ผู้พัฒนา่มัลแวร์เรียกค่าไถ่ Petya รุ่นแรกซึ่งใช้ชื่อว่า Janus ที่เคยแพร่กระจายในปี 2016 ได้มีการปล่อย master key หรือกุญแจเข้ารหัสตัวหลักที่สามารถใช้ในการถอดรหัสไฟล์ได้ เช่นเดียวกับผู้พัฒนามัลแวร์เรียกค่าไถ่ TeslaCrypt ซึ่งแพร่ระบา่ดในปี 2015 ซึ่งได้มีการปล่อยกุญแจสำหรับเข้ารหัสออกมาให้ผู้ใช้งานนำไปถอดรหัสไฟล์ได้เช่นเดียวกัน
ทาง Kaspersky Lab และนักวิจัยด้านความปลอดภัย Haserezade จาก MalwareBytes ได้ออกมายืนยันความถูกต้องของกุญแจเข้ารหัสดังกล่าวว่าสามารถใช้ในการถอดรหัสไฟล์หรือข้อมูลที่ถูกเข้ารหัสโดยมัลแวร์เรียกค่าไถ่ Petya และ GoldenEye ได้จริง แต่อย่างไรก็ตามกุญแจถอดรหัสดังกล่าวสามารถใช้ได้กับเฉพาะ Petya ในรุ่นปี 2016 เท่านั้น ไม่สามารถใช้ใช้การถอดรหัส Petya รุ่นปี 2017 ที่มีการแพร่กระจายเมื่อช่วงที่ผ่านมาได้
Hasherezade กล่าวว่าสำหรับ Petya ในรุ่นปี 2017 นั้น แม้ว่าจะมีต้นแบบในการพัฒนามาจากซอร์สโค้ดของมัลแวร์ Goldeneye แต่มันก็ขาดความสามารถในการถอดรหัสระบบที่ติดเชื้อได้ และถูกจัดให้อยู่ในกลุ่ม wiper malware ซึ่งมาในชื่อต่างๆ เช่น Not Petya, ExPetr เป็นต้น
Petya คือมัลแวร์เรียกค่าไถ่แบบเข้ารหัสซึ่งเป็นที่รู้จักกันว่าจะพุ่งเป้าไปที่ Master Boot Record ของเหยื่อแทนที่จะไปที่แหล่งเก็บไฟล์ต่างๆ บนเครื่อง รวมไปถึง network shares หรือ backups ที่เครื่องของเหยื่ออาจมีเข้าถึงอยู่อยู่ โดยมันจะทำการเรียกร้องเงินค่าไถ่เป็นจำนวน $400 เพื่อแลกกับการถอดรหัสไฟล์ อย่างไรก็ตามในช่วงเมษายน 2016 นักวิจัยได้พัฒนาเครื่องมือซึ่งทำให้เหยื่อสามารถถอดรหัสในเวอร์ชันก่อนๆ ได้โดยไม่จำเป็นต้องโอนเงินค่าไถ่

ที่มา : threatpost

แม้ว่ามัลแวร์ Petya รุ่นปี 2017 จะมีปัญหาในการถอดรหัสไฟล์ซึ่งทำให้ไม่สามารถถอดรหัสไฟล์ได้ บัญชีบิทคอยน์ที่ถูกแสดงโดยมัลแวร์ก็ยังมีการอัพเดตโดยมีการโอนเงินเข้าอย่างสม่ำเสมอจนกระทั่งเมื่อวานนี้เมื่อมีการระบุถึงการเปลี่ยนแปลงของบัญชีในลักษณะที่เป็นการโอนเงินออกไปยังบัญชีอื่น

บัญชีบิทคอยน์ของ Petya รุ่นปี 2017 เริ่มมีการโอนเงินออกไปในบัญชีอื่นในช่วงเวลา 21:30 ถึงประมาณ 22:10 เมื่อวานนี้โดยมีทั้งหมด 3 รายการ แต่ละรายการมีการโอนเงินในจำนวนที่แตกต่างกันไปยังบัญชีบิทคอยน์ปลายทางที่แตกต่างกัน

แม้ว่าในระบบของบล็อคเชนนั้นทุกๆ การทำรายการจะมีการเปิดเผยอย่างสาธารณะ แต่ในความจริงนั้นการสืบเสาะและตามรอยการเปลี่ยนถ่ายของเงินก็ยังคงทำได้ยากอยู่ ผู้พัฒนามัลแวร์อาจสามารถโอนเงินไปยังบริการที่รับและเปลี่ยนและให้บริการดังกล่าวทำการสับเปลี่ยนเงินเพื่อให้สามารถติดตามได้ยากขึ้นได้

หากใครอยากดูการเปลี่ยนแปลงของบัญชีบิทคอยน์ดังกล่าว สามารถเข้าไปดูได้ที่ https://blockchain.

แฝงตัวในเงา มัลแวร์เรียกค่าไถ่ FakeCry โจมตีระบบในยูเครนในช่วงเวลาเดียวกับ ExPetr/Petya

นักวิจัยด้านความปลอดภัยของ Kaspersky ได้เปิดเผยผลการวิเคราะห์มัลแวร์เรียกค่าไถ่ FakeCry ซึ่งใช้โอกาสในการแพร่กระจายของ ExPetr/Petya แพร่กระจายโจมตีระบบในยูเครน
แต่เดิมนั้น ExPetr/Petya ใช้วิธีการแพร่กระจายในหลายช่องทางซึ่งมีทั้งการแพร่กระจายด้วยลักษณะของการโจมตีแบบ watering hole และการแฝงตัวเข้าไปในอัพเดตของโปรแกรม MeDoc ทีมของ Kaspersky ตรวจพบว่าตามช่องทางการอัพเดตของโปรแกรม MeDoc นั้น ซอฟต์แวร์ของ Kaspersky ยังตรวจพบมัลแวร์อีกประเภทหนึ่งนอกจาก ExPetr/Petya

มัลแวร์อีกชนิดหนึ่งที่ถูกตรวจพบนั้นยังคงเป็นมัลแวร์เรียกค่าไถ่ทีมีลักษณะใกล้เคียงกับ WannaCry แต่ถูกพัฒนาโดยใช้ .NET ทีมจาก Kaspersky ยังคงหาความสัมพันธ์อื่นระหว่างมัลแวร์ตัวนี้ซึ่งภายหลังถูกเรียกว่า FakeCry กับ ExPetr/Petya ไม่ได้ว่ามีความเกี่ยวข้องกันอย่างไร หลักฐานเพียงอย่างเดียวคือการแพร่กระจายในช่วงเวลาที่ใกล้เคียงกันและในช่องทางเดียวกัน

ที่มา: securelist

ช่วงเวลาประมาณ 19:30 ของวันที่ 28/06/2017 ที่ผ่านมา นักวิจัยด้านความปลอดภัยทั่วโลกตรวจพบการแพร่กระจายของมัลแวร์เรียกค่าไถ่ที่มีลักษณะคล้ายกับมัลแวร์เรียกค่าไถ่ Petya แต่ด้วยลักษณะที่แตกต่างกันคือมีการแพร่กระจายอย่างรวดเร็วและส่งผลกระทบในวงกว้างมากกว่าภายใต้ชื่อของมัลแวร์ที่ถูกเรียกว่า Petyawrap
ในบทความนี้ทีมงานไอ-ซีเคียวจะมานำเสนอรายละเอียดโดยสรุป สมมติฐานการแพร่กระจายของมัลแวร์พร้อมทั้งวิธีการป้องกันและลดผลกระทบในเบื้องต้นเพื่อป้องกันผู้ใช้บริการและผู้ใช้งานทั่วไปให้ปลอดภัยจากมัลแวร์ครับ
สรุปย่อ

มัลแวร์เรียกค่าไถ่ Petyawrap เป็นมัลแวร์เรียกค่าไถ่ในตระกูลเดียวกับมัลแวร์เรียกค่าไถ่ Petya ซึ่งเคยมีการแพร่กระจายและสร้างความเสียหายมาแล้วในช่วงต้นปี 2016 ที่ผ่านมาโดยสร้างความเสียหายด้วยการเข้ารหัสส่วนของ master file table (MFT) ซึ่งทำให้ระบบปฏิบัติการไม่สามารถอ่านข้อมูลจากดิสก์ได้

ภาพหน้าจอหลังจากที่มัลแวร์ Petyawrap แพร่กระจายและมีการบังคับให้รีบูตระบบใหม่ ภาพจากคุณ Vlad Styran

มัลแวร์เรียกค่าไถ่ Petyawrap ถูกสันนิษฐานว่าใช้วิธีการแพร่กระจายผ่านทางช่องโหว่ EternalBlue ซึ่งเป็นวิธีการเดียวกับที่มัลแวร์เรียกค่าไถ่ WannaCry ใช้ในการแพร่กระจายตัวเองอันเนื่องมาจากความรวดเร็วในการแพร่กระจายและจำนวนของเครื่องที่ถูกเข้ารหัสซึ่งเกิดขึ้นอย่างรวดเร็ว (ดูเพิ่มเติมเกี่ยวกับ EternalBlue ได้ที่นี่)
พฤติกรรมที่สามารถสังเกตเห็นได้นอกเหนือจากหน้าจอที่แสดงกระบวนการจ่ายค่าไถ่
ของมัลแวร์เรียกค่าไถ่ Petyawrap นั้นประกอบไปด้วย ระบบมีการรีบูตอัตโนมัติ, ไฟล์ที่เป็น event log ถูกลบออกและรวมไปถึงมีการสร้างไฟล์น่าสงสัยที่พาธ %PROGRAMDATA%\dllhost.

WannaCry ransomware ยังไม่จบ! ล่าสุดพบการระบาดของ ransomware ตัวใหม่ ชื่อ "Petyawrap ransomware" หรือที่มีความหมายเดียวกับ Petya

กำลังแพร่กระจายไปยังองค์กรต่างๆ ทั่วโลกอย่างรวดเร็ว เช่น ธนาคารต่างๆ ทั่วรัสเซีย ยูเครน สเปน ฝรั่งเศส สหราชอาณาจักร อินเดียและยุโรป โดนเรียกค่าไถ่ 300 ดอลลาร์สหรัฐ

Petya ทำงานแตกต่างจาก ransomware อื่น ๆ โดยไม่เข้ารหัสไฟล์บนเครื่องเหยื่อแบบเดิม แต่ Petya จะทำการรีบูตเครื่องคอมพิวเตอร์ของหยื่อและเข้ารหัส master file table (MFT) และ master boot record (MBR) จากนั้น Petya จะแทนที่ MBR ด้วย code อันตรายที่แสดงการเรียกค่าไถ่ ทำให้คอมพิวเตอร์ไม่สามารถ boot ได้ ซึ่งเป็นการยึดเครื่องโดยสมบูรณ์รวมทั้งข้อมูลไฟล์ต่างๆ บนเครื่อง ซึ่ง Petyawrap ก็อาจจะมีพฤติกรรมเช่นเดียวกัน

ที่มา : thehackernews

นักวิจัยด้านความปลอดภัยจาก TrendMicro พบมัลแวร์เรียกค่าไถ่ PETYA ransomware สายพันธ์ใหม่ มีความสามารถเขียนข้อมูลทับ MBR หรือ Master Boot Record ที่เป็นส่วนสำคัญในการบูทระบบปฏิบัติการ Windows เวอร์ชั่นต่างๆ, Petya ransomware

เป็นสาเหตุหนึ่งที่ทำให้ระบบปฏิบัติการ Windows นั้นเกิด BSoD หรืออาการจอฟ้าได้ โดยเมื่อเหยื่อทำการรีบูทเครื่อง จะไม่สามารถเข้าระบบปฏิบัติการแบบ Normal Mode ได้ต้องเข้าแบบ Safe Mode เท่านั้น เมื่อเหยื่อเปิด Safe Mode จะพบกับหน้ากะโหลกไขว้สีแดง พร้อมกับรายละเอียดในการโอนเงินค่าไถ่เพื่อทำการปลดล๊อคไฟล์ที่ถูกเข้ารหัส โดยจำนวนเงินประมาณ $430 เหรียญฯ โดยจำนวนเงินจะเพิ่มเป็น 2 เท่าเมื่อไม่มีการจ่ายเงินเกินเวลาที่กำหนด

ที่มา : securityaffairs