ส่งข่าวเตือนภัย global cyberattack เรียกค่าไถ่ระลอกใหม่ จาก ransomware อีกตัว ชื่อ Petwrap (บางค่ายตั้งชื่อว่า NotPetya เพราะมีลักษณะคล้าย ransomware ตัวเก่า ชื่อ Petya แต่ดูเหมือนจะแตกต่างกัน)

  • กลไกการโจมตี ใช้ช่องโหว่ของ Windows อันเดียวกันกับ WannaCry
  • หากติด ransomware แล้ว หน้าจอจะขึ้นสีน้ำเงิน และเมื่อ restart จะ lock เข้ารหัสข้อมูลและขึ้นข้อความสีแดงบนพื้นสีดำว่าติดเชื้อแล้ว

 

RansomwarePetya

วิธีป้องกันก่อนติดเชื้อ

  • อุด patch ของ Windows โดยเฉพาะช่องโหว่เดียวกับ WannaCry คือ MS17-10 เครื่อง Windows เก่าๆ เช่น Windows XP Microsoft ก็ออก patch ช่องโหว่นี้แล้วเช่นกัน จึงควร patch ด้วย
  • หาก patch ไม่ได้ ควรปิด port SMBv1 หากไม่จำเป็นต้องใช้ (เครื่องภายในองค์กรควรปรึกษา IT Admin ก่อน)
  • Backup ข้อมูลสำคัญไว้นอกเครื่องเป็นประจำ
  • มีพฤติกรรมระวังในการเปิดลิงก์หรือไฟล์แนบของอีเมลอยู่เสมอ

วิธีแก้ไขเบื้องต้นเมื่อติด NotPetya แล้ว

  • เมื่อขึ้นหน้าจอสีน้ำเงิน แสดงว่าติดแล้ว อย่าเพิ่ง restart เครื่อง เพราะ ransomware จะเริ่มทำการเข้ารหัสข้อมูล
  • ให้ Shut Down เครื่อง, ถอดสาย LAN (ถ้ามี)

WannaWiki ช่วยแก้ปัญหามัลแวร์เรียกค่าไถ่ WannaCry มีผู้เขียนโปรแกรมสำหรับถอดรหัสไฟล์ที่ถูก WannaCry เข้ารหัสไว้ได้แล้ว โปรแกรมนี้ชื่อ WannaWiki สามารถดาวน์โหลดได้ที่ https://github.com/gentilkiwi/wanakiwi/releases โปรแกรมนี้ไม่รับรองว่าจะใช้ได้ผล 100% เพราะโปรแกรมนี้ใช้ร่องรอยที่ยังคงเหลืออยู่ในหน่วยความจำมาใช้คำนวณหาคีย์ที่จะใช้ถอดรหัส ร่องรอยนี้ยังคงอยู่ ถ้าเครื่องที่โดนเข้ารหัสยังไม่ restart และข้อมูลส่วนนั้นยังไม่ถูกทับด้วยข้อมูลอื่น ดังนั้น ถ้าโดน WannaCry เข้ารหัสข้อมูลในเครื่องของท่าน ยังมีโอกาสกู้ข้อมูลคืนได้ แต่ต้องไม่ shutdown หรือ restart เครื่อง และพยายามอย่าใช้เครื่อง เพื่อให้ร่องรอยที่ว่ามีโอกาสถูกรบกวนน้อยที่สุด จะได้ไม่ทำลายร่องรอยที่จะเป็นประโยชน์ในการกู้คืนข้อมูล

วิธีถอดรหัสนี้ถูกค้นพบโดย Adrien Guinet นักวิจัยด้านความมั่นคงชาวฝรั่งเศสจาก Quarkslab เขานำมัลแวร์ WannaCry มาแกะ พบว่าโปรแกรมนี้ไม่ได้เข้ารหัสเอง แต่ใช้บริการเข้ารหัสจากระบบปฏิบัติการของวินโดวส์ (Windows Crypto API) ช่วยทำให้มัลแวร์ Adrien Guinet พบว่า WannaCry ใช้ prime number ในการสร้างคีย์ที่ใช้ในการเข้ารหัส ถึงแม้ว่า WannaCry เข้ารหัสเสร็จแล้ว และคืนหน่วยความจำที่เก็บคีย์ให้ระบบปฏิบัติการไปแล้ว แต่ผู้เขียนโปรแกรม WannaCry พลาดตรงที่ไม่ได้ล้างค่าของคีย์ ค่าของคีย์จึงยังค้างอยู่ เขาจึงเขียนโปรแกรม WannaKey ขึ้นมาเพื่อสแกนหาค่าของคีย์ที่อาจยังหลงเหลืออยู่ ถ้าโชคดีหาคีย์เจอ โปรแกรมนี้จะแจ้งค่าคีย์ให้นำไปใช้ในการถอดรหัส หรือกู้ไฟล์คืนมา แต่ต้องทำเองแบบ manual

โปรแกรม WannaKey มีข้อจำกัดคือใช้ได้กับ Windows XP เท่านั้น และใช้งานไม่สะดวก Benjamin Delpy นักวิจัยด้านความมั่นคงอีกท่านได้นำสิ่งที่ Guinet ค้นพบไปเขียนเป็นโปรแกรม WannaWiki ให้ใช้งานง่ายขึ้น และใช้ได้กับ Windows Xp, Windows 7, Windows Vista, Windows Server 2003 และ Windows Server 2008 

หมวดหมู่รอง