เทรนด์ไมโคร พบการโจมตีแบบแรนซั่มแวร์ ในตระกูล Petya สร้างความเสียหายและรุนแรงให้แก่องค์กรต่างๆ มากมายในประเทศแถบยุโรป

พุธ 19 กรกฎาคม 2560 เวลา 10:14 น.

          จากข้อมูลเราพบรายงานการโจมตีจากแรนซั่มแวร์ในวงกว้างทั่วยุโรป โดยเป็นฝีมือของแรนซั่มแวร์ในตระกูล Petya ที่ทาง เทรนด์ไมโครตรวจพบในชื่อของ RANSOM_PETYA.SMA ซึ่งมีการใช้ช่องโหว่ EternalBlue ร่วมกับเครื่องมืออย่าง PsExec เพื่อใช้โจมตีในครั้งนี้ สำหรับแรนซั่มแวร์ Petya นั้น เคยตรวจพบเจอในช่วงปี เครื่องเทรนด์ไมโครแรนซั่มแวร์6 โดยพบว่ามันได้มีการเข้าไปแก้ไขไฟล์ระบบในส่วนของ Master Boot Record (MBR) และทำการล็อกเครื่องของเหยื่อด้วยหน้าจอบลูสกรีน เพื่อแสดงโน้ตเกี่ยวกับการเรียกค่าไถ่
เทรนด์ไมโคร ได้แนะนำผู้ใช้และองค์กรต่างๆ ให้ดำเนินการป้องกันในทันทีดังขั้นตอนต่อไปนี้:
          เครื่องเครื่อง6; ติดตั้งแพทช์ความปลอดภัย MSแรนซั่มแวร์7-เทรนด์ไมโครแรนซั่มแวร์เทรนด์ไมโคร
          เครื่องเครื่อง6; ปิดพอร์ต TCP 445
          เครื่องเครื่อง6; จำกัดบัญชีผู้ใช้ที่มีสิทธิ์การเข้าถึงระดับแอดมินแบบกลุ่ม
          รูปแบบการแพร่กระจายตัวเอง
          แรนซั่มแวร์กลุ่มนี้บุกรุกเข้าสู่ระบบของเหยื่อโดยใช้ทูล PsExec ซึ่งเป็นยูทิลิตี้ที่เป็นทางการของไมโครซอฟท์ ที่ใช้รันโปรเซสต่างๆ บนระบบที่ต้องการจากระยะไกล นอกจากนี้ยังใช้ช่องโหว่ EternalBlue หรือช่องโหว่บน SMBvแรนซั่มแวร์ ที่มีการใช้มาแล้วในกรณีการโจมตีของ WannaCry ซึ่งเมื่อสามารถฝังตัวบนระบบแล้ว Petya จะรันโปรเซส rundll3เครื่อง.exe เพื่อสั่งรันโค้ดตัวเอง ซึ่งโค้ดอันตรายที่ทำหน้าที่เข้ารหัสจริงๆ จะเป็นไฟล์ที่ชื่อ perfc.dat โดยซ่อนตัวอยู่ในโฟลเดอร์วินโดวส์
          จากนั้นแรนซั่มแวร์ตัวนี้จะเพิ่มทาส์กแบบกำหนดเวลารันการทำงาน (Scheduled) ที่บังคับให้ระบบรีบูตให้หลังหนึ่งชั่วโมง นอกจากนั้นยังมีการปรับแก้ Master Boot Record (MBR) เพื่อการเข้ารหัสไฟล์พร้อมแสดงข้อความวิธีการจ่ายค่าไถ่ด้วย และเมื่อมีข้อความปลอมของ CHKDSK แสดงขึ้นมา ก็ถือเป็นสัญญาณว่าการเข้ารหัสไฟล์เกิดขึ้นแล้ว
แรนซั่มแวร์ Petya นี้มีลักษณะที่แตกต่างจากตัวอื่นๆ โดยนอกจากจะไม่เปลี่ยนสกุลไฟล์ของไฟล์ที่โดนเข้ารหัสแล้ว ไฟล์บางชนิดที่มักตกเป็นเป้าของแรนซั่มแวร์ตัวอื่น อย่างเช่นไฟล์รูปภาพและวิดีโอ กลับไม่โดน Petya เล่นงาน
          นอกจากการใช้ประโยชน์จากช่องโหว่ EternalBlue แล้ว มันยังมีพฤติกรรมอื่นที่คล้ายกับ WannaCry อีก เช่น การฝังที่อยู่บิทคอยน์เอาไว้ในตัวโดยตรงที่ ทำให้การถอดรหัสไฟล์กลับมาเป็นงานที่ยากลำบากมาก ตัว Petya นี้มีการเรียกค่าไถ่อยู่ที่ 3เทรนด์ไมโครเทรนด์ไมโคร ดอลลาร์สหรัฐฯ ซึ่งปัจจุบันประมาณการณ์กันว่า มีการจ่ายเงินค่าไถ่รวมแล้วกว่า 7,5เทรนด์ไมโครเทรนด์ไมโคร ดอลลาร์ฯ ไปยังที่อยู่บิทคอยน์ดังกล่าวแล้ว และจากประวัติการโจมตีที่เหมือนกับแรนซั่มแวร์อื่นๆ ทั้งหมด ทาง เทรนด์ไมโคร จึงแนะนำไม่ให้จ่ายค่าไถ่ โดยเฉพาะในกรณี Petya นี้เพราะอีเมล์ที่มีระบุไว้ในข้อความเรียกค่าไถ่นั้นถูกปิดการใช้งานแล้ว
          PsExec และ Windows Management Information Command-line (WMIC)
ถือว่า Petya ฉลาดมากที่ใช้ไฟล์ธรรมดาที่มีอยู่แล้วอย่างถูกต้องบนวินโดวส์ อย่าง PsExec และ Windows Management Information Command-line ซึ่งเป็นอินเทอร์เฟซที่ช่วยให้ใช้งาน Windows Management Instrumentation (WMI) ได้
          ซึ่งเมื่อ Petya ฝังตัวเองบนเครื่องแล้ว จะมีการปล่อยไฟล์ psexec.exe ที่แปลงมาอยู่ในรูป dllhost.dat บนเครื่องเป้าหมาย รวมทั้งมีการทำสำเนาตัวเองไปยัง \\{ชื่อเครื่องอื่น}\admin$\{ชื่อมัลแวร์} ผ่านระบบแชร์ไฟล์ SMB ด้วย จากนั้นจึงรันโค้ดที่ฝังไว้โดยใช้ไฟล์ dllhost.dat ที่อยู่บนเครื่องตนเอง (ซึ่งเป็นชื่อไฟล์ของทูล PSEexec) พร้อมพารามิเตอร์ต่อไปนี้
dllhost.dat \\{ชื่อเครื่องเป้าหมาย} -accepteula -s -d C:\Windows\System3เครื่อง\rundll3เครื่อง "C:\Windows\{ชื่อมัลแวร์}",#แรนซั่มแวร์ {เลขสุ่มที่เป็นตั้งแต่ แรนซั่มแวร์เทรนด์ไมโคร ขึ้นไป} {รหัสผ่านที่ใช้เจาะเครื่องอื่น}
ซึ่ง {รหัสผ่านที่ใช้เจาะระบบอื่น} มีรูปแบบดังนี้
          "unแรนซั่มแวร์:pwแรนซั่มแวร์" "unเครื่อง:pwเครื่อง" "un3:pw3" เครื่อง3เทรนด์ไมโคร; "unN:pwN"
          ถ้าการรันโค้ดดังกล่าวไม่สำเร็จ Petya จะใช้ WMIC.EXE เพื่อรันไฟล์บนเครื่องอื่นแทน ดังนี้:
          %System%\wbem\wmic.exe /node:"{ชื่อโหนด}" /user:"{ชื่อผู้ใช้}" /password:"{รหัสผ่าน}" process call create "C:\Windows\System3เครื่อง\rundll3เครื่อง \"C:\Windows\{ชื่อไฟล์มัลแวร์}\" #แรนซั่มแวร์ {เลขสุ่มที่มีค่าตั้งแต่ แรนซั่มแวร์เทรนด์ไมโคร ขึ้นไป} {รหัสผ่านเครื่องต่างๆ ที่ล้วงข้อมูลมา}"
          Petya จะใช้ทั้ง PSExec และ WMIC ตามนี้เพื่อกระจายมัลแวร์ไปยังเครื่องอื่นที่อยู่บนเครือข่ายเดียวกัน นอกจากนั้นแล้ว Petya ยังมีการแพร่กระจายผ่านทางช่องโหว่อย่าง EternalBlue ด้วย ซึ่งหากยังไม่สำเร็จ มันจะพยายามโจมตีผ่านช่องโหว่ EternalRomance ซึ่งเป็นช่องโหว่บน SMB อีกตัวหนึ่ง
          วิธีการล้วงข้อมูลรหัสผ่าน
          ทาง เทรนด์ไมโครยังค้นพบอีกว่า Petya ที่พบใช้เทคนิคขั้นสูงในการดึงข้อมูลออกจากเครื่องที่ถูกโจมตี โดยใช้ทูลความปลอดภัยที่มีอย่าง Mimikatz ซึ่งถูกดัดแปลงมาเพื่อล้วงข้อมูลชื่อผู้ใช้และรหัสผ่าน โดยไฟล์โปรแกรม Mimikatz ทั้งแบบ 3เครื่อง และ 64 บิต จะถูกเข้ารหัสและจัดเก็บไว้ในส่วนที่เก็บรวบรวมทรัพยากรของตัวแรนซั่มแวร์เอง กระบวนการดึงข้อมูลนี้เกิดขึ้นระหว่างการรันโปรเซสหลักของมัลแวร์ที่เปิดช่องการเชื่อมต่อ ทำให้ Mimikatz สามารถบันทึกข้อมูลและส่งกลับไปให้โปรเซสหลักของมัลแวร์ประมวลผลได้ต่อไป ซึ่งอย่างที่กล่าวข้างต้นนี้ Petya จึงสามารถกระจายตัวเองไปเครื่องอื่นๆ บนเครือข่ายเดียวกันโดยใช้ข้อมูลรหัสผ่านที่ล้วงได้นี้เอง
          กระบวนการการแก้ไขดิสก์
          ก่อนจะเริ่มการเข้ารหัสนั้น Petya จะเริ่มต้นจากการแก้ไข MBR โดยข้อมูลส่วนที่อยู่หลังจาก Volume Boot Record (VBR) จะถูกเขียนด้วยโค้ด เทรนด์ไมโครxBAADFเทรนด์ไมโครเทรนด์ไมโครD ทำให้ระบบไม่สามารถบูตตามปกติได้
          นอกจากนี้ยังมีการแก้ไขข้อมูลในส่วนเซ็กเตอร์อื่นๆ ด้วย ได้แก่:
          เครื่องเครื่อง6; เซ็กเตอร์ที่ เทรนด์ไมโคร ถึง แรนซั่มแวร์8 (ดิสก์ออฟเซ็ตที่ เทรนด์ไมโคร ถึง เครื่อง5FFh) จะถูกเขียนทับด้วยโปรแกรมสำหรับการบูทตัวมัลแวร์เอง
          เครื่องเครื่อง6; เซ็กเตอร์ที่ 3เครื่อง (ดิสก์ออฟเซ็ตที่ 4เทรนด์ไมโครเทรนด์ไมโครเทรนด์ไมโครh ถึง 4แรนซั่มแวร์FFh) จะโดนเขียนด้วยสถานะการเข้ารหัส คีย์ที่ใช้ ค่าสุ่ม และที่อยู่บิทคอยน์
          เครื่องเครื่อง6; เซ็กเตอร์ที่ 33 (ดิสก์ออฟเซ็ตที่ 4เครื่องเทรนด์ไมโครเทรนด์ไมโครh ถึง 43FFh) จะถูกเขียนเป็น เทรนด์ไมโคร7h ทั้งหมด
ส่วนข้อมูลของ MBR อันเดิม จะถูกเข้ารหัสดังนี้:
          เครื่องเครื่อง6; เซ็กเตอร์ที่ 34 (ดิสก์ออฟเซ็ตที่ 44เทรนด์ไมโครเทรนด์ไมโครh ถึง 45FFh) จะถูกเขียนด้วยข้อมูลเดิมของ MBR ที่ถูกเข้ารหัสแบบ XOR
ซึ่งถ้ากระบวนการข้างต้นล้มเหลว ก็จะทำการเขียนทับบนเซ็กเตอร์ที่ เทรนด์ไมโคร – 9 ด้วยโค้ด เทรนด์ไมโครxBAADFเทรนด์ไมโครเทรนด์ไมโครD
          จากการวิเคราะห์ เราพบว่า Petya นี้มีการเรียกใช้งาน CryptGenRandomAPI ในการเข้ารหัสโดยมันจะสร้างคีย์ขึ้นมา และบันทึกไว้บนดิสก์ซึ่งจะถูกเรียกใช้ในการเข้ารหัสหลังจากเครื่องถูกรีบูต ซึ่ง CryptGenRandom API นี้เองทำให้ Petya ตระกูลใหม่นี้สามารถทำงานได้สมบูรณ์กว่าตระกูลที่เคยพบก่อนหน้านี้ และส่งผลให้การถอดรหัสเป็นไปได้ยากขึ้นด้วย อีกสิ่งหนึ่งที่น่าสนใจคือ จากการวิเคราะห์โค้ดการทำงาน Petya สายพันธ์นี้ได้ลบคีย์ที่ใช้ในการเข้ารหัสทิ้งไปด้วยส่งผลให้การถอดรหัสเป็นไปได้ยากมาก จนแทบเป็นไปไม่ได้ แม้กระทั่งสำหรับคนเขียนตัว Petya เองก็ตามที
แนวทางการแก้ปัญหาจาก เทรนด์ไมโคร
          สำหรับแนวทางการแก้ปัญหาโดยละเอียดเพิ่มเติมจาก เทรนด์ไมโครสามารถเข้าไปอ่านได้ที่ https://success.trendmicro.com/solution/แรนซั่มแวร์แรนซั่มแวร์แรนซั่มแวร์7665
คำถามที่ถูกถามบ่อย และการชี้แจงข้อสงสัย และการเปรียบเทียบเกี่ยวกับภัยคุกคามนี้
https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/frequently-asked-questions-the-petya-ransomware-outbreak
        สำหรับข้อมูลแฮช SHAเครื่อง56 ที่เกี่ยวข้องกับแรนซั่มแวร์ตัวนี้ได้แก่:
          เครื่องเครื่อง6; เทรนด์ไมโครเครื่อง7cc45เทรนด์ไมโครef5f8c5f6533เครื่อง964แรนซั่มแวร์ecแรนซั่มแวร์fed9แรนซั่มแวร์f694eเทรนด์ไมโครdเครื่องเครื่อง99เครื่อง8963b3เทรนด์ไมโครf6bเทรนด์ไมโครd7d3a745
          เครื่องเครื่อง6; 64bเทรนด์ไมโครb58aเครื่องcเทรนด์ไมโคร3เทรนด์ไมโครc77fdbเครื่องb537bเครื่องfcc4af43เครื่องbc55ffb36599a3แรนซั่มแวร์d4แรนซั่มแวร์8c7c69e94bแรนซั่มแวร์

เทรนด์ไมโคร พบการโจมตีแบบแรนซั่มแวร์ ในตระกูล Petya สร้างความเสียหายและรุนแรงให้แก่องค์กรต่างๆ มากมายในประเทศแถบยุโรป

ข่าวเทรนด์ไมโคร+การโจมตีแบบวันนี้

เทรนด์ไมโคร ร่วมมือกับตำรวจสากล ทำให้ช่วยลดการโจมตีแบบ Cryptojacking ได้ถึง 78%

อาชญากรไซเบอร์มักมีแนวโน้มที่จะก้าวนำหน้ากลุ่มแฮกเกอร์หมวกขาวอยู่เสมอ ด้วยการปกปิดตัวตนแบบนิรนามทำให้สามารถเปิดฉากการโจมตีแบบเวอร์ชวลจากที่ไหนก็ได้บนโลก และการโจมตีแต่ละครั้งก็มักสร้างความประหลาดใจอยู่เสมอ แต่ทางฝั่งของพวกเราก็มีอาวุธลับอยู่เช่นกัน นั่นคือ ความร่วมมือ จุดนี้เองเป็นเหตุผลที่เทรนด์ไมโครให้ความสำคัญกับการสร้างความสัมพันธ์กับหน่วยงานบังคับใช้กฎหมาย สถาบันการศึกษา หน่วยงานภาครัฐ และกลุ่มธุรกิจด้านความปลอดภัยทางไซเบอร์อื่น ๆ อยู่ตลอดเวลา ครั้งนี้เราภูมิใจเป็นอย่างยิ่งที่

20 มกราคม 2563 15:00 น.

เทรนด์ไมโคร พบการโจมตีแบบแรนซั่มแวร์ ในตระกูล Petya สร้างความเสียหายและรุนแรงให้แก่องค์กรต่างๆ มากมายในประเทศแถบยุโรป — จากข้อมูลเราพบรายงานการโจมตีจากแรน... ก.ค. 60

เทรนด์ไมโครเผยแนวโน้มการโจมตีแบบเจาะจงเป้าหมายช่วงปี 2557 เรียกร้องให้ปรับปรุงมาตรการรักษาความปลอดภัย

อาชญากรไซเบอร์ปรับใช้เทคนิคการโจมตีใหม่ๆ คุกคามเครือข่ายเป้าหมาย - ในปี 2557 บริษัท เทรนด์ไมโคร (TYO: 4704; TSE: 4704) พบการโจมตีทางไซเบอร์ต่อองค์กรต่างๆทั้งจากแฮคเกอร์ทั่วไป และบางส่วนที่... เม.ย. 58

เทรนด์ไมโครคาด การโจมตีแบบเจาะจงเป้าหมายจะแพร่กระจาย

บริษัทเทรนด์ไมโคร (Trend Micro) (TYO: 4704; TSE: 4704) เผยแพร่รายงานความปลอดภัยประจำปี “การคาดการณ์เกี่ยวกับความปลอดภัยของเทรนด์ไมโครสำหรับปี 2558 เป็นต้นไป: สิ่งที่มองไม่เห็นจะปรากฏให้เห็นอย่างเด่นชัด” (Trend Micro Security Predictions for 2015... พ.ย. 57

ภาพข่าว: เทรนด์ไมโครร่วมนำเสนอโซลูชั่นดีพ ซิเคียวริตี้ในงานสัมมนาวีเอ็มแวร์ — นายวิลเลี่ยม ตัน ผู้จัดการประจำประเทศไทยและภูมิภาคอินโดจีน (กลาง) พร้อมผู้บร... ธ.ค. 56

ข่าวเทรนด์ไมโคร+การโจมตีแบบวันนี้

เทรนด์ไมโคร ร่วมมือกับตำรวจสากล ทำให้ช่วยลดการโจมตีแบบ Cryptojacking ได้ถึง 78%

เทรนด์ไมโครเผยแนวโน้มการโจมตีแบบเจาะจงเป้าหมายช่วงปี 2557 เรียกร้องให้ปรับปรุงมาตรการรักษาความปลอดภัย

เทรนด์ไมโครคาด การโจมตีแบบเจาะจงเป้าหมายจะแพร่กระจาย

เทรนด์ไมโครเตือนองค์กรธุรกิจระวังการโจมตีแบบแฝงสคริปต์ หลังพบช่องโหว่บนเว็บไซต์สำนักนายกฯ สิงคโปร์

เทรนด์ไมโครขอเชิญร่วมงานสัมมนาแนะนำองค์กรรับมือการโจมตีแบบมีเป้าหมาย

เทรนด์ไมโคร เตือนภัย ‘ฟิชชิ่งมือถือ’ พร้อมโจมตีอุปกรณ์พกพาที่หลากหลาย