ทุกสิ่งที่คุณจำเป็นต้องรู้เกี่ยวกับ Petna ไวรัสเรียกค่าไถ่จากตระกูล Petya Petya, NotPetya หรือ Petna? ทุกสิ่งที่คุณจำเป็นต้องรู้เกี่ยวกับไฟล์ petya Virus ที่เป็นโรคระบาดใหม่
การโจมตีด้วยไวรัสบนคอมพิวเตอร์ของบริษัทภาครัฐและเอกชนของยูเครนเริ่มขึ้นเมื่อเวลา 11.30 น. ธนาคารขนาดใหญ่ เครือข่ายค้าปลีก และผู้ประกอบการต่างตกอยู่ภายใต้การโจมตี การสื่อสารเคลื่อนที่, บริษัทของรัฐ, สิ่งอำนวยความสะดวกด้านโครงสร้างพื้นฐาน และสถานประกอบการบริการ
ไวรัสดังกล่าวครอบคลุมอาณาเขตทั้งหมดของยูเครน เมื่อเวลา 17.00 น. ข้อมูลปรากฏว่ามีการบันทึกการโจมตีทางตะวันตกสุดของประเทศใน Transcarpathia: ที่นี่เนื่องจากไวรัส สาขาของธนาคาร OTR และ Ukrsotsbank จึงถูกปิดที่นี่
“เว็บไซต์ Korrespondent.net ซึ่งได้รับความนิยมในยูเครนและช่องทีวี “24” ใช้งานไม่ได้ จำนวนบริษัทที่ได้รับผลกระทบจากการโจมตีเพิ่มขึ้นทุกชั่วโมง ปัจจุบันสาขาของธนาคารส่วนใหญ่ไม่ได้เปิดดำเนินการในยูเครน ตัวอย่างเช่นในสำนักงานของ Ukrsotsbank คอมพิวเตอร์ไม่สามารถบู๊ตได้ คุณไม่สามารถรับหรือส่งเงิน จ่ายใบเสร็จรับเงิน ฯลฯ ในเวลาเดียวกัน PrivatBank ก็ไม่มีปัญหา” ผู้สื่อข่าวเคียฟของ RT รายงาน
ไวรัสส่งผลต่อคอมพิวเตอร์ที่ทำงานอยู่เท่านั้น ระบบวินโดวส์- มันเข้ารหัสตารางไฟล์หลักของฮาร์ดไดรฟ์และรีดไถเงินจากผู้ใช้เพื่อถอดรหัส ในที่นี้มีความคล้ายคลึงกับไวรัสเรียกค่าไถ่ WannaCry ซึ่งได้โจมตีบริษัทหลายแห่งทั่วโลก ในขณะเดียวกัน ผลลัพธ์ของการสแกนคอมพิวเตอร์ที่ติดไวรัสก็ปรากฏขึ้นแล้ว ซึ่งแสดงให้เห็นว่าไวรัสทำลายข้อมูลทั้งหมดหรือส่วนใหญ่ในดิสก์ที่ติดไวรัส
ปัจจุบันไวรัสถูกระบุว่าเป็น mbr locker 256 แต่มีชื่ออื่นที่แพร่หลายในสื่อ - Petya
จากเคียฟถึงเชอร์โนบิล
ไวรัสยังส่งผลกระทบต่อรถไฟใต้ดินเคียฟ ซึ่งขณะนี้มีปัญหาในการชำระเงินด้วยบัตรธนาคาร
สิ่งอำนวยความสะดวกด้านโครงสร้างพื้นฐานขนาดใหญ่หลายแห่งได้รับผลกระทบ เช่น สถานีรถไฟของรัฐ Ukrzaliznytsia และสนามบิน Boryspil อย่างไรก็ตาม ขณะที่เครื่องยังใช้งานได้ตามปกติ ระบบนำทางทางอากาศ ก็ไม่ได้รับผลกระทบจากไวรัส แม้ว่าบอรีสปิล ได้เผยแพร่คำเตือนเกี่ยวกับ การเปลี่ยนแปลงที่เป็นไปได้ตามกำหนดเวลา แต่บอร์ดขาเข้าที่สนามบินนั้นใช้งานไม่ได้
เนื่องจากการโจมตีดังกล่าว ผู้ดำเนินการไปรษณีย์รายใหญ่ที่สุดสองรายของประเทศกำลังประสบปัญหาในการทำงาน ได้แก่ Ukrposhta ที่รัฐเป็นเจ้าของและเอกชน " จดหมายใหม่- หลังประกาศว่าในวันนี้จะไม่มีค่าใช้จ่ายสำหรับการจัดเก็บพัสดุ และ Ukrposhta กำลังพยายามลดผลที่ตามมาจากการโจมตีด้วยความช่วยเหลือจาก SBU
เนื่องจากมีความเสี่ยงที่จะติดไวรัส เว็บไซต์ขององค์กรเหล่านั้นที่ไม่ได้รับผลกระทบจากไวรัสจึงใช้งานไม่ได้เช่นกัน ด้วยเหตุนี้ เซิร์ฟเวอร์ของเว็บไซต์ของ Kyiv City State Administration รวมถึงเว็บไซต์ของกระทรวงกิจการภายในของประเทศยูเครนจึงถูกปิดใช้งาน
เจ้าหน้าที่ยูเครนคาดการณ์ได้ว่าการโจมตีดังกล่าวมาจากรัสเซีย เลขาธิการสภาความมั่นคงและป้องกันแห่งชาติของประเทศยูเครน Alexander Turchynov กล่าวสิ่งนี้ “แม้ตอนนี้ หลังจากทำการวิเคราะห์ไวรัสเบื้องต้นแล้ว เราก็ยังสามารถพูดคุยเกี่ยวกับร่องรอยของรัสเซียได้” เว็บไซต์ทางการของแผนกระบุคำพูดของเขา
เมื่อเวลา 17:30 น. ไวรัสได้ไปถึงโรงไฟฟ้านิวเคลียร์เชอร์โนบิลแล้ว Vladimir Ilchuk หัวหน้ากะที่โรงไฟฟ้านิวเคลียร์เชอร์โนบิลรายงานเรื่องนี้ต่อสิ่งพิมพ์ Ukrayinska Pravda
“มีข้อมูลเบื้องต้นว่าคอมพิวเตอร์บางเครื่องติดไวรัส ดังนั้นทันทีที่การโจมตีของแฮ็กเกอร์เริ่มต้นขึ้น จึงมีคำสั่งส่วนตัวให้กับพนักงานคอมพิวเตอร์ในสถานที่ตั้งของเจ้าหน้าที่ให้ปิดคอมพิวเตอร์” อิลชุคกล่าว
โจมตีขนมหวานและน้ำมันและก๊าซ
บริษัทรัสเซียบางแห่งยังตกเป็นเหยื่อการโจมตีของแฮ็กเกอร์เมื่อวันอังคารที่ 27 มิถุนายน ซึ่งรวมถึง Rosneft และ Bashneft บริษัทน้ำมันและก๊าซยักษ์ใหญ่, Evraz บริษัทโลหะวิทยา, Home Credit Bank ซึ่งสาขาต่างๆ ระงับการดำเนินงาน เช่นเดียวกับสำนักงานตัวแทนรัสเซียของ Mars Nivea, Mondelez International , TESA และบริษัทต่างประเทศอื่นๆ อีกจำนวนหนึ่ง
- สำนักข่าวรอยเตอร์
- แม็กซิม เชเมตอฟ
เมื่อเวลาประมาณ 14:30 น. ตามเวลามอสโก Rosneft ได้ประกาศผู้มีอำนาจ การโจมตีของแฮ็กเกอร์ไปยังเซิร์ฟเวอร์ของบริษัท ในเวลาเดียวกัน ไมโครบล็อกของบริษัทบน Twitter ตั้งข้อสังเกตว่าการโจมตีอาจนำไปสู่ผลลัพธ์ร้ายแรง แต่ต้องขอบคุณการเปลี่ยนไปใช้ ระบบสำรองข้อมูลการจัดการกระบวนการผลิต ไม่มีการหยุดการผลิตน้ำมันและการเตรียมน้ำมัน
หลังจากการโจมตีทางไซเบอร์ เว็บไซต์ของบริษัท Rosneft และ Bashneft ไม่สามารถใช้งานได้เป็นระยะเวลาหนึ่ง Rosneft ยังระบุด้วยว่าเราไม่สามารถเผยแพร่ข้อมูลเท็จเกี่ยวกับการโจมตีได้
ผู้เผยแพร่ข้อความตื่นตระหนกเท็จจะถือเป็นผู้สมรู้ร่วมคิดกับผู้ก่อเหตุโจมตีและร่วมรับผิดชอบร่วมกับพวกเขา
— PJSC NK รอสเนฟต์ (@RosneftRu) 27 มิถุนายน 2017
“ผู้เผยแพร่ข้อความตื่นตระหนกเท็จจะถือเป็นผู้สมรู้ร่วมคิดกับผู้ก่อเหตุโจมตี และร่วมรับผิดชอบร่วมกับพวกเขา” บริษัทระบุ
ในเวลาเดียวกัน Rosneft ตั้งข้อสังเกตว่าบริษัทได้ติดต่อกับหน่วยงานบังคับใช้กฎหมายเกี่ยวกับการโจมตีทางไซเบอร์ และแสดงความหวังว่าเหตุการณ์ดังกล่าวจะไม่เกี่ยวข้องกับ “กระบวนการยุติธรรมในปัจจุบัน” ในวันอังคารที่ 27 มิถุนายน ศาลอนุญาโตตุลาการแห่ง Bashkiria เริ่มพิจารณาถึงข้อดีของการเรียกร้องของ Rosneft, Bashneft และ Bashkiria ต่อ AFK Sistema ในจำนวน 170.6 พันล้านรูเบิล
วอนนาครายจูเนียร์
อย่างไรก็ตามการโจมตีของแฮกเกอร์ไม่ได้ส่งผลกระทบต่อการทำงาน ระบบคอมพิวเตอร์ฝ่ายบริหารของประธานาธิบดีรัสเซียและเว็บไซต์อย่างเป็นทางการของเครมลิน ซึ่งในฐานะเลขาธิการสื่อมวลชนของประธานาธิบดี มิทรี เปสคอฟ บอกกับ TASS ว่า "ทำงานได้เสถียร"
การโจมตีของแฮกเกอร์ไม่ได้ส่งผลกระทบต่อการดำเนินงานของโรงไฟฟ้านิวเคลียร์ของรัสเซียแต่อย่างใด Rosenergoatom ตั้งข้อสังเกต
บริษัท ดร. เว็บระบุบนเว็บไซต์ว่า แม้จะมีความคล้ายคลึงภายนอก แต่การโจมตีในปัจจุบันนั้นดำเนินการโดยใช้ไวรัสที่แตกต่างจากมัลแวร์ที่รู้จักอยู่แล้ว - Petya แรนซัมแวร์โดยเฉพาะกลไกที่ภัยคุกคามแพร่กระจาย
“ในบรรดาเหยื่อของการโจมตีทางไซเบอร์ ได้แก่ เครือข่ายของ Bashneft, Rosneft, Mondelez International, Mars, Nivea, TESA และอื่นๆ” หน่วยงานอ้างอิงข้อความของบริษัท ขณะเดียวกัน สำนักข่าว Mars ในรัสเซีย ระบุว่า การโจมตีทางไซเบอร์ทำให้เกิดปัญหากับระบบไอทีเฉพาะแบรนด์ Royal Canin ซึ่งเป็นผู้ผลิตอาหารสัตว์ ไม่ใช่ทั้งบริษัท
การโจมตีของแฮ็กเกอร์ครั้งใหญ่ครั้งสุดท้ายต่อบริษัทรัสเซียและหน่วยงานรัฐบาลเกิดขึ้นเมื่อวันที่ 12 พฤษภาคม โดยเป็นส่วนหนึ่งของปฏิบัติการขนาดใหญ่โดยแฮกเกอร์ที่ไม่รู้จัก ซึ่งโจมตีคอมพิวเตอร์ Windows ใน 74 ประเทศโดยใช้ไวรัสแรนซัมแวร์ WannaCry
เมื่อวันอังคาร หัวหน้าคณะกรรมการระหว่างประเทศของสภาสหพันธ์ คอนสแตนติน โคซาเชฟ กล่าวในการประชุมคณะกรรมการสภาสหพันธ์เพื่อการคุ้มครองอธิปไตยของรัฐ กล่าวว่า ประมาณ 30% ของการโจมตีทางไซเบอร์ในรัสเซียทั้งหมดนั้นกระทำจากดินแดนของสหรัฐฯ .
“ธุรกรรมไม่เกิน 2% ทำจากดินแดนรัสเซียไปยังคอมพิวเตอร์ของอเมริกา จำนวนทั้งหมดการโจมตีทางไซเบอร์ ในขณะที่จากดินแดนของสหรัฐฯ ไปจนถึงโครงสร้างพื้นฐานทางอิเล็กทรอนิกส์ของรัสเซีย - 28-29%” RIA Novosti กล่าวคำพูดของ Kosachev
Costin Raiu หัวหน้าทีมวิจัยนานาชาติของ Kaspersky Lab กล่าวว่า ไวรัสเพ็ตย่าได้แพร่กระจายไปยังหลายประเทศทั่วโลก
Petrwrap/Petya ransomware ตัวแปรที่มีการติดต่อ [ป้องกันอีเมล]แพร่กระจายไปทั่วโลกหลายประเทศได้รับผลกระทบ
เมื่อต้นเดือนพฤษภาคม คอมพิวเตอร์ประมาณ 230,000 เครื่องในกว่า 150 ประเทศติดไวรัสแรนซัมแวร์ ก่อนที่เหยื่อจะมีเวลากำจัดผลที่ตามมาจากการโจมตีครั้งนี้ ก็มีการโจมตีแบบใหม่ที่เรียกว่า Petya ตามมา บริษัทยูเครนและรัสเซียรายใหญ่ที่สุด รวมถึงสถาบันของรัฐ ก็ต้องทนทุกข์ทรมานจากเหตุการณ์นี้
ตำรวจไซเบอร์ของยูเครนยืนยันว่าการโจมตีของไวรัสเริ่มต้นผ่านกลไกการอัปเดตทางบัญชี ซอฟต์แวร์ M.E.Doc ซึ่งใช้ในการจัดทำและส่งรายงานภาษี ดังนั้นจึงเป็นที่ทราบกันว่าเครือข่ายของ Bashneft, Rosneft, Zaporozhyeoblenergo, Dneproenergo และระบบไฟฟ้า Dnieper ไม่สามารถรอดพ้นจากการติดเชื้อได้ ในยูเครน ไวรัสแพร่กระจายเข้าสู่คอมพิวเตอร์ของรัฐบาล คอมพิวเตอร์ส่วนบุคคลของรถไฟใต้ดินเคียฟ เจ้าหน้าที่โทรคมนาคม และแม้แต่โรงไฟฟ้านิวเคลียร์เชอร์โนบิล ในรัสเซีย บริษัท Mondelez International, Mars และ Nivea ได้รับผลกระทบ
ไวรัส Petya ใช้ประโยชน์จากช่องโหว่ EternalBlue ในระบบปฏิบัติการ Windows ผู้เชี่ยวชาญของไซแมนเทคและ F-Secure กล่าวว่าแม้ว่า Petya จะเข้ารหัสข้อมูลเช่น WannaCry แต่ก็ยังค่อนข้างแตกต่างจากไวรัสเข้ารหัสประเภทอื่น “ไวรัส Petya คือ. ชนิดใหม่การขู่กรรโชกด้วยเจตนาร้าย: ไม่เพียงแต่เข้ารหัสไฟล์บนดิสก์เท่านั้น แต่ยังล็อคทั้งดิสก์ ทำให้ไม่สามารถใช้งานได้จริง F-Secure อธิบาย “โดยเฉพาะมันจะเข้ารหัสตารางไฟล์หลัก MFT”
สิ่งนี้เกิดขึ้นได้อย่างไรและสามารถป้องกันกระบวนการนี้ได้?
ไวรัส "Petya" - มันทำงานอย่างไร?
ไวรัส Petya มีชื่อเรียกอีกชื่อหนึ่งว่า Petya.A, PetrWrap, NotPetya, ExPetr เมื่ออยู่ในคอมพิวเตอร์ มันจะดาวน์โหลดแรนซัมแวร์จากอินเทอร์เน็ตและพยายามแพร่เชื้อบางส่วน ฮาร์ดไดรฟ์พร้อมข้อมูลที่จำเป็นในการบูตเครื่องคอมพิวเตอร์ หากเขาทำสำเร็จ ระบบจะออกหน้าจอสีน้ำเงินแห่งความตาย (“ หน้าจอสีน้ำเงินแห่งความตาย") หลังจากรีบูตจะมีข้อความปรากฏขึ้นเกี่ยวกับ ตรวจสอบอย่างหนักดิสก์พร้อมคำขอไม่ให้ปิดเครื่อง ดังนั้นแรนซัมแวร์จึงแสร้งทำเป็น โปรแกรมระบบเพื่อตรวจสอบดิสก์เข้ารหัสไฟล์ด้วยนามสกุลบางอย่างในเวลานี้ เมื่อสิ้นสุดกระบวนการ ข้อความจะปรากฏขึ้นเพื่อระบุว่าคอมพิวเตอร์ถูกบล็อกและข้อมูลเกี่ยวกับวิธีการรับคีย์ดิจิทัลเพื่อถอดรหัสข้อมูล ไวรัส Petya ต้องการค่าไถ่ โดยปกติจะเป็น Bitcoin หากเหยื่อไม่มีสำเนาสำรองของไฟล์ของเขา เขาต้องเผชิญกับทางเลือกในการจ่ายเงิน 300 ดอลลาร์หรือสูญเสียข้อมูลทั้งหมด ตามที่นักวิเคราะห์บางคนระบุว่า ไวรัสกำลังปลอมตัวเป็นแรนซัมแวร์เท่านั้น ในขณะที่เป้าหมายที่แท้จริงของมันคือการสร้างความเสียหายมหาศาล
จะกำจัด Petya ได้อย่างไร?
ผู้เชี่ยวชาญได้ค้นพบว่าไวรัส Petya ค้นหาไฟล์ในเครื่อง และหากไฟล์นี้มีอยู่แล้วในดิสก์ ก็จะออกจากกระบวนการเข้ารหัส ซึ่งหมายความว่าผู้ใช้สามารถปกป้องคอมพิวเตอร์ของตนจากแรนซัมแวร์ได้โดยการสร้างไฟล์นี้และตั้งค่าเป็นแบบอ่านอย่างเดียว
แม้ว่าแผนการอันชาญฉลาดนี้จะป้องกันไม่ให้กระบวนการขู่กรรโชกเริ่มต้นขึ้น แต่วิธีนี้ก็ถือได้ว่าเป็น "การฉีดวัคซีนทางคอมพิวเตอร์" มากกว่า ดังนั้นผู้ใช้จะต้องสร้างไฟล์ขึ้นมาเอง คุณสามารถทำได้ดังนี้:
- ก่อนอื่นคุณต้องเข้าใจนามสกุลไฟล์ก่อน ในหน้าต่างตัวเลือกโฟลเดอร์ ตรวจสอบให้แน่ใจว่าไม่ได้ทำเครื่องหมายในช่องซ่อนส่วนขยายสำหรับประเภทไฟล์ที่รู้จัก
- เปิดโฟลเดอร์ C:\Windows เลื่อนลงไปจนกว่าคุณจะเห็นโปรแกรม notepad.exe
- คลิกซ้ายที่ notepad.exe จากนั้นกด Ctrl + C เพื่อคัดลอก จากนั้นกด Ctrl + V เพื่อวางไฟล์ คุณจะได้รับคำขอขออนุญาตคัดลอกไฟล์
- คลิกปุ่มดำเนินการต่อ จากนั้นไฟล์จะถูกสร้างขึ้นเป็นแผ่นจดบันทึก - Copy.exe คลิกซ้ายที่ไฟล์นี้แล้วกด F2 จากนั้นลบชื่อไฟล์ Copy.exe แล้วป้อน perfc
- หลังจากเปลี่ยนชื่อไฟล์เป็น perfc แล้วให้กด Enter ยืนยันการเปลี่ยนชื่อ
- เมื่อสร้างไฟล์ perfc แล้ว เราจำเป็นต้องทำให้เป็นไฟล์อ่านอย่างเดียว โดยคลิก คลิกขวาวางเมาส์เหนือไฟล์แล้วเลือก "คุณสมบัติ"
- เมนูคุณสมบัติของไฟล์นี้จะเปิดขึ้น ที่ด้านล่างคุณจะเห็น "อ่านอย่างเดียว" ทำเครื่องหมายในช่อง
- ตอนนี้คลิกปุ่มใช้แล้วคลิกปุ่มตกลง
ผู้เชี่ยวชาญด้านความปลอดภัยบางคนแนะนำให้สร้างไฟล์ C:\Windows\perfc.dat และ C:\Windows\perfc.dll นอกเหนือจากไฟล์ C:\windows\perfc เพื่อป้องกันไวรัส Petya อย่างละเอียดยิ่งขึ้น คุณสามารถทำซ้ำขั้นตอนข้างต้นสำหรับไฟล์เหล่านี้ได้
ยินดีด้วย คอมพิวเตอร์ของคุณได้รับการปกป้องจาก NotPetya/Petya!
ผู้เชี่ยวชาญของไซแมนเทคให้คำแนะนำแก่ผู้ใช้พีซีเพื่อป้องกันไม่ให้พวกเขาทำสิ่งต่าง ๆ ที่อาจส่งผลให้ไฟล์ถูกล็อคหรือสูญเสียเงิน
- อย่าจ่ายเงินให้คนร้ายแม้ว่าคุณจะโอนเงินไปยังแรนซัมแวร์ แต่ก็ไม่มีการรับประกันว่าคุณจะสามารถเข้าถึงไฟล์ของคุณได้อีกครั้ง และในกรณีของ NotPetya / Petya โดยทั่วไปแล้วสิ่งนี้ไม่มีความหมายเพราะเป้าหมายของแรนซัมแวร์คือการทำลายข้อมูลไม่ใช่เพื่อรับเงิน
- ตรวจสอบให้แน่ใจว่าคุณสำรองข้อมูลของคุณเป็นประจำในกรณีนี้ แม้ว่าพีซีของคุณจะกลายเป็นเป้าหมายของการโจมตีของไวรัสแรนซัมแวร์ คุณก็จะสามารถกู้คืนไฟล์ที่ถูกลบได้
- อย่าเปิดอีเมลจากที่อยู่ที่น่าสงสัยผู้โจมตีจะพยายามหลอกให้คุณติดตั้งมัลแวร์หรือพยายามรับข้อมูลสำคัญสำหรับการโจมตี อย่าลืมแจ้งผู้เชี่ยวชาญด้านไอทีหากคุณหรือพนักงานของคุณได้รับอีเมลหรือลิงก์ที่น่าสงสัย
- ใช้ซอฟต์แวร์ที่เชื่อถือได้มีบทบาทสำคัญในการปกป้องคอมพิวเตอร์จากการติดไวรัส อัปเดตทันเวลาโปรแกรมแอนตี้ไวรัส. และแน่นอนว่าคุณต้องใช้ผลิตภัณฑ์จากบริษัทที่มีชื่อเสียงในสาขานี้
- ใช้กลไกในการสแกนและบล็อกข้อความสแปมอีเมลขาเข้าควรสแกนหาภัยคุกคาม สิ่งสำคัญคือข้อความประเภทใดก็ตามที่มีลิงก์หรือข้อความทั่วไป คำหลักฟิชชิ่ง
- ตรวจสอบให้แน่ใจว่าโปรแกรมทั้งหมดเป็นปัจจุบันจำเป็นต้องมีการแก้ไขช่องโหว่ของซอฟต์แวร์เป็นประจำเพื่อป้องกันการติดไวรัส
เราควรคาดหวังการโจมตีครั้งใหม่หรือไม่?
ไวรัส Petya ปรากฏตัวครั้งแรกในเดือนมีนาคม 2559 และผู้เชี่ยวชาญด้านความปลอดภัยสังเกตเห็นพฤติกรรมของมันทันที ไวรัสสายพันธุ์ใหม่ Petya โจมตีคอมพิวเตอร์ในยูเครนและรัสเซียเมื่อปลายเดือนมิถุนายน 2560 แต่นี่ไม่น่าจะเป็นจุดสิ้นสุด การโจมตีของแฮ็กเกอร์โดยใช้ไวรัสแรนซัมแวร์ที่คล้ายกับ Petya และ WannaCry จะถูกทำซ้ำ Stanislav Kuznetsov รองประธานคณะกรรมการ Sberbank กล่าว ในการให้สัมภาษณ์กับ TASS เขาเตือนว่าการโจมตีดังกล่าวจะเกิดขึ้นอย่างแน่นอน แต่เป็นการยากที่จะคาดเดาล่วงหน้าว่าการโจมตีดังกล่าวจะเกิดขึ้นในรูปแบบใด
หลังจากการโจมตีทางไซเบอร์ทั้งหมดที่เกิดขึ้น หากคุณยังไม่ได้ดำเนินการตามขั้นตอนขั้นต่ำในการปกป้องคอมพิวเตอร์ของคุณจากไวรัสแรนซัมแวร์เป็นอย่างน้อย ก็ถึงเวลาที่จะต้องจริงจังกับเรื่องนี้
อังกฤษ สหรัฐอเมริกา และออสเตรเลีย กล่าวหารัสเซียอย่างเป็นทางการว่าแพร่เชื้อ NotPetya
เมื่อวันที่ 15 กุมภาพันธ์ 2018 กระทรวงการต่างประเทศอังกฤษออกแถลงการณ์อย่างเป็นทางการกล่าวหารัสเซียว่าจัดการโจมตีทางไซเบอร์โดยใช้ไวรัสเรียกค่าไถ่ NotPetya
ทางการอังกฤษกล่าวว่าการโจมตีดังกล่าวแสดงให้เห็นถึงการเพิกเฉยต่ออธิปไตยของยูเครน และการกระทำที่ประมาทเลินเล่อดังกล่าวได้ส่งผลกระทบต่อองค์กรหลายแห่งทั่วยุโรป ทำให้เกิดการสูญเสียมูลค่าหลายล้านดอลลาร์
กระทรวงตั้งข้อสังเกตว่าข้อสรุปเกี่ยวกับการมีส่วนร่วมของรัฐบาลรัสเซียและเครมลินในการโจมตีทางไซเบอร์นั้นเกิดขึ้นบนพื้นฐานของข้อสรุปของศูนย์ความปลอดภัยทางไซเบอร์แห่งชาติของสหราชอาณาจักรซึ่ง “เกือบจะมั่นใจอย่างสมบูรณ์ว่ากองทัพรัสเซียอยู่เบื้องหลัง การโจมตี NotPetya” นอกจากนี้ในแถลงการณ์ยังกล่าวอีกว่าพันธมิตรจะไม่ทนต่อกิจกรรมทางไซเบอร์ที่เป็นอันตราย
ตามที่รัฐมนตรีกระทรวงบังคับใช้กฎหมายและความปลอดภัยทางไซเบอร์ของออสเตรเลีย แองกัส เทย์เลอร์ กล่าว โดยอิงข้อมูลจากหน่วยข่าวกรองของออสเตรเลีย รวมถึงการปรึกษาหารือกับสหรัฐอเมริกาและบริเตนใหญ่ รัฐบาลออสเตรเลียสรุปว่าผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลรัสเซียต้องรับผิดชอบต่อ เหตุการณ์. “รัฐบาลออสเตรเลียประณามพฤติกรรมของรัสเซียที่ก่อให้เกิดความเสี่ยงร้ายแรงต่อเศรษฐกิจโลก การดำเนินงานและบริการของรัฐบาล กิจกรรมทางธุรกิจ ตลอดจนความปลอดภัยและความเป็นอยู่ที่ดีของบุคคล” แถลงการณ์ระบุ เครมลิน ซึ่งก่อนหน้านี้ปฏิเสธซ้ำแล้วซ้ำอีกว่าทางการรัสเซียไม่มีส่วนเกี่ยวข้องในการโจมตีของแฮ็กเกอร์ เรียกคำแถลงของกระทรวงการต่างประเทศอังกฤษว่าเป็นส่วนหนึ่งของ “การรณรงค์ต่อต้านรัสเซีย”
อนุสาวรีย์ "อยู่ที่นี่ ไวรัสคอมพิวเตอร์ เพชรยา พ่ายแพ้คนเมื่อวันที่ 27 มิถุนายน 2560"
อนุสาวรีย์ไวรัสคอมพิวเตอร์ Petya ถูกสร้างขึ้นในเดือนธันวาคม 2017 ใกล้กับอาคาร Skolkovo Technopark อนุสาวรีย์สูงสองเมตรพร้อมจารึก: "นี่คือไวรัสคอมพิวเตอร์ Petya ซึ่งพ่ายแพ้โดยผู้คนเมื่อวันที่ 27 มิถุนายน 2017" สร้างขึ้นในรูปแบบของฮาร์ดไดรฟ์ที่ถูกกัดถูกสร้างขึ้นโดยได้รับการสนับสนุนจาก บริษัท INVITRO ท่ามกลางบริษัทอื่น ๆ ที่ได้รับผลกระทบจากการโจมตีทางไซเบอร์ครั้งใหญ่ หุ่นยนต์ชื่อนู ซึ่งทำงานที่อุทยานฟิสิกส์และเทคโนโลยีและ (MIT) มาร่วมพิธีกล่าวสุนทรพจน์อย่างเคร่งขรึมเป็นพิเศษ
โจมตีรัฐบาลเซวาสโทพอล
ผู้เชี่ยวชาญของ Main Directorate of Information and Communications of Sevastopol สามารถยับยั้งการโจมตีของไวรัสเข้ารหัสเครือข่าย Petya บนเซิร์ฟเวอร์ของรัฐบาลในภูมิภาคได้สำเร็จ สิ่งนี้ประกาศเมื่อวันที่ 17 กรกฎาคม 2017 ในการประชุมเจ้าหน้าที่ของรัฐบาลเซวาสโทพอลโดยหัวหน้าแผนกสารสนเทศ Denis Timofeev
เขาระบุว่ามัลแวร์ Petya ไม่มีผลกระทบต่อข้อมูลที่จัดเก็บไว้ในคอมพิวเตอร์ในหน่วยงานของรัฐในเซวาสโทพอล
การมุ่งเน้นที่การใช้ซอฟต์แวร์เสรีนั้นฝังอยู่ในแนวคิดของการให้ข้อมูลของเซวาสโทพอล ซึ่งได้รับการอนุมัติในปี 2558 โดยระบุว่าเมื่อซื้อและพัฒนาซอฟต์แวร์พื้นฐานตลอดจนซอฟต์แวร์สำหรับระบบข้อมูลสำหรับระบบอัตโนมัติ ขอแนะนำให้วิเคราะห์ความเป็นไปได้ในการใช้ผลิตภัณฑ์ฟรีเพื่อลดต้นทุนงบประมาณและลดการพึ่งพาซัพพลายเออร์และนักพัฒนา
ก่อนหน้านี้ เมื่อปลายเดือนมิถุนายน ส่วนหนึ่งของการโจมตีบริษัทการแพทย์ Invitro ขนาดใหญ่ สาขาของบริษัทที่ตั้งอยู่ในเซวาสโทพอลก็ได้รับความเสียหายเช่นกัน เนื่องจากไวรัส เครือข่ายคอมพิวเตอร์สาขาได้ระงับการออกผลการทดสอบเป็นการชั่วคราวจนกว่าสาเหตุจะหมดไป
Invitro ประกาศระงับการรับการทดสอบเนื่องจากการโจมตีทางไซเบอร์
บริษัทการแพทย์ Invitro ระงับการรวบรวมวัสดุชีวภาพและการออกผลการทดสอบผู้ป่วยเนื่องจากการโจมตีของแฮ็กเกอร์เมื่อวันที่ 27 มิถุนายน Anton Bulanov ผู้อำนวยการฝ่ายสื่อสารองค์กรของบริษัทบอกกับ RBC เกี่ยวกับเรื่องนี้
ดังที่บริษัทกล่าวในแถลงการณ์ Invitro จะกลับมาดำเนินการตามปกติในไม่ช้า ผลการศึกษาที่ดำเนินการหลังจากเวลานี้จะถูกส่งไปยังผู้ป่วยหลังจากข้อผิดพลาดทางเทคนิคได้รับการแก้ไขแล้ว ปัจจุบันมีห้องปฏิบัติการ ระบบข้อมูลกลับคืนมาแล้ว อยู่ระหว่างดำเนินการตั้งค่า “เราเสียใจกับสถานการณ์เหตุสุดวิสัยในปัจจุบัน และขอขอบคุณลูกค้าของเราสำหรับความเข้าใจ” Invitro กล่าวสรุป
ตามข้อมูลเหล่านี้การโจมตี ไวรัสคอมพิวเตอร์คลินิกในรัสเซีย เบลารุส และคาซัคสถานถูกเปิดเผย
โจมตีแก๊ซพรอมและบริษัทน้ำมันและก๊าซอื่นๆ
เมื่อวันที่ 29 มิถุนายน 2017 เป็นที่ทราบกันดีเกี่ยวกับการโจมตีทางไซเบอร์ทั่วโลกต่อระบบคอมพิวเตอร์ของ Gazprom ดังนั้นอีกหนึ่ง บริษัท รัสเซียได้รับผลกระทบจากไวรัส Petya ransomware
ตาม หน่วยงานข้อมูลสำนักข่าวรอยเตอร์ อ้างแหล่งข่าวในรัฐบาลรัสเซียและบุคคลที่เกี่ยวข้องกับการสืบสวนเหตุการณ์ดังกล่าว แก๊ซพรอมต้องทนทุกข์ทรมานจากการแพร่กระจายของมัลแวร์ Petya ซึ่งโจมตีคอมพิวเตอร์ในกว่า 60 ประเทศทั่วโลก
คู่สนทนาของสิ่งพิมพ์ไม่ได้ให้รายละเอียดเกี่ยวกับจำนวนและระบบที่ติดไวรัสที่ Gazprom รวมถึงขอบเขตของความเสียหายที่เกิดจากแฮกเกอร์ บริษัทปฏิเสธที่จะแสดงความคิดเห็นเมื่อได้รับการติดต่อจากรอยเตอร์
ในขณะเดียวกัน แหล่งข่าว RBC ระดับสูงที่ Gazprom บอกกับสื่อสิ่งพิมพ์ว่าคอมพิวเตอร์ที่สำนักงานกลางของบริษัททำงานโดยไม่หยุดชะงักเมื่อการโจมตีของแฮ็กเกอร์ขนาดใหญ่เริ่มขึ้น (27 มิถุนายน 2017) และดำเนินต่อไปอีกสองวันต่อมา แหล่งข่าว RBC อีกสองแห่งที่ Gazprom ยังรับประกันว่า "ทุกอย่างอยู่ในความสงบ" ในบริษัท และไม่มีไวรัส
ในภาคน้ำมันและก๊าซ Bashneft และ Rosneft ได้รับผลกระทบจากไวรัส Petya หลังประกาศเมื่อวันที่ 28 มิถุนายนว่าบริษัทเปิดให้บริการตามปกติ และ “ปัญหาส่วนบุคคล” ได้รับการแก้ไขโดยทันที
ธนาคารและอุตสาหกรรม
เป็นที่รู้กันว่าคอมพิวเตอร์ติดไวรัสที่ Evraz ซึ่งเป็นสาขาของ Royal Canin ของรัสเซีย (ผลิตเครื่องแบบสำหรับสัตว์) และแผนก Mondelez ของรัสเซีย (ผู้ผลิตช็อคโกแลต Alpen Gold และ Milka)
ตามที่กระทรวงกิจการภายในของประเทศยูเครนระบุ ชายคนหนึ่งได้เผยแพร่วิดีโอบนเว็บไซต์แชร์ไฟล์และโซเชียลเน็ตเวิร์กด้วย คำอธิบายโดยละเอียดกระบวนการเรียกใช้ ransomware บนคอมพิวเตอร์ ในความคิดเห็นต่อวิดีโอ ชายคนดังกล่าวโพสต์ลิงก์ไปยังเพจของเขา เครือข่ายสังคมซึ่งเขาดาวน์โหลดโปรแกรมที่เป็นอันตรายลงไป ระหว่างการตรวจค้นในอพาร์ตเมนต์ของ “แฮ็กเกอร์” เจ้าหน้าที่บังคับใช้กฎหมายได้เข้ายึดได้ อุปกรณ์คอมพิวเตอร์ใช้เพื่อแจกจ่าย NotPetya ตำรวจยังพบไฟล์ที่มีมัลแวร์ หลังจากวิเคราะห์แล้ว พบว่าคล้ายกับแรนซัมแวร์ NotPetya เมื่อเจ้าหน้าที่ตำรวจไซเบอร์ก่อตั้งขึ้น โปรแกรมแรนซัมแวร์ซึ่งลิงก์ดังกล่าวเผยแพร่โดยชาว Nikopol ก็ถูกดาวน์โหลดโดยผู้ใช้โซเชียลเน็ตเวิร์ก 400 ครั้ง
ในบรรดาผู้ที่ดาวน์โหลด NotPetya เจ้าหน้าที่บังคับใช้กฎหมายระบุบริษัทที่จงใจติดแรนซัมแวร์ในระบบเพื่อซ่อนกิจกรรมทางอาญาและหลบเลี่ยงการจ่ายค่าปรับให้กับรัฐ เป็นที่น่าสังเกตว่าตำรวจไม่ได้เชื่อมโยงกิจกรรมของชายคนนี้กับการโจมตีของแฮ็กเกอร์เมื่อวันที่ 27 มิถุนายนปีนี้ กล่าวคือ ไม่มีการพูดคุยถึงความเกี่ยวข้องใดๆ กับผู้เขียน NotPetya การกระทำที่เขาถูกกล่าวหานั้นเกี่ยวข้องกับการกระทำที่กระทำในเดือนกรกฎาคมของปีนี้เท่านั้น หลังจากเกิดการโจมตีทางไซเบอร์ครั้งใหญ่
มีการเริ่มดำเนินคดีอาญากับชายตามส่วนที่ 1 ของมาตรา มาตรา 361 (การแทรกแซงการทำงานของคอมพิวเตอร์โดยไม่ได้รับอนุญาต) แห่งประมวลกฎหมายอาญาของประเทศยูเครน ชาว Nikopol ต้องเผชิญกับโทษจำคุกสูงสุด 3 ปี
การแพร่กระจายในโลก
มีการบันทึกการแพร่กระจายของไวรัส Petya ransomware ในสเปน เยอรมนี ลิทัวเนีย จีน และอินเดีย ตัวอย่างเช่น เนื่องจากโปรแกรมที่เป็นอันตรายในอินเดีย เทคโนโลยีสำหรับการจัดการการขนส่งสินค้าของท่าเรือคอนเทนเนอร์ Jawaharlal Nehru ที่ดำเนินการโดย A.P. Moller-Maersk หยุดรับรู้ถึงตัวตนของสินค้า
การโจมตีทางไซเบอร์ดังกล่าวรายงานโดยกลุ่มโฆษณา WPP ของอังกฤษ สำนักงานในสเปนของบริษัทกฎหมาย DLA Piper ที่ใหญ่ที่สุดแห่งหนึ่งของโลก และ Mondelez บริษัทอาหารยักษ์ใหญ่ Cie ผู้ผลิตวัสดุก่อสร้างชาวฝรั่งเศสก็เป็นหนึ่งในเหยื่อเช่นกัน เดอ แซง-โกแบ็ง และบริษัทเภสัชกรรม Merck & Co.
เมอร์ค
บริษัทยักษ์ใหญ่ด้านเภสัชกรรมของอเมริกาอย่าง Merck ซึ่งได้รับความเดือดร้อนอย่างมากจากการโจมตีของแรนซัมแวร์ NotPetya ในเดือนมิถุนายน ยังคงไม่สามารถกู้คืนระบบทั้งหมดและกลับสู่การทำงานตามปกติได้ ข้อมูลนี้ได้รับการรายงานในรายงานของบริษัทในแบบฟอร์ม 8-K ซึ่งส่งไปยังสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (SEC) ของสหรัฐอเมริกา ณ สิ้นเดือนกรกฎาคม 2017 อ่านเพิ่มเติม.
โมลเลอร์-มาเออร์สค์ และรอสเนฟต์
เมื่อวันที่ 3 กรกฎาคม 2017 เป็นที่ทราบกันว่าบริษัทขนส่งยักษ์ใหญ่ของเดนมาร์ก Moller-Maersk และ Rosneft ได้กู้คืนระบบไอทีที่ติดไวรัส Petya ransomware เพียงหนึ่งสัปดาห์หลังการโจมตี ซึ่งเกิดขึ้นเมื่อวันที่ 27 มิถุนายน
บริษัทขนส่ง Maersk ซึ่งดูแลตู้สินค้าทุกๆ 7 ลำที่จัดส่งไปทั่วโลก ยังเสริมว่าแอปพลิเคชันทั้งหมด 1,500 รายการที่ได้รับผลกระทบจากการโจมตีทางไซเบอร์จะกลับมาดำเนินการตามปกติภายในวันที่ 9 กรกฎาคม 2017
ระบบไอทีของ APM Terminals ของบริษัท Maersk ซึ่งดำเนินธุรกิจท่าเรือขนส่งสินค้าและท่าเทียบเรือตู้คอนเทนเนอร์หลายสิบแห่งในกว่า 40 ประเทศ ส่วนใหญ่ได้รับผลกระทบ ตู้สินค้ามากกว่า 100,000 ตู้ต่อวันผ่านท่าเรือของ APM Terminals ซึ่งงานเป็นอัมพาตโดยสิ้นเชิงเนื่องจากการแพร่กระจายของไวรัส ท่าเทียบเรือ Maasvlakte II ในเมืองรอตเตอร์ดัม กลับมาให้บริการอีกครั้งในวันที่ 3 กรกฎาคม
16 สิงหาคม 2560 Moller-Maersk ตั้งชื่อจำนวนความเสียหายโดยประมาณจากการโจมตีทางไซเบอร์โดยใช้ไวรัส Petya ซึ่งตามที่ระบุไว้ในบริษัทในยุโรป ว่าติดไวรัสผ่านโปรแกรมของยูเครน จากการคำนวณเบื้องต้นของ Maersk ความสูญเสียทางการเงินจากแรนซัมแวร์ Petya ในไตรมาสที่สองของปี 2017 มีมูลค่าตั้งแต่ 200 ถึง 300 ล้านดอลลาร์
ในขณะเดียวกัน Rosneft ใช้เวลาเกือบหนึ่งสัปดาห์ในการกู้คืนระบบคอมพิวเตอร์จากการโจมตีของแฮ็กเกอร์ ตามที่รายงานโดยบริการกดของบริษัทเมื่อวันที่ 3 กรกฎาคม Interfax รายงานว่า:
เมื่อไม่กี่วันก่อนหน้านี้ Rosneft เน้นย้ำว่ายังไม่ได้ประเมินผลที่ตามมาของการโจมตีทางไซเบอร์ แต่การผลิตไม่ได้รับผลกระทบ
Petya ทำงานอย่างไร
แท้จริงแล้วผู้ที่ตกเป็นเหยื่อของไวรัสไม่สามารถปลดล็อกไฟล์ของตนได้หลังจากติดไวรัส ความจริงก็คือผู้สร้างไม่ได้จัดเตรียมความเป็นไปได้ดังกล่าวไว้เลย นั่นคือดิสก์ที่เข้ารหัสเป็นสิ่งที่ไม่สามารถถอดรหัสได้ รหัสมัลแวร์ไม่มีข้อมูลที่จำเป็นสำหรับการถอดรหัส
ในขั้นต้น ผู้เชี่ยวชาญได้จำแนกไวรัส ซึ่งส่งผลกระทบต่อคอมพิวเตอร์ประมาณสองพันเครื่องในรัสเซีย ยูเครน โปแลนด์ อิตาลี เยอรมนี ฝรั่งเศส และประเทศอื่นๆ โดยเป็นส่วนหนึ่งของตระกูลแรนซัมแวร์ Petya ที่รู้จักกันดีอยู่แล้ว อย่างไรก็ตาม ปรากฎว่าเรากำลังพูดถึงมัลแวร์ตระกูลใหม่ แคสเปอร์สกี้ แลป ได้รับการขนานนามว่า แรนซัมแวร์ตัวใหม่อดีต
วิธีการต่อสู้
การต่อสู้กับภัยคุกคามทางไซเบอร์ต้องอาศัยความพยายามร่วมกันของธนาคาร ธุรกิจไอที และรัฐ
วิธีการกู้คืนข้อมูลจาก Positive Technologies
เมื่อวันที่ 7 กรกฎาคม 2017 Dmitry Sklyarov ผู้เชี่ยวชาญด้าน Positive Technologies ได้นำเสนอวิธีการกู้คืนข้อมูลที่เข้ารหัสโดยไวรัส NotPetya ตามที่ผู้เชี่ยวชาญระบุว่าวิธีนี้ใช้ได้หากไวรัส NotPetya มีสิทธิ์ระดับผู้ดูแลระบบและเข้ารหัสดิสก์ทั้งหมด
ความเป็นไปได้ของการกู้คืนข้อมูลเกี่ยวข้องกับข้อผิดพลาดในการใช้อัลกอริธึมการเข้ารหัส Salsa20 ที่ทำโดยผู้โจมตีเอง ประสิทธิภาพของวิธีนี้ได้รับการทดสอบทั้งในสื่อทดสอบและในสื่อที่เข้ารหัส ฮาร์ดไดรฟ์บริษัทขนาดใหญ่ที่เป็นหนึ่งในเหยื่อของโรคระบาด
บริษัทและนักพัฒนาอิสระที่เชี่ยวชาญด้านการกู้คืนข้อมูลสามารถใช้งานได้ฟรีและทำให้สคริปต์ถอดรหัสที่นำเสนอเป็นแบบอัตโนมัติ
ผลการสอบสวนได้รับการยืนยันจากตำรวจไซเบอร์ของยูเครนแล้ว Juscutum ตั้งใจที่จะใช้ผลการสอบสวนเป็นหลักฐานสำคัญในการพิจารณาคดีกับ Intellect-Service ในอนาคต
กระบวนการนี้จะมีลักษณะทางแพ่ง หน่วยงานบังคับใช้กฎหมายของยูเครนกำลังดำเนินการสอบสวนโดยอิสระ ก่อนหน้านี้ตัวแทนของพวกเขาได้ประกาศความเป็นไปได้ในการดำเนินคดีกับพนักงาน Intellect-Service
บริษัท M.E.Doc ระบุเองว่าสิ่งที่เกิดขึ้นคือความพยายามที่จะบุกโจมตีบริษัท ผู้ผลิตซอฟต์แวร์บัญชียูเครนยอดนิยมเพียงรายเดียวเชื่อว่าการค้นหา บริษัท ที่ดำเนินการโดยตำรวจไซเบอร์ของยูเครนเป็นส่วนหนึ่งของการดำเนินการตามแผนนี้
เวกเตอร์การติดไวรัสเริ่มต้นสำหรับตัวเข้ารหัส Petya
เมื่อวันที่ 17 พฤษภาคม การอัปเดต M.E.Doc ได้รับการเผยแพร่ ซึ่งไม่มีโมดูลแบ็คดอร์ที่เป็นอันตราย นี่อาจอธิบายถึงการติดไวรัส XData ในจำนวนที่ค่อนข้างน้อย บริษัทเชื่อ ผู้โจมตีไม่ได้คาดหวังว่าการอัปเดตจะออกในวันที่ 17 พฤษภาคม และเปิดตัวตัวเข้ารหัสในวันที่ 18 พฤษภาคม ซึ่งเป็นช่วงที่ผู้ใช้ส่วนใหญ่ติดตั้งการอัปเดตที่ปลอดภัยแล้ว
แบ็คดอร์อนุญาตให้ดาวน์โหลดและเรียกใช้มัลแวร์อื่น ๆ บนระบบที่ติดไวรัส - นี่คือวิธีการติดไวรัสครั้งแรกด้วยตัวเข้ารหัส Petya และ XData นอกจากนี้ โปรแกรมยังรวบรวมการตั้งค่าพร็อกซีเซิร์ฟเวอร์และอีเมล รวมถึงการเข้าสู่ระบบและรหัสผ่านจากแอปพลิเคชัน M.E.Doc รวมถึงรหัสบริษัทตามทะเบียน Unified State Register of Enterprises and Organisations ของประเทศยูเครน ซึ่งอนุญาตให้ระบุตัวตนของเหยื่อได้
“เราต้องตอบคำถามหลายข้อ” Anton Cherepanov นักวิเคราะห์ไวรัสอาวุโสของ Eset กล่าว - ประตูหลังมีการใช้งานมานานแค่ไหน? คำสั่งและมัลแวร์ใดบ้างที่นอกเหนือจาก Petya และ XData ที่ถูกส่งผ่านช่องทางนี้ มีโครงสร้างพื้นฐานอื่นใดอีกบ้างที่ถูกบุกรุกแต่กลุ่มไซเบอร์ที่อยู่เบื้องหลังการโจมตีครั้งนี้ยังไม่ได้ใช้ประโยชน์”
จากการรวมกันของสัญญาณต่างๆ รวมถึงโครงสร้างพื้นฐาน เครื่องมือที่เป็นอันตราย แผนการ และเป้าหมายการโจมตี ผู้เชี่ยวชาญของ Eset ได้สร้างความเชื่อมโยงระหว่างการแพร่ระบาดของ Diskcoder.C (Petya) และกลุ่มไซเบอร์ Telebots ยังไม่สามารถระบุได้อย่างน่าเชื่อถือว่าใครอยู่เบื้องหลังกิจกรรมของกลุ่มนี้
เมื่อไม่กี่เดือนที่ผ่านมา เราและผู้เชี่ยวชาญด้านความปลอดภัยด้านไอทีคนอื่นๆ ค้นพบมัลแวร์ตัวใหม่ - Petya (Win32.Trojan-Ransom.Petya.A)- ในแง่ดั้งเดิม ไวรัสไม่ใช่ตัวเข้ารหัส แต่เพียงแต่บล็อกการเข้าถึงไฟล์บางประเภทและเรียกร้องค่าไถ่ ไวรัสมีการปรับเปลี่ยน รายการบูตบนฮาร์ดไดรฟ์บังคับให้รีบูทพีซีและแสดงข้อความว่า "ข้อมูลถูกเข้ารหัส - เสียเงินเพื่อถอดรหัส" โดยทั่วไป รูปแบบมาตรฐานของไวรัสเข้ารหัส ยกเว้นว่าไฟล์นั้นไม่ได้เข้ารหัสจริงๆ โปรแกรมป้องกันไวรัสที่ได้รับความนิยมส่วนใหญ่เริ่มระบุและลบ Win32.Trojan-Ransom.Petya.A ไม่กี่สัปดาห์หลังจากการปรากฏตัว นอกจากนี้ยังมีคำแนะนำสำหรับการลบด้วยตนเองอีกด้วย เหตุใดเราจึงคิดว่า Petya ไม่ใช่แรนซัมแวร์แบบคลาสสิก ไวรัสนี้ทำการเปลี่ยนแปลงกับ Master บันทึกการบูตและป้องกันไม่ให้ระบบปฏิบัติการโหลดและยังเข้ารหัสตารางไฟล์หลักอีกด้วย มันไม่ได้เข้ารหัสไฟล์ด้วยตัวเอง
อย่างไรก็ตาม ไวรัสที่มีความซับซ้อนมากขึ้นปรากฏขึ้นเมื่อไม่กี่สัปดาห์ก่อน มิสชาเห็นได้ชัดว่าเขียนโดยนักต้มตุ๋นคนเดียวกัน ไฟล์เข้ารหัสไวรัสนี้และคุณต้องจ่ายเงิน 500 - 875 เหรียญสหรัฐสำหรับการถอดรหัส (ในรูปแบบ รุ่นที่แตกต่างกัน 1.5 – 1.8 บิตคอยน์) คำแนะนำสำหรับ “การถอดรหัส” และการชำระเงินจะถูกเก็บไว้ในไฟล์ YOUR_FILES_ARE_ENCRYPTED.HTML และ YOUR_FILES_ARE_ENCRYPTED.TXT
ไวรัส Mischa – เนื้อหาของไฟล์ YOUR_FILES_ARE_ENCRYPTED.HTML
ในตอนนี้ ที่จริงแล้ว แฮกเกอร์ทำให้คอมพิวเตอร์ของผู้ใช้ติดเชื้อด้วยมัลแวร์สองตัว ได้แก่ Petya และ Mischa คนแรกต้องการสิทธิ์ของผู้ดูแลระบบในระบบ นั่นคือหากผู้ใช้ปฏิเสธที่จะให้สิทธิ์ผู้ดูแลระบบ Petya หรือลบมัลแวร์นี้ด้วยตนเอง Mischa ก็เข้ามามีส่วนร่วม ไวรัสนี้ไม่ต้องการสิทธิ์ของผู้ดูแลระบบ มันเป็นตัวเข้ารหัสแบบคลาสสิกและเข้ารหัสไฟล์โดยใช้อัลกอริธึม AES ที่แข็งแกร่ง และไม่มีการเปลี่ยนแปลงใด ๆ กับ Master Boot Record และตารางไฟล์บนฮาร์ดไดรฟ์ของเหยื่อ
มัลแวร์ Mischa ไม่เพียงแต่เข้ารหัสไฟล์ประเภทมาตรฐานเท่านั้น (วิดีโอ รูปภาพ การนำเสนอ เอกสาร) แต่ยังรวมถึงไฟล์ .exe อีกด้วย ไวรัสไม่ส่งผลกระทบเฉพาะไดเร็กทอรี \Windows, \$Recycle.Bin, \Microsoft, \ มอซซิลา ไฟร์ฟอกซ์,\โอเปร่า\ อินเทอร์เน็ตเอ็กซ์พลอเรอร์, \Temp, \Local, \LocalLow และ \Chrome
การติดเชื้อส่วนใหญ่เกิดขึ้นผ่านทางอีเมล โดยจะได้รับจดหมายพร้อมไฟล์แนบ - โปรแกรมติดตั้งไวรัส สามารถเข้ารหัสได้ภายใต้จดหมายจาก Tax Service จากบัญชีของคุณ เช่น ใบเสร็จรับเงินและใบเสร็จรับเงินสำหรับการซื้อที่แนบมา ฯลฯ ให้ความสนใจกับนามสกุลไฟล์ในตัวอักษรดังกล่าว - หากเป็นไฟล์ปฏิบัติการ (.exe) มีความเป็นไปได้สูงว่าอาจเป็นคอนเทนเนอร์ที่มีไวรัส Petya\Mischa และหากมีการแก้ไขมัลแวร์เมื่อเร็วๆ นี้ โปรแกรมป้องกันไวรัสของคุณอาจไม่ตอบสนอง
อัปเดต 30/06/2017: 27 มิถุนายน ไวรัส Petya เวอร์ชันแก้ไข (เพชรยา.เอ)โจมตีผู้ใช้จำนวนมากในยูเครน ผลกระทบของการโจมตีครั้งนี้มีมหาศาลและยังไม่มีการคำนวณความเสียหายทางเศรษฐกิจ ในวันเดียว งานของธนาคารหลายสิบแห่งก็กลายเป็นอัมพาต เครือข่ายค้าปลีกหน่วยงานราชการและรัฐวิสาหกิจที่มีกรรมสิทธิ์ในรูปแบบต่างๆ ไวรัสแพร่กระจายผ่านช่องโหว่ในระบบการรายงานทางบัญชีของยูเครน MeDoc ล่าสุด อัปเดตอัตโนมัติของซอฟต์แวร์นี้ นอกจากนี้ ไวรัสยังส่งผลกระทบต่อประเทศต่างๆ เช่น รัสเซีย สเปน สหราชอาณาจักร ฝรั่งเศส และลิทัวเนีย
ลบไวรัส Petya และ Mischa โดยใช้ตัวทำความสะอาดอัตโนมัติ
พิเศษเฉพาะ วิธีการที่มีประสิทธิภาพการทำงานกับมัลแวร์โดยทั่วไปและโดยเฉพาะแรนซัมแวร์ การใช้คอมเพล็กซ์การป้องกันที่ได้รับการพิสูจน์แล้วรับประกันการตรวจจับส่วนประกอบของไวรัสอย่างละเอียด การกำจัดที่สมบูรณ์ได้ด้วยคลิกเดียว โปรดทราบว่าเรากำลังพูดถึงสอง กระบวนการที่แตกต่างกัน: ถอนการติดตั้งการติดไวรัสและกู้คืนไฟล์บนพีซีของคุณ อย่างไรก็ตาม ภัยคุกคามดังกล่าวจำเป็นต้องถูกกำจัดออกไปอย่างแน่นอน เนื่องจากมีข้อมูลเกี่ยวกับการนำโทรจันคอมพิวเตอร์เครื่องอื่นมาใช้
- - หลังจากเริ่มซอฟต์แวร์ให้คลิกปุ่ม เริ่มการสแกนคอมพิวเตอร์(เริ่มการสแกน)
- ซอฟต์แวร์ที่ติดตั้งจะจัดทำรายงานภัยคุกคามที่ตรวจพบระหว่างการสแกน หากต้องการลบภัยคุกคามที่ตรวจพบทั้งหมด ให้เลือกตัวเลือก แก้ไขภัยคุกคาม(ขจัดภัยคุกคาม) มัลแวร์ที่เป็นปัญหาจะถูกลบออกอย่างสมบูรณ์
คืนค่าการเข้าถึงไฟล์ที่เข้ารหัส
ตามที่ระบุไว้ Mischa ransomware ล็อคไฟล์โดยใช้อัลกอริธึมการเข้ารหัสที่รัดกุม ดังนั้นข้อมูลที่เข้ารหัสไม่สามารถกู้คืนได้โดยใช้ไม้กายสิทธิ์ โดยไม่ต้องจ่ายค่าไถ่จำนวนที่ไม่เคยได้ยินมาก่อน (บางครั้งอาจสูงถึง 1,000 ดอลลาร์) แต่วิธีการบางอย่างสามารถช่วยชีวิตได้จริงๆ ซึ่งจะช่วยคุณกู้คืนข้อมูลสำคัญได้ ด้านล่างนี้คุณสามารถทำความคุ้นเคยกับพวกเขาได้
โปรแกรม การกู้คืนอัตโนมัติไฟล์ (ตัวถอดรหัส)
เป็นที่รู้กันว่ามีเหตุการณ์ที่ไม่ปกติมาก การติดเชื้อนี้จะลบไฟล์ต้นฉบับในรูปแบบที่ไม่ได้เข้ารหัส กระบวนการเข้ารหัสเพื่อวัตถุประสงค์ในการขู่กรรโชกจึงมุ่งเป้าไปที่สำเนาของพวกมัน นี่เป็นการเปิดโอกาสให้เช่นนี้ ซอฟต์แวร์วิธีคืนค่าวัตถุที่ถูกลบแม้ว่าจะรับประกันความน่าเชื่อถือของการลบออกก็ตาม ขอแนะนำอย่างยิ่งให้หันไปใช้ขั้นตอนการกู้คืนไฟล์
Shadow Copy ของเล่มต่างๆ
วิธีการนี้ขึ้นอยู่กับขั้นตอนของ Windows สำเนาสำรองซึ่งจะถูกทำซ้ำในแต่ละจุดกู้คืน เงื่อนไขที่สำคัญงาน วิธีนี้: ต้องเปิดใช้งานฟังก์ชัน “System Restore” ก่อนที่จะติดไวรัส อย่างไรก็ตาม การเปลี่ยนแปลงใดๆ ในไฟล์ที่ทำหลังจากจุดคืนค่าจะไม่ปรากฏในเวอร์ชันที่กู้คืนของไฟล์
สำรองข้อมูล
นี่เป็นวิธีที่ดีที่สุดในบรรดาวิธีการที่ไม่ใช่ค่าไถ่ทั้งหมด หากทำตามขั้นตอนการสำรองข้อมูลแล้ว เซิร์ฟเวอร์ภายนอกถูกใช้ก่อนการโจมตี ransomware บนคอมพิวเตอร์ของคุณ เพื่อกู้คืนไฟล์ที่เข้ารหัส คุณเพียงแค่ต้องเข้าสู่อินเทอร์เฟซที่เหมาะสม เลือก ไฟล์ที่จำเป็นและเริ่มกลไกการกู้คืนข้อมูลจากการสำรองข้อมูล ก่อนดำเนินการ คุณต้องตรวจสอบให้แน่ใจว่าได้ลบแรนซัมแวร์ออกอย่างสมบูรณ์แล้ว
ตรวจสอบการมีอยู่ของส่วนประกอบที่เหลืออยู่ของแรนซั่มแวร์ Petya และ Mischa
ทำความสะอาดใน โหมดแมนนวลเต็มไปด้วยการละเลยแรนซัมแวร์แต่ละชิ้นที่สามารถหลีกเลี่ยงการลบออกในฐานะวัตถุที่ซ่อนอยู่ ระบบปฏิบัติการหรือรายการรีจิสทรี เพื่อลดความเสี่ยงในการคงองค์ประกอบที่เป็นอันตรายไว้บางส่วน ให้สแกนคอมพิวเตอร์ของคุณโดยใช้ชุดซอฟต์แวร์รักษาความปลอดภัยที่เชื่อถือได้ซึ่งเชี่ยวชาญในด้านมัลแวร์
Petya.A คืออะไร?
นี่คือ “ไวรัสแรนซัมแวร์” ที่เข้ารหัสข้อมูลบนคอมพิวเตอร์และเรียกร้องเงิน 300 ดอลลาร์สหรัฐฯ สำหรับกุญแจในการถอดรหัส เริ่มแพร่ระบาดในคอมพิวเตอร์ของยูเครนประมาณเที่ยงของวันที่ 27 มิถุนายน และแพร่กระจายไปยังประเทศอื่นๆ เช่น รัสเซีย สหราชอาณาจักร ฝรั่งเศส สเปน ลิทัวเนีย ฯลฯ ขณะนี้มีไวรัสในเว็บไซต์ Microsoftมันมี ระดับภัยคุกคาม "ร้ายแรง"
การติดเชื้อเกิดขึ้นเนื่องจากช่องโหว่เดียวกันค่ะ ไมโครซอฟต์ วินโดวส์เช่นเดียวกับกรณีของ ไวรัสวอนนาครายซึ่งโจมตีคอมพิวเตอร์หลายพันเครื่องทั่วโลกในเดือนพฤษภาคม และสร้างความเสียหายให้กับบริษัทต่างๆ ประมาณ 1 พันล้านดอลลาร์
ช่วงเย็นตำรวจไซเบอร์รายงานว่ามีเจตนาโจมตีด้วยไวรัส การรายงานทางอิเล็กทรอนิกส์และการไหลของเอกสาร ตามที่เจ้าหน้าที่บังคับใช้กฎหมายระบุ เวลา 10.30 น. มีการเปิดตัวการอัปเดต M.E.Doc ครั้งต่อไป โดยมีการดาวน์โหลดซอฟต์แวร์ที่เป็นอันตรายลงในคอมพิวเตอร์
Petya แจกจ่ายโดยใช้ อีเมลส่งต่อโปรแกรมเป็นประวัติย่อของพนักงาน หากมีคนพยายามเปิดเรซูเม่ ไวรัสจะขอสิทธิ์ผู้ดูแลระบบแก่เขา หากผู้ใช้ตกลง คอมพิวเตอร์จะรีบูตทันที ฮาร์ดดิสถูกเข้ารหัสและมีหน้าต่างแจ้งค่าไถ่ปรากฏขึ้น
วิดีโอ
กระบวนการติดเชื้อไวรัส Petya วิดีโอ: G DATA Software AG / YouTube
ในเวลาเดียวกันไวรัส Petya เองก็มีช่องโหว่: เป็นไปได้ที่จะได้รับกุญแจในการถอดรหัสข้อมูลโดยใช้ โปรแกรมพิเศษ- วิธีการนี้อธิบายโดย Maxim Agadzhanov บรรณาธิการของ Geektimes ในเดือนเมษายน 2559
อย่างไรก็ตาม ผู้ใช้บางคนชอบที่จะจ่ายค่าไถ่ ตามข้อมูลจากกระเป๋าเงิน Bitcoin ที่มีชื่อเสียงแห่งหนึ่ง ผู้สร้างไวรัสได้รับ 3.64 bitcoins ซึ่งคิดเป็นเงินประมาณ 9,100 ดอลลาร์
ใครได้รับผลกระทบจากไวรัส?
ในยูเครน เหยื่อของ Petya.A ส่วนใหญ่เป็น ลูกค้าองค์กร: หน่วยงานราชการ ธนาคาร สื่อ บริษัทพลังงาน และองค์กรอื่นๆ
องค์กรดังต่อไปนี้ได้รับผลกระทบ: Nova Poshta, Ukrenergo, OTP Bank, Oschadbank, DTEK, Rozetka, Boris, Ukrzaliznytsia, TNK, Antonov, Epicenter, Channel 24 และสนามบิน Boryspil คณะรัฐมนตรีของรัฐมนตรีของยูเครน รัฐ บริการการคลังและอื่น ๆ
การโจมตียังแพร่กระจายไปยังภูมิภาคต่างๆ ตัวอย่างเช่น นและที่โรงไฟฟ้านิวเคลียร์เชอร์โนบิล เนื่องจากการโจมตีทางไซเบอร์ การจัดการเอกสารอิเล็กทรอนิกส์จึงหยุดทำงาน และสถานีเปลี่ยนไปใช้การตรวจสอบระดับรังสีด้วยตนเอง ในเมืองคาร์คอฟ การดำเนินการของซูเปอร์มาร์เก็ต Rost ขนาดใหญ่ถูกปิดกั้น และการเช็คอินเที่ยวบินถูกเปลี่ยนเป็นโหมดแมนนวลที่สนามบิน
เนื่องจากไวรัส Petya.A เครื่องบันทึกเงินสดที่ซูเปอร์มาร์เก็ต Rost จึงหยุดทำงาน รูปถ่าย: Kh...evy Kharkov / VKontakte
ตามรายงานดังกล่าว บริษัท Rosneft, Bashneft, Mars, Nivea และบริษัทอื่นๆ ในรัสเซียถูกโจมตี
จะป้องกันตัวเองจาก Petya.A ได้อย่างไร?
คำแนะนำเกี่ยวกับวิธีการป้องกันตนเองจาก Petya.A ได้รับการเผยแพร่โดยหน่วยรักษาความปลอดภัยของประเทศยูเครนและตำรวจไซเบอร์
ตำรวจไซเบอร์แนะนำให้ผู้ใช้ติดตั้ง อัพเดตวินโดวส์จากเว็บไซต์ทางการของ Microsoft อัปเดตหรือติดตั้งโปรแกรมป้องกันไวรัส ห้ามดาวน์โหลดไฟล์ที่น่าสงสัย อีเมลและตัดการเชื่อมต่อคอมพิวเตอร์จากเครือข่ายทันทีหากพบปัญหา
SBU เน้นย้ำว่าในกรณีที่ต้องสงสัย คอมพิวเตอร์ไม่สามารถรีบูตได้ เนื่องจากการเข้ารหัสไฟล์เกิดขึ้นอย่างแม่นยำระหว่างการรีบูต หน่วยข่าวกรองแนะนำให้ชาวยูเครนบันทึกไฟล์อันมีค่าไว้ในสื่อที่แยกจากกันและสร้าง สำเนาสำรองระบบปฏิบัติการ.
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ Vlad Styran เขียนบนเฟซบุ๊กที่มีการแพร่กระจายของไวรัสเข้ามา เครือข่ายท้องถิ่นสามารถหยุดได้โดยการบล็อกพอร์ต TCP 1024-1035, 135, 139 และ 445 ใน Windows มีคำแนะนำบนอินเทอร์เน็ตเกี่ยวกับวิธีการทำเช่นนี้
ผู้เชี่ยวชาญจากบริษัทไซแมนเทคสัญชาติอเมริกัน