เตือนภัยมัลแวร์เรียกค่าไถ่อีกสายพันธุ์ ที่ระบาดหนักอย่างรวดเร็ว ณ ตอนนี้คือ PETYA ซึ่งเป็น Ransomware ที่คล้าย Wannacry แต่โหดยิ่งกว่า เพราะ คราวนี้ถึงขั้นล็อคเครื่อง ใช้งานคอมไม่ได้เลย มีแต่ตัวหนังสือสีแดงเท่านั้นดังภาพ
ซึ่งเส้นทางการโจมตีนั้นคลาย Wannacry คือ ใช้ผ่านช่องโหว่ใน Protocol ที่เรียกว่า SMB-1
จากนั้น คือการยึดเครื่อง ล็อคเครื่อง และเรียกค่าไถ่ $300 ใน Bitcoin โดยการเรียกบน BITCOIN เพื่อปกปิดเส้นทางการเงินของเงินว่าได้มาจากใคร การโจมตีนี้ระบาดในประเทศ สหรัฐอเมริกา อิตาลี เยอรมนี โปแลนด์ ยูเครน และรัสเซีย แต่ในไทยก็มีติดไวรัสชนิดนี้แล้ว เมื่อ 24 มิถุนายนที่ผ่านมา
ข้อแนะนำในการป้องกัน (ป้องกันไว้ ดีกว่าแก้ ดูวิธีป้องกัน )
– ก่อนอื่นให้ปิดอินเทอร์เน็ต ทั้งถอด LAN และปิด WiFi จากนั้นเปิดเครื่องคอมพิวเตอร์เพื่อติดตั้งแพตซ์ หรือตั้งค่าปิดการใช้งาน SMBv1 แล้วทำการ Restart เครื่องคอมพิวเตอร์อีกครั้ง เพื่อปิดช่องโหว่สำหรับการระบาดของ PETYA
– ในขณะใช้งานหากเครื่องคอมพิวเตอร์หยุดทำงานและแสดงหน้าจอสีน้ำเงิน ห้าม Restart เครื่อง เนื่องจากมัลแวร์ Petya จะเข้ารหัสลับข้อมูลหลัง Restart เครื่อง ฉะนั้นให้รีบปิดเครื่องคอมพิวเตอร์และติดต่อผู้ดูแลระบบเพื่อสำรองข้อมูลออกจากเครื่องคอมพิวเตอร์โดยด่วน
– ติดตั้งแพตช์แก้ไขช่องโหว่ SMBv1 จาก Microsoft โดย Windows Vista, Windows Server 2008 ถึง Windows 10 และ Windows Server 2016 ดาวน์โหลดอัปเดตได้จาก https://technet.microsoft.com/en-us/library/security/ms17-010.aspx ส่วน Windows XP และ Windows Server 2003 ดาวน์โหลดอัปเดตได้จาก https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
– ติดตั้งแอนติไวรัสและอัปเดตฐานข้อมูลอย่างสม่ำเสมอ ปัจจุบันแอนติไวรัสจำนวนหนึ่งสามารถตรวจจับมัลแวร์ Petya สายพันธุ์ที่กำลังมีการแพร่ระบาดได้แล้ว
วิธีแก้ไขแก้ไขหากตกเป็นเหยื่อ PETYA
- ให้ตัดการเชื่อมต่อเครือข่าย (ถอดสาย LAN, ปิด Wi-Fi) และปิดเครื่องทันที แจ้งเตือนผู้ดูแลระบบในหน่วยงานว่ามีเครื่องคอมพิวเตอร์ตกเป็นเหยื่อ
- ปัจจุบันยังไม่พบช่องทางที่สามารถกู้คืนไฟล์ที่ถูกเข้ารหัสลับจากมัลแวร์เรียกค่าไถ่ Petya ได้โดยไม่จ่ายเงิน แต่การจ่ายเงินก็มีความเสี่ยงเนื่องจากไม่สามารถมั่นใจได้ว่าจะได้ข้อมูลกลับคืนมายังไม่พบรายงานว่ามัลแวร์เรียกค่าไถ่ Petya เวอร์ชันที่กำลังแพร่ระบาดอยู่ในปัจจุบันมีการแพร่กระจายผ่านอีเมลเหมือนเวอร์ชันก่อนหน้าด้วยหรือไม่ อย่างไรก็ตาม ผู้ใช้ควรตระหนักถึงความเสี่ยงของการเปิดไฟล์แนบจากอีเมลที่น่าสงสัย
- ควรสำรองข้อมูลบนเครื่องคอมพิวเตอร์ที่ใช้งานอย่างสม่ำเสมอ และหากเป็นไปได้ให้เก็บข้อมูลที่ทำการสำรองไว้ในอุปกรณ์ที่ไม่มีการเชื่อมต่อกับคอมพิวเตอร์หรือระบบเครือข่ายอื่นๆ โดยสามารถศึกษาข้อมูลเพิ่มเติมได้จากบทความข้อแนะนำวิธีสำรองข้อมูลเพื่อป้องกันมัลแวร์เรียกค่าไถ่หรือข้อมูลสูญหาย https://www.thaicert.or.th/papers/general/2017/pa2017ge002.html
- หากมีการแชร์ข้อมูลร่วมกันผ่านระบบเครือข่าย ให้ตรวจสอบสิทธิในการเข้าถึงข้อมูลแต่ละส่วน และกำหนดสิทธิ์ให้ผู้ใช้มีสิทธิ์อ่านหรือแก้ไขเฉพาะไฟล์ที่มีความจำเป็นต้องใช้สิทธิเหล่านั้น
ทั้งนี้เจ้าหน้าที่ไอที สามารถประสานกับไทยเซิร์ตได้ทางอีเมล [email protected] หรือโทรศัพท์ 0-2123-1212
ข้อมูลจาก ThaiCERT