันที – และบล็อกบัญชีทันที” บริษัทกล่าว. “เราไม่ยอมรับการใช้แพลตฟอร์มของเราในทางที่ผิด: การบล็อกบัญชีอีเมลที่ใช้งานในทางที่ผิดโดยทันทีเป็นแนวทางที่จำเป็นของผู้ให้บริการในกรณีเช่นนี้”
นั่นหมายความว่าความพยายามในการชำระเงินจะไม่มีวันสำเร็จ แม้ว่าการชำระเงินจะเป็นเป้าหมายของมัลแวร์ก็ตาม
สุดท้ายนี้ Microsoft ระบุว่าการโจมตีเกิดขึ้นจากบริษัท M.E.Doc ของยูเครน ซึ่งเป็นผู้พัฒนาซอฟต์แวร์บัญชีภาษี MEDoc Microsoft ดูเหมือนจะไม่ได้ชี้นิ้ว แต่กลับระบุว่ามีหลักฐานว่า "มีการติดไวรัสที่ใช้งานอยู่เล็กน้อยของ แรนซัมแวร์เริ่มต้นจากกระบวนการอัพเดต MEDoc ที่ถูกต้องตามกฎหมาย” Microsoft ระบุว่าการติดเชื้อประเภทนี้กำลังเพิ่มมากขึ้น แนวโน้ม.
ระบบใดบ้างที่มีความเสี่ยง?
ในตอนนี้ ดูเหมือนว่ามัลแวร์เรียกค่าไถ่ NotPetya จะมุ่งเน้นไปที่การโจมตีพีซีที่ใช้ Windows ในองค์กร ตัวอย่างเช่นระบบตรวจสอบรังสีทั้งหมดที่อยู่ในโรงไฟฟ้านิวเคลียร์เชอร์โนบิลคือ ล้มลงในการโจมตี. ที่นี่ในสหรัฐอเมริกาการโจมตี โจมตีระบบสุขภาพ Heritage Valley ทั้งหมดส่งผลกระทบต่อสถานพยาบาลทั้งหมดที่ต้องอาศัยเครือข่าย รวมถึงโรงพยาบาลบีเวอร์และซีวิคลีย์ในเพนซิลเวเนีย สนามบินเคียฟ บอรีสปิล ในยูเครน ประสบปัญหาตารางเที่ยวบิน ความล่าช้าและเว็บไซต์ถูกทำให้ออฟไลน์เนื่องจากการโจมตี
น่าเสียดายที่ไม่มีข้อมูลที่ชี้ไปยังเวอร์ชันที่แน่นอนของ Windows ที่มัลแวร์เรียกค่าไถ่ NotPetya กำหนดเป้าหมายอยู่ รายงานความปลอดภัยของ Microsoft ไม่ได้แสดงรายการ Windows รุ่นเฉพาะเจาะจง แม้ว่าจะปลอดภัย แต่ลูกค้าก็ควรยอมรับ การที่ Windows รุ่นเชิงพาณิชย์และรุ่นหลักทั้งหมดตั้งแต่ Windows XP ไปจนถึง Windows 10 ตกอยู่ภายใต้การโจมตี หน้าต่าง. ท้ายที่สุดแล้ว เครื่องเป้าหมาย WannaCry ที่ติดตั้ง Windows XP.
ใครที่คุณปกป้องตัวเองจากมัน?
Microsoft ได้ออกการอัปเดตที่บล็อกการหาประโยชน์จาก EternalBlue และ EternalRomance ที่ใช้โดยการระบาดของมัลแวร์ล่าสุดนี้แล้ว Microsoft กล่าวถึงทั้งคู่ในวันที่ 14 มีนาคม 2017 ด้วยการเปิดตัว อัพเดตความปลอดภัย MS17-010. นั่นเป็นเวลากว่าสามเดือนที่แล้ว หมายความว่าบริษัทต่างๆ ที่ถูกโจมตีโดย NotPetya ผ่านการใช้ประโยชน์นี้ยังไม่ได้อัปเดต พีซีของพวกเขา Microsoft แนะนำให้ลูกค้าติดตั้งการอัปเดตความปลอดภัย MS17-010 ทันทีหากยังไม่ได้ดำเนินการ เรียบร้อยแล้ว.
การติดตั้งการอัปเดตความปลอดภัยเป็นวิธีที่มีประสิทธิภาพที่สุดในการปกป้องพีซีของคุณ
สำหรับองค์กรที่ยังไม่สามารถใช้การอัปเดตความปลอดภัยได้ มีสองวิธีที่จะป้องกันการแพร่กระจายของแรนซัมแวร์ NotPetya: ปิดการใช้งาน Server Message Block เวอร์ชัน 1 อย่างสมบูรณ์และ/หรือสร้างกฎในเราเตอร์หรือไฟร์วอลล์ที่บล็อกการรับส่งข้อมูล Server Message Block ขาเข้าบนพอร์ต 445
มีอีกคนหนึ่ง วิธีป้องกันการติดเชื้อแบบง่ายๆ. เริ่มโดย กำลังเปิด File Explorer และโหลดโฟลเดอร์ไดเร็กทอรี Windows ซึ่งโดยทั่วไปจะเป็น “C:\Windows” ที่นั่นคุณจะต้องสร้าง ไฟล์ชื่อ “perfc” (ใช่โดยไม่มีนามสกุล) และตั้งค่าการอนุญาตเป็น “อ่านอย่างเดียว” (ผ่านทั่วไป/คุณสมบัติ)
แน่นอนว่าไม่มีตัวเลือกที่แท้จริงในการสร้างไฟล์ใหม่ในไดเร็กทอรี Windows มีเพียงตัวเลือกโฟลเดอร์ใหม่เท่านั้น วิธีที่ดีที่สุดในการสร้างไฟล์นี้คือเปิด Notepad และบันทึกไฟล์ “perfc.txt” เปล่าในโฟลเดอร์ Windows หลังจากนั้น เพียงลบนามสกุล “.txt” ในชื่อ ยอมรับคำเตือนป๊อปอัปของ Window และคลิกขวาที่ไฟล์เพื่อเปลี่ยนการอนุญาตเป็น “อ่านอย่างเดียว”
ดังนั้น เมื่อ NotPetya ติดไวรัสในพีซี มันจะสแกนโฟลเดอร์ Windows เพื่อหาไฟล์นั้น ๆ ซึ่งจริงๆ แล้วเป็นชื่อไฟล์ของมันเอง หากมีไฟล์ perfc อยู่แล้ว NotPetya จะถือว่าระบบติดไวรัสแล้ว และจะหยุดทำงาน อย่างไรก็ตาม เมื่อความลับนี้เปิดเผยต่อสาธารณะแล้ว แฮกเกอร์อาจกลับไปที่กระดานวาดภาพและแก้ไขแรนซัมแวร์ NotPetya ให้ขึ้นอยู่กับไฟล์อื่น
คำแนะนำของบรรณาธิการ
- เกมนี้ให้แฮกเกอร์โจมตีพีซีของคุณได้ และคุณไม่จำเป็นต้องเล่นด้วยซ้ำ
- ทำงานอย่างมีประสิทธิผลสูงสุดด้วยเคล็ดลับและคำแนะนำของ Slack
