Uncategorized

พบ Ransomware ใหม่ เขียนทับ MBR ล็อกไม่ให้เหยื่อใช้คอมพิวเตอร์

trend_micro_logo_h50

Trend Micro ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยชั้นนำของโลก ได้ออกมาเปิดเผยถึง Ransomware หรือมัลแวร์เรียกค่าไถ่รูปแบบใหม่ ที่ไม่ได้เข้ารหัสไฟล์อีกต่อไป แต่ทำการเขียนทับ Master Boot Record (MBR) เพื่อไม่ให้เครื่องของเหยื่อบูท OS ได้ พร้อมเรียกค่าไถ่ในการปลดล็อคเพื่อเข้าใช้คอมพิวเตอร์ Trend Micro เรียกมัลแวร์ตัวนี้ว่า Petya Ransomware

Credit: Macrovector/ShutterStock
Credit: Macrovector/ShutterStock

แพร่กระจายผ่านอีเมลในรูปของจดหมายสมัครงาน

Trend Micro ระบุว่า Petya จะแพร่กระจายตัวผ่าน Spam Emails โดยจ่าหน้าเป็นเรื่องการสมัครงาน และภายในอีเมลจะแนบลิงค์ให้ดาวน์โหลดไฟล์ ZIP ซึ่งระบุว่าเป็น Resume และรูปภาพ ถ้า HR หรือผู้ที่เกี่ยวข้องเผลอดาวน์โหลดและดับเบิลคลิ้กเพื่อแตกไฟล์ ZIP ดังกล่าว Petya Ransomware จะถูกติดตั้งลงบนเครื่องทันที

เขียนโค้ดทับ MBR ส่งผลให้เกิด Blue Screen of Death

เมื่อติดตั้งตัวเองลงบนเครื่องแล้ว Petya จะทำการเขียนทับ MBR ซึ่งเป็นโค้ดที่เก็บอยู่ในส่วนแรกสุดของ HDD มีหน้าที่เก็บข้อมูลเกี่ยวกับ Partition ของ HDD และเริ่มต้นการทำงานของ OS Boot Loader ถ้า MBR มีปัญหาจะส่งผลให้คอมพิวเตอร์ไม่ทราบว่า OS อยู่ใน Partition ใด และจะเริ่มต้นการทำงานอย่างไร ซึ่งหลังจากที่ MBR ถูก Petya เขียนทับแล้ว จะทำให้คอมพิวเตอร์เกิดความผิดพลาดขึ้นจนต้องรีบูท หรือที่รู้จักกันดีในนาม “Blue Screen of Death”

เข้ารหัส MFT เพื่อไม่ให้ OS ทราบว่าไฟล์ถูกเก็บไว้ที่ใด

หลังจากที่รีบูทใหม่ โค้ด MBR ที่ถูกเขียนใหม่จะแสดงการตรวจสอบ HDD ปลอมๆ ขึ้นมา ที่เรามักจะเห็นหลังจากที่ HDD เกิดความผิดปกติ หรือปิดเครื่องโดยไม่ Shutdown ให้เรียบร้อย แท้ที่จริงแล้ว ระหว่างกระบวนการนี้ Petya จะทำการเข้ารหัส Master File Table (MFT) ซึ่งเป็นไฟล์พิเศษบน NTFS Partitions ที่ทำหน้าที่เก็บข้อมูลเกี่ยวกับไฟล์อื่นๆ เช่น ชื่อไฟล์ ขนาด และการแม็บตัวไฟล์เข้ากับส่วนของ HDD ส่งผลให้ OS ไม่ทราบว่าไฟล์ทั้งหลายถูกเก็บอยู่ที่ส่วนใดของ HDD อีกต่อไป

เรียกค่าไถ่ 0.99 Bitcoins

เมื่อเข้ารหัสไฟล์ MFT เสร็จเรียบร้อยแล้ว โค้ด MBR จะทำการแสดงผลข้อความเรียกค่าไถ่ที่มาพร้อมกับรูปหัวกะโหลกที่วาดโดยตัวอักษร ASCII ซึ่งข้อความดังกล่าวจะแนะนำให้ผู้ใช้เข้าถึงเว็บไซต์สำหรับปลดรหัสของแฮ็คเกอร์ผ่านทางเครือข่าย Tor และให้ชำระค่าไถ่เป็นจำนวนเงิน 0.99 BTC หรือประมาณ 15,000 บาท

petya_ransomware

อาจกู้ไฟล์คืนได้โดยใช้โปรแกรม Data Recovery

Trend Micro ระบุว่า Petya Ransomware นี้กำลังแพร่กระจายอย่างหนักในประเทศเยอรมนี ซึ่งคาดว่าจะเริ่มแพร่กระจายไปยังทั่วโลกเร็วๆนี้ อย่างไรก็ตาม ข่าวดีคือ Petya ไม่ได้เข้ารหัสไฟล์ข้อมูลจริงๆ แต่เป็นการเข้ารหัส MFT ซึ่งเก็บตำแหน่งของไฟล์ข้อมูลบน HDD ส่งผลให้สามารถกู้ไฟล์คืนโดยใช้โปรแกรมจำพวก Data Recovery ได้ แต่ก็อาจจะต้องเสียเวลานานพอสมควร

ที่มา: http://www.csoonline.com/article/3048319/security/petya-ransomware-overwrites-mbrs-locking-users-out-of-their-computers.html

from:https://www.techtalkthai.com/petya-ransomware-rewrites-mbr-to-lock-computers/