LED Display System
จำหน่ายและติดตั้ง จอโฆษณา LED รองรับหลายภาษา
AHD CCTV System
กล้องวงจรปิดระบบ AHD ดูผ่านมือถือฟรี
IP Camera System
กล้องวงจรปิดระบบ IP ดูผ่านมือถือฟรี
บริการติดตั้ง LAN, WIFI, FIber optic
การบริการเกี่ยวกับการออกแบบระบบ Network ในรูปแบบต่างๆ ให้เหมาะสม คุ้มค่า คุ้มทุน กับการใช้งานในองค์กร หรือหน่วยงานนั้นๆ อย่างมีประสิทธิภาพ ตั้งแต่องค์กร หรือหน่วยงาน ขนาดเล็ก จนถึงขนาดใหญ่
Solar Street Lights
ชุดไฟฟ้าไร้สาย โซล่าไลท์

สถานการณ์การแพร่ระบาด

เมื่อวันที่ 27 มิถุนายน 2560 มีรายงานการแพร่ระบาดของมัลแวร์เรียกค่าไถ่ Petya สายพันธุ์ใหม่ที่แพร่กระจายผ่านช่องโหว่ของระบบ SMBv1 แบบเดียวกับที่มัลแวร์ WannaCry ใช้ (อ่านข้อมูลเพิ่มเติมเรื่องมัลแวร์เรียกค่าไถ่ WannaCry ได้ที่ https://www.thaicert.or.th/alerts/user/2017/al2017us001.html) สถิติความเสียหายพบคอมพิวเตอร์ทั่วโลกติดมัลแวร์นี้แล้วกว่า 12,500 เครื่อง ประเทศที่ได้รับแจ้งว่าถูกโจมตี ได้แก่ รัสเซีย ยูเครน อินเดีย และประเทศในแถบยุโรป หน่วยงานที่ได้รับผลกระทบ เช่น ธนาคารกลาง บริษัทพลังงานไฟฟ้า สนามบิน เป็นต้น [1]

การทำงานของมัลแวร์ Petya

มัลแวร์เรียกค่าไถ่ Petya เคยมีการแพร่ระบาดมาแล้วก่อนหน้านี้เมื่อกลางปี 2559 [2] ลักษณะการทำงานจะไม่ใช่การเข้ารหัสลับไฟล์ข้อมูลเหมือนมัลแวร์เรียกค่าไถ่ทั่วไป แต่จะเข้ารหัสลับ Master File Table (MFT) ของพาร์ทิชัน ซึ่งเป็นตารางที่ใช้ระบุตำแหน่งชื่อไฟล์และเนื้อหาของไฟล์ในฮาร์ดดิสก์ ทำให้ผู้ใช้ไม่สามารถเข้าถึงข้อมูลในฮาร์ดดิสก์ได้ [3]

เครื่องที่ตกเป็นเหยื่อมัลแวร์เรียกค่าไถ่ จะไม่สามารถเปิดระบบปฏิบัติการขึ้นมาใช้งานได้ตามปกติ โดยจะปรากฏหน้าจอเป็นข้อความสีแดงบนพื้นหลังสีดำตามรูปที่ 1 ผู้พัฒนามัลแวร์เรียกร้องให้เหยื่อจ่ายเงินเป็นจำนวน 300 ดอลลาร์สหรัฐ โดยให้จ่ายเป็น Bitcoin เพื่อปลดล็อกถอดรหัสลับข้อมูล อย่างไรก็ตาม เนื่องจากผู้พัฒนามัลแวร์ได้แจ้งให้ผู้ที่ตกเป็นเหยื่อส่งอีเมลแจ้งการชำระเงิน แต่ล่าสุดที่อยู่อีเมลดังกล่าวถูกระงับการใช้งานแล้ว ทำให้ปัจจุบันผู้ที่ตกเป็นเหยื่อจะไม่สามารถขอกุญแจสำหรับกู้คืนข้อมูลได้อีกต่อไป 

หลังจากที่เครื่องคอมพิวเตอร์ติดมัลแวร์ ไฟล์นามสกุลเหล่านี้จะถูกเข้ารหัสลับ

.3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .db, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip

ระหว่างเข้ารหัสลับไฟล์ มัลแวร์จะตั้ง Task Schedule เพื่อสั่งให้เครื่อง restart โดยอัตโนมัติภายในระยะเวลา 1-2 ชั่วโมง นอกจากนี้ยังพยายามดักรหัสผ่านบัญชีผู้ดูแลระบบในเครือข่ายเพื่อใช้เป็นช่องทางในการแพร่กระจายต่อ [6]

หลังจากครบระยะเวลาที่กำหนด หรือผู้ใช้สั่ง restart เครื่อง เมื่อเปิดเครื่องขึ้นมาในครั้งต่อไป จะพบหน้าจอสีดำแสดงข้อความ CHKDSK หลอกว่าเป็นการตรวจสอบฮาร์ดดิสก์ ดังรูปที่ 2 แต่ที่จริงแล้วเป็นการเข้ารหัสลับข้อมูล MFT ทำให้ไม่สามารถเข้าถึงไฟล์ใดๆ ในฮาร์ดดิสก์ได้อีก

ตัวอย่างหน้าจอมัลแวร์ Petya กำลังเข้ารหัสลับข้อมูลหลังจากเครื่อง restart (ที่มา - Hacker Fantastic [7])

ช่องทางการแพร่กระจาย

จากข้อมูลเบื้องต้น มัลแวร์เรียกค่าไถ่ Petya สายพันธุ์ใหม่ (ถูกเรียกชื่อว่า PetWrap หรือ PetrWrap) มีความสามารถในการแพร่กระจายโดยอัตโนมัติผ่านช่องโหว่ของระบบ SMBv1 ใน Windows ทำให้เครื่องคอมพิวเตอร์ที่ยังไม่ได้อัปเดตแพตช์แก้ไขช่องโหว่หรือเปิดให้สามารถเชื่อมต่อบริการ SMBv1 ได้จากเครือข่ายภายนอก มีโอกาสที่จะตกเป็นเหยื่อได้

นอกจากนี้ ตัวมัลแวร์ยังสามารถแพร่กระจายผ่านเครือข่ายโดยอาศัย Windows Management Instrumentation Command-line (WMIC) [8] และ PsExec [9] ซึ่งเป็นเครื่องมือที่สามารถสั่งให้เครื่องคอมพิวเตอร์อื่นในเครือข่ายรันโปรแกรมใดๆ ก็ได้ จึงทำให้เครื่องที่ติดตั้งอัปเดตแพตช์ล่าสุดแล้ว แต่อยู่ในระบบเครือข่ายเดียวกับผู้ที่ติดมัลแวร์ Petya มีโอกาสที่จะถูกโจมตีได้ด้วย [10] [11]

นักวิจัยด้านความมั่นคงปลอดภัยบางรายแจ้งว่าพบการแพร่กระจายมัลแวร์เรียกค่าไถ่ Petya ผ่านไฟล์เอกสาร Microsoft Office โดยใช้วิธีแนบไฟล์มาทางอีเมล ไฟล์เอกสารดังกล่าวมีการโจมตีช่องโหว่รหัส CVE-2017-0199 ซึ่งเป็นช่องโหว่ที่เปิดโอกาสให้ผู้ประสงค์ร้ายสามารถหลอกให้เหยื่อเปิดไฟล์เอกสาร Microsoft Ofiice แล้วดาวน์โหลดมัลแวร์มาติดตั้งได้ อย่างไรก็ตาม ข้อมูลนี้อยู่ระหว่างการยืนยันและรายงานจำนวนเครื่องที่ติดมัลแวร์ด้วยวิธีนี้ยังพบไม่มากนัก [12] [13]

ข้อแนะนำในการป้องกัน

  1. สำหรับครั้งแรกก่อนมีการเปิดใช้งานเครื่องคอมพิวเตอร์ ให้ตัดการเชื่อมต่อทางเครือข่ายก่อน (LAN และ WiFi) จากนั้นเปิดเครื่องคอมพิวเตอร์เพื่อติดตั้งแพตซ์ (ข้อ 2) หรือตั้งค่าปิดการใช้งาน SMBv1 (ข้อ 3) และทำการ restart เครื่องคอมพิวเตอร์อีกครั้ง
  2. ติดตั้งแพตช์แก้ไขช่องโหว่ SMBv1 จาก Microsoft โดย Windows Vista, Windows Server 2008 ถึง Windows 10 และ Windows Server 2016 ดาวน์โหลดอัปเดตได้จาก https://technet.microsoft.com/en-us/library/security/ms17-010.aspx ส่วน Windows XP และ Windows Server 2003 ดาวน์โหลดอัปเดตได้จากhttps://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
  3. หากไม่สามารถติดตั้งอัปเดตได้ เนื่องจากมัลแวร์เรียกค่าไถ่ Petya แพร่กระจายผ่านช่องโหว่ SMBv1 ซึ่งถูกใช้ใน Windows เวอร์ชันเก่า เช่น Windows XP, Windows Server 2003 หรืออุปกรณ์เครือข่ายบางรุ่น หากใช้งาน Windows เวอร์ชันใหม่และไม่มีความจำเป็นต้องใช้ SMBv1 ผู้ดูแลระบบอาจพิจารณาปิดการใช้งาน SMBv1 โดยดูวิธีการปิดได้จาก https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
  4. หากไม่สามารถติดตั้งอัปเดตได้ ผู้ดูแลระบบควรติดตามและป้องกันการเชื่อมต่อพอร์ต SMB (TCP 137, 139 และ 445 UDP 137 และ 138) จากเครือข่ายภายนอก อย่างไรก็ตาม การปิดกั้นพอร์ต SMB อาจมีผลกระทบกับบางระบบที่จำเป็นต้องใช้งานพอร์ตเหล่านี้ เช่น file sharing, domain, printer ผู้ดูแลระบบควรตรวจสอบก่อนบล็อกพอร์ตเพื่อป้องกันไม่ให้เกิดปัญหา
  5. อัปเดต Microsoft Office เพื่อแก้ไขช่องโหว่ CVE-2017-0199 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
  6. พิจารณาปิดบริการ Windows Management Instrumentation หากไม่จำเป็นต้องใช้งาน โดยดูวิธีการปิดได้จาก https://msdn.microsoft.com/en-us/library/aa826517(v=vs.85).aspx
  7. พิจารณาจำกัดการใช้งานบัญชีผู้ใช้ที่ได้สิทธิ์ระดับผู้ดูแลระบบ (Administrator) เพื่อลดความเสี่ยงและความเสียหาย
  8. อัปเดตระบบปฎิบัติการให้เป็นเวอร์ชันล่าสุดอยู่เสมอ หากเป็นได้ได้ควรหยุดใช้งานระบบปฏิบัติการ Windows XP, Windows Server 2003 และ Windows Vista เนื่องจากสิ้นสุดระยะเวลาสนับสนุนด้านความมั่นคงปลอดภัยแล้ว หากยังจำเป็นต้องใช้งานไม่ควรใช้กับระบบที่มีข้อมูลสำคัญ
  9. ติดตั้งแอนติไวรัสและอัปเดตฐานข้อมูลอย่างสม่ำเสมอ ปัจจุบันแอนติไวรัสจำนวนหนึ่ง (รวมถึง Windows Defender ของ Microsoft) สามารถตรวจจับมัลแวร์ Petya สายพันธุ์ที่กำลังมีการแพร่ระบาดได้แล้ว

ข้อแนะนำในการแก้ไขหากตกเป็นเหยื่อ

  1. หากใช้งานเครื่องคอมพิวเตอร์แล้วพบว่ามีบางไฟล์ที่เปิดแล้วเนื้อหาของไฟล์ไม่สามารถอ่านได้ตามปกติ หรือหาก restart เครื่องแล้วพบหน้าจอสีดำแสดงข้อความ CHKDSK มีโอกาสที่จะตกเป็นเหยื่อมัลแวร์เรียกค่าไถ่ ให้ตัดการเชื่อมต่อเครือข่าย (ถอดสาย LAN, ปิด Wi-Fi) และรีบปิดเครื่องคอมพิวเตอร์ จากนั้นติดต่อผู้ดูแลระบบ
  2. แจ้งเตือนผู้ดูแลระบบในหน่วยงานว่ามีเครื่องคอมพิวเตอร์ตกเป็นเหยื่อ เพื่อตรวจสอบและป้องกันการแพร่ระบาด
  3. หากสามารถปิดเครื่องได้ทันก่อนที่มัลแวร์ Petya จะเข้ารหัสลับข้อมูลเสร็จสิ้น ยังพอมีโอกาสกู้คืนข้อมูลได้โดยการนำฮาร์ดดิสก์ไปเชื่อมต่อกับเครื่องอื่นที่ไม่ติดมัลแวร์ หรือบู๊ตเครื่องจากระบบปฏิบัติการอื่นที่ไม่ได้ติดตั้งในเครื่อง (เช่น จาก Live CD) อย่างไรก็ตาม มัลแวร์เวอร์ชันหลังๆ อาจพัฒนาให้เข้ารหัสลับไฟล์ข้อมูลทั้งหมดก่อนที่จะ restart ทำให้วิธีนี้อาจใช้ไม่ได้ผลในอนาคต

ข้อแนะนำอื่นๆ

  • ปัจจุบันยังไม่พบช่องทางที่สามารถกู้คืนไฟล์ที่ถูกเข้ารหัสลับจากมัลแวร์เรียกค่าไถ่ Petya ได้โดยไม่จ่ายเงิน แต่การจ่ายเงินก็มีความเสี่ยงเนื่องจากไม่สามารถมั่นใจได้ว่าจะได้ข้อมูลกลับคืนมา
  • เนื่องจากพบรายงานว่ามัลแวร์เรียกค่าไถ่ Petya เวอร์ชันที่กำลังแพร่ระบาดอยู่ในปัจจุบันมีการแพร่กระจายผ่านอีเมล ผู้ใช้ควรตระหนักถึงความเสี่ยงของการเปิดไฟล์แนบจากอีเมลที่น่าสงสัย
  • มีรายงานว่าสามารถยับยั้งการทำงานของมัลแวร์ Petya ได้ด้วยการสร้างไฟล์พิเศษขึ้นมาในเครื่อง อย่างไรก็ตาม วิธีนี้ยังไม่ยืนยันว่าจะสามารถป้องกันได้ 100% และเป็นเพียงการแก้ไขปัญหาเฉพาะหน้า ควรอัปเดตแพตช์และฐานข้อมูลแอนติไวรัสเพื่อแก้ไขปัญหาที่ต้นเหตุ [14] [15]
  • ควรสำรองข้อมูลบนเครื่องคอมพิวเตอร์ที่ใช้งานอย่างสม่ำเสมอ และหากเป็นไปได้ให้เก็บข้อมูลที่ทำการสำรองไว้ในอุปกรณ์ที่ไม่มีการเชื่อมต่อกับคอมพิวเตอร์หรือระบบเครือข่ายอื่นๆ โดยสามารถศึกษาข้อมูลเพิ่มเติมได้จากบทความข้อแนะนำวิธีสำรองข้อมูลเพื่อป้องกันมัลแวร์เรียกค่าไถ่หรือข้อมูลสูญหาย https://www.thaicert.or.th/papers/general/2017/pa2017ge002.html
  • หากมีการแชร์ข้อมูลร่วมกันผ่านระบบเครือข่าย ให้ตรวจสอบสิทธิในการเข้าถึงข้อมูลแต่ละส่วน และกำหนดสิทธิ์ให้ผู้ใช้มีสิทธิ์อ่านหรือแก้ไขเฉพาะไฟล์ที่มีความจำเป็นต้องใช้สิทธิเหล่านั้น
  • หากพบเหตุต้องสงสัยหรือต้องการคำแนะนำเพิ่มเติมในกรณีนี้ สามารประสานกับไทยเซิร์ตได้ทางอีเมล This email address is being protected from spambots. You need JavaScript enabled to view it. หรือโทรศัพท์ 0-2123-1212

อ้างอิง

  1. http://www.telegraph.co.uk/news/2017/06/27/ukraine-hit-massive-cyber-attack1/
  2. https://labsblog.f-secure.com/2016/04/01/petya-disk-encrypting-ransomware/
  3. https://www.bleepingcomputer.com/news/security/petrwrap-ransomware-is-a-petya-offspring-used-in-targeted-attacks/
  4. http://thehackernews.com/2017/06/petya-ransomware-attack.html
  5. https://www.independent.co.uk/news/world/europe/ukraine-cyber-attack-hackers-national-bank-state-power-company-airport-rozenko-pavlo-cabinet-a7810471.html
  6. https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
  7. https://twitter.com/hackerfantastic/status/879793827267174400
  8. https://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/wmic.mspx?mfr=true
  9. https://technet.microsoft.com/en-us/sysinternals/bb897553.aspx
  10. https://securelist.com/schroedingers-petya/78870/
  11. https://colsec.blogspot.co.uk/2017/06/petya-outbreak-june-27th.html
  12. https://www.fireeye.com/blog/threat-research/2017/04/cve-2017-0199-hta-handler.html
  13. https://www.malwaretech.com/2017/06/petya-ransomware-attack-whats-known.html
  14. https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/
  15. https://eddwatton.wordpress.com/2017/06/27/use-group-policy-preferences-to-deploy-the-notpetya-vaccine/
Clear
 
IMAGE

บริการด้านระบบตู้สาขาระบบไอพี (IP-PBX) และ ไอพีโฟน (IP-PHONE)


        CooVox ทุกรุ่น เพียบพร้อมไปด้วยฟังก์ชั่นที่เต็มเปี่ยม เช่น Remote Extensions, Remote Office Connection, Conference Bridge, Call Recording, Call Detail Records (CDR), Automatic Call Distribution (ACD), Unified Messaging (Voicemail to Email)...
IMAGE

บริการสำหรับองค์กร-ธุรกิจ


บริการสำหรับองค์กร-ธุรกิจ บริการวางระบบ FILE SERVER  | ระบบ ACTIVE DIRECTORY (AD) บน Windows Server 2008 R2, Windows Server 2012 , Windows Server 2012 R2   Install Active Directory Service Create User account – สร้าง User พร้อมแยก...
IMAGE

บริการออกแบบและดูแลเว็บไซต์ เริ่มต้นที่ 6,900 บาท


ทีมนักออกแบบเว็บไซต์ หรือทีมนักพัฒนาเว็บไซต์ ( web design ) ซึ่งพร้อมให้บริการจัดทำเว็บไซต์ตามความต้องการของลูกค้า...
IMAGE

บริการด้านคอมพิวเตอร์


บริการด้านคอมพิวเตอร์  1. จำหน่ายคอมพิวเตอร์ ทุกรุ่น ทุกยี่ห้อ ทั้งเครื่องประกอบ และเครื่อง Brand Name...
IMAGE

บริการให้เช่าเครื่องคอมพิวเตอร์ ระบบ Thin Client


ท่านกำลังเจอปัญหาด้านคอมพิวเตอร์ใช่หรือไม่
IMAGE

บริการติดตั้ง LAN, WIFI, FIber optic


บริการด้านระบบเน็ทเวิร์ค (Network)  1. Network Systems Design  คือการบริการเกี่ยวกับการออกแบบระบบ  Network  ในรูปแบบต่างๆ ให้เหมาะสม คุ้มค่า...
IMAGE

บริการด้านกล้องวงจรปิด


บริการด้านกล้องวงจรปิด (CCTV) 1. CCTV Systems Design  คือการบริการเกี่ยวกับการออกแบบระบบ  CCTV  ในรูปแบบต่างๆ ให้เหมาะสม คุ้มค่า คุ้มทุน...
IMAGE

บริการออกแบบระบบจัดการร้านอาหาร Restaurant Management System


                 ระบบจัดการร้านอาหาร (Restaurant Management System) ระบบร้านอาหาร ถูกออกแบบมาสำหรับบริหารจัดการร้านอาหาร...
IMAGE

บริการติดตั้งระบบจัดการ Internet WIFI Hotspot


  iBSG  Download  Shop Now   iBSG (Intelligent Broadband Subscriber Gateway) คือโซลูชั่นสมบูรณ์แบบที่ออกแบบมาโดยเฉพาะสำหรับผู้ให้บริการอินเตอร์เน็ตแบบมีสายและไร้สาย...
IMAGE

บริการด้าน Digital Signage


Digital Signage คือ สื่อโฆษณาประชาสัมพันธ์ผ่านจออิเล็กทรอนิค ที่เป็นอนาคตของสื่อโฆษณาประชาสัมพันธ์ ซึ่ง นำมาใช้แทนสื่อสิ่งพิมพ์...
IMAGE

บริการด้านระบบกันขโมยไร้สาย


  สั่งซื้อสินค้า ระบบกันขโมยแบบไร้สาย ควบคุมด้วย APP บนมือถือ (Cloud Alarm Wi-Fi) เป็นระบบกันขโมยแบบไร้สาย ยี่ห้อ Hi-view   ตัว Sensor...
IMAGE

บริการด้านระบบประชุมทางไกล VDO Conference


ระบบ VDO CONFERENCE ประชุมทางไกลผ่านจอภาพ       ระบบ VDO CONFERENCE การประชุมทางไกลผ่านจอภาพ VDO...
IMAGE

บริการด้านป้ายโฆษาณา LED และจอ LED


                     ในปัจจุบัน ป้ายโฆษณา LED เป็นสื่อโฆษณาและประชาสัมพันธ์รูปแบบใหม่ที่ช่วยสร้างความโดดเด่น...
IMAGE

บริการด้านบ้านอัจฉริยะ (Smart Home)


Smart home หรือบ้านอัจฉริยะ คือการใช้เทคโนโลยีมาควบคุมอุปกรณ์ต่างๆภายในบ้าน เพื่ออำนวยความสะดวกแก่ผู้อยู่อาศัย ,...