ແຈ້ງເຕືອນແລະຂໍ້ແນະນຳຜູ້ໃຊ້ທົ່ວໄປ

ພົບ​ Ransomware ໃໝ່​ ຂຽນ​ທັບ​ MBR ລ໋ອກ​ບໍ່​ໃຫ້​ເຫຍື່ອ​ໃຊ້​ຄອມພິວເຕີ​

ປະເພດໄພຄຸກຄາມ: Malicious code

ຂໍ້ມູນທົ່ວໄປ 

Trend Micro ຜູ້ໃຫ້​ບໍລິການ​ວິທີການແກ້ໄຂ (solution) ​ດ້ານ​ຄວາມໝັ້ນຄົງ​ປອດ​ໄພ​ຊັ້ນ​ນຳ​ຂອງ​ໂລກ​ ໄດ້​ອອກ​ມາ​ເປີດ​ເຜີຍ​ເຖິງ​ Ransomware ຫຼື ​ມັນ​ແວ​​ເອີ້ນຄ່າ​ໄຖ່​ຮູບ​ແບບ​ໃໝ່​ ທີ່​ບໍ່ໄດ້ເຂົ້າ​ລະຫັດ​ໄຟ​ລ໌​ອີກ​ຕໍ່ໄປ​ ແຕ່​ຂຽນ​ທັບ​ Master Boot Record (MBR) ເພື່ອ​ບໍ່​ໃຫ້​ເຄື່ອງ​ຂອງ​ເຫຍື່ອ​ບູດ (boot)​ OS ໄດ້​ ພ້ອມ​ເອີ້ນ​ຄ່າ​ໄຖ່​ໃນ​ການ​ປົດ​ລ໋ອກ​ເພື່ອ​ເຂົ້າ​ໃຊ້​ຄອມພິວເຕີ​ Trend Micro ເອີ້ນມັນ​ແວ​ໂຕ​ນີ້​ວ່າ​ Petya Ransomware.

News Images: ran1.jpg

Credit: Macrovector/ShutterStock

 

ຜົນກະທົບ

ແຜ່ກ​ະ​ຈາຍ​ຜ່ານ​ອີ​ເມວ​ໃນ​ຮູບ​ແບບຂອງ​ຈົດໝາຍ​ສະໝັກ​ງານ​

Trend Micro ລະ​ບຸ​ວ່າ​ Petya ຈະ​ແຜ່ກ​ະ​ຈາຍ​ຕົວ​ຜ່ານ​ Spam Emails ໂດຍ​ໃສ່ຫົວຂໍ້​ເປັນ​ເລື່ອງ​ການ​ສະໝັກ​ງານ​ ແລະ ​ພາຍ​ໃນ​ອີ​ເມ​ວຈະ​ແນບ​ລິ້ງ​ໃຫ້​ດາວ​ໂຫຼດ​ໄຟ​ລ໌​ ZIP ຊຶ່ງ​ລະ​ບຸ​ວ່າ​ເປັນ​ Resume ແລະ ​ຮູບ​ພາບ​ ຖ້າ​ HR ຫຼື ຜູ້​ທີ່​ກ່ຽວ​ຂ້ອງ​ດາວ​ໂຫຼດ ​ແລະ ​ດັບ​ເບີ້ນ​ຄລິກ (double click)​ ເພື່ອ​ແຕກ​ໄຟ​ລ໌​ ZIP ດັ່ງ​ກ່າວ​ Petya Ransomware ຈະ​ຖືກ​ຕິດ​ຕັ້ງ​ລົງໃນເຄື່ອງ​ທັນ​ທີ​.

ຂຽນ​ໂຄດ​ທັບ​ MBR ສົ່ງ​ຜົນ​ໃຫ້​ເກີດ​ Blue Screen of Death

ເມື່ອ​ຕິດ​ຕັ້ງ​ໂຕ​ເອງ​ລົງ​ໃນເຄື່ອງ​ແລ້ວ​ Petya ຈະ​ຂຽນ​ທັບ​ MBR ຊຶ່ງ​ເປັນ​ໂຄດ​ທີ່​ເກັບ​ຢູ່ໃນ​ສ່ວນ​ທຳອິດ​ຂອງ​ HDD ມີ​ຫນ້າທີ່​ເກັບ​ຂໍ້​ມູນ​ກ່ຽວກັບ​ Partition ຂອງ​ HDD ແລະ ​ເລີ່ມ​ຕົ້ນ​ການ​ເຮັດ​ວຽກ​ຂອງ​ OS Boot Loader ຖ້າ​ MBR ມີ​ບັນຫາ​ຈະ​ສົ່ງ​ຜົນ​ໃຫ້​ຄອມພິວເຕີ​ບໍ່​ຮູ້ວ່າ​ OS ຢູ່ໃນ​ Partition ໃດ​ ແລະ​ ຈະ​ເລີ່ມ​ຕົ້ນ​ການ​ເຮັດ​ວຽກ ຢ່າງໃດ​ ຊຶ່ງ​ຫຼັງ​ຈາກ​ທີ່​ MBR ຖືກ​ Petya ຂຽນ​ທັບ​ແລ້ວ​ ຈະ​ເຮັດໃຫ້​ຄອມພິວເຕີ​ເກີດ​ຄວາມ​ຜິດ​ພາດ​ຂຶ້ນ​ຈົນ​ຕ້ອງ​ຣີ​ບູດ​ (reboot) ຫຼື ​ທີ່​ຮູ້​ຈັກ​ກັນ​ດີ​ໃນ​ນາມ​ “Blue Screen of Death”

ເຂົ້າ​ລະ​ຫັດ MFT ເພື່ອ​ບໍ່​ໃຫ້​ OS ຮູ້ວ່າ​ໄຟ​ລ໌​ຖືກ​ເກັບ​ໄວ້​ທີ່​ໃດ​

ຫຼັງ​ຈາກ​ທີ່​ຣີ​ບູດ​ໃໝ່​ ໂຄດ​ MBR ທີ່​ຖືກ​ຂຽນ​ໃໝ່​ຈະ​ສະແດງ​ການ​ກວດ​ສອບ​ HDD ປອມ​ໆ​ຂຶ້ນ​ມາ​ ທີ່​ເຮົາ​ມັກ​ຈະ​ເຫັນ​ຫຼັງ​ຈາກ​ທີ່​ HDD ເກີດ​ຄວາມ​ຜິດ​ປົກກະຕິ​ ຫຼື ປິດ​ເຄື່ອງ​ໂດຍ​ບໍ່​ Shutdown ໃຫ້​ຮຽບຮ້ອຍ​ ແທ້​ທີ່​ຈິງ​ແລ້ວ​ ລະຫວ່າງ​ຂະ​ບວນ​ການ​ນີ້​ Petya ຈະ​ເຂົ້າ​ລະ​ຫັດ​ Master File Table (MFT) ຊຶ່ງ​ເປັນ​ໄຟ​ລ໌​ພິເສດ​ເທິງ​ NTFS Partitions ທີ່​ເຮັດ​ຫນ້າທີ່​ເກັບ​ຂໍ້​ມູນ​ກ່ຽວກັບ​ໄຟ​ລ໌​ອື່ນ​ໆ​ ເຊັ່ນ​ ຊື່​ໄຟ​ລ໌​ ຂະໜາດ​ ແລະ ​ການ​ລິ້ງ​ຕົວ​ໄຟ​ລ໌​ເຂົ້າ​ກັບ​ສ່ວນ​ຂອງ​ HDD ສົ່ງ​ຜົນ​ໃຫ້​ OS ບໍ່​ຮູ້ວ່າ​ໄຟ​ລ໌​ທັງ​ຫຼາຍ​ຖືກ​ເກັບ​ຢູ່​ທີ່​ສ່ວນ​ໃດ​ຂອງ​ HDD ອີກ​ຕໍ່ໄປ​.

ເອີ້ນ​ຄ່າ​ໄຖ່​ 0.99 Bitcoins

ເມື່ອ​ເຂົ້າ​ລະ​ຫັດ​ໄຟ​ລ໌​ MFT ສຳເລັດ​ຮຽບຮ້ອຍ​ແລ້ວ​ ໂຄດ​ MBR ຈະ​ສະແດງ​ຜົນ​ຂໍ້ຄວາມເອີ້ນ​ຄ່າ​ໄຖ່​ທີ່​ມາພ້ອມ​ກັບ​ຮູບ​ຫົວ​ກະ​ໂຫຼກ​ທີ່​ແຕ້ມໂດຍ​ຕັວ​ອັກສອນ​ ASCII ຊຶ່ງ​ຂໍ້ຄວາມ​ດັ່ງ​ກ່າວ​ຈະ​ແນະ​ນຳ​ໃຫ້​ຜູ້​ໃຊ້​ເຂົ້າ​ເຖິງ​ເວັບ​ໄຊ​ສຳລັບ​ປົດ​ລະຫັດ​ຂອງ​ແຮັກ​ເກີ​ຜ່ານ​ທາງ​ເຄືອ​ຂ່າຍ​ Tor ແລະ​ ໃຫ້​ຊຳ​ລະ​ຄ່າ​ໄຖ່​ເປັນ​ຈຳນວນ​ເງິນ​ 0.99 BTC ຫຼື ​ປະ​ມານ​ 3,450,000 ກີບ.

News Images: ran2.jpg

ຂໍ້ແນະນຳໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ

ອາດ​ຈະກູ້​ໄຟ​ລ໌​ຄືນ​ໄດ້​ໂດຍ​ໃຊ້​ໂປຣ​ແກຣມ​ Data Recovery

Trend Micro ລະ​ບຸ​ວ່າ​ Petya Ransomware ນີ້​ກຳ​ລັງ​ແຜ່ກ​ະ​ຈາຍ​ຢ່າງ​ໜັກ​ໃນ​ປະເທດ​ເຢຍລະມັນ​ ຊຶ່ງ​ຄາດ​ວ່າ​ຈະ​ເລີ່ມ​ແຜ່ກ​ະ​ຈາຍ​ໄປ​​ທົ່ວ​ໂລກ​ໄວ​ໆ​ນີ້​ ຢ່າງໃດ​ກໍ່​ຕາມ​ ຂ່າວ​ດີ​ຄື​ Petya ບໍ່ໄດ້ເຂົ້າ​ລະ​ຫັດ​ໄຟ​ລ໌​ຂໍ້​ມູນ​ແທ້ໆ​ ແຕ່​ເປັນ​ການ​ເຂົ້າ​ລະຫັດ​ MFT ຊຶ່ງ​ເກັບ​ຕຳແໜ່ງ​ຂອງ​ໄຟ​ລ໌​ຂໍ້​ມູນ​ເທິງ​ HDD ສົ່ງ​ຜົນ​ໃຫ້​ສາມາດ​ກູ້​ໄຟ​ລ໌​ຄືນ​ໂດຍ​ໃຊ້​ໂປຣ​ແກຣມ​ຈຳ​ພວກ​ Data Recovery ໄດ້​ ແຕ່​ກໍ່​ອາດຈະ​ຕ້ອງ​ເສຍ​ເວລາ​ດົນ​ພໍສົມຄວນ.​

ເອກະສານອ້າງອີງ

  1. https://www.techtalkthai.com/petya-ransomware-rewrites-mbr-to-lock-computers/

ທີ່​ມາ​: http://www.csoonline.com/article/3048319/security/petya-ransomware-overwrites-mbrs-locking-users-out-of-their-computers.html