แนะป้องแรนซัมแวร์ตัวใหม่ ไทยเซิร์ตยันไทยไม่กระทบ/แคสเปอร์กี้พบไม่ใช่ Petya

02 ก.ค. 2560 | 23:35 น.
ออกโรงแจ้งเตือนแรนซัมแวร์แบบเรียกค่าไถ่ Petya กำลังโจมตีองค์กรต่างๆ ทั่วทั้งยุโรป “ไทยเซีร์ต” ระบุไม่พบระบบคอมพิวเตอร์ไทยกระทบ ด้านบริษัทแอนตี้ไวรัส เผยหลังตรวจสอบพบเป็นแรนซัมแวร์ตัวใหม่ พร้อมแนะวิธีรับมือ
รอบสัปดาห์ที่ผ่านมาการแพร่ระบาดของมัลแวร์รูปแบบแรนซัมแวร์แบบเรียกค่าไถ่ที่ชื่อว่า Petya ที่แพร่กระจายผ่านช่องโหว่ของระบบ SMBv1 แบบเดียวกับที่มัลแวร์ WannaCry เข้าโจมตีทั่วยุโรป และสร้างความตื่นตระหนกให้กับองค์กรทั่วโลก ทำให้องค์กรทางระบบรักษาความปลอดภัย ออกมาแจ้งเตือน พร้อมแนะนำมาตรการป้องกัน

นางสุรางคณา วายุภาพ ผู้อำนวยการสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) (สพธอ.) หรือ ETDA (เอ็ตด้า) ในฐานะผู้รับผิดชอบศูนย์ประสานการรักษาความปลอดภัยระบบคอมพิวเตอร์ (ไทยเซิร์ต) กล่าวถึงสถานการณ์การแพร่ระบาดของมัลแวร์รูปแบบแรนซัมแวร์แบบเรียกค่าไถ่ที่ชื่อว่า Petya ที่แพร่กระจายผ่านช่องโหว่ของระบบ SMBv1 แบบเดียวกับที่มัลแวร์ WannaCry ว่า จากที่ศูนย์ไทยเซิร์ตได้ตรวจสอบสถานการณ์มัลแวร์ Petya ล่าสุดยังไม่พบคอมพิวเตอร์ในประเทศไทยที่โดนมัลแวร์ดังกล่าวเข้าโจมตี

[caption id="attachment_72201" align="aligncenter" width="390"] สุรางคณา วายุภาพ ผู้อำนวยการ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ หรือ เอ็ตด้า (ETDA) สุรางคณา วายุภาพผู้อำนวยการสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ หรือ เอ็ตด้า (ETDA)[/caption]

รวมถึงได้ทำการแจ้งเตือนไปยังหน่วยงานภาครัฐต่าง ๆ หากพบความผิดปกติของระบบให้รีบแจ้งมาที่ไทยเซิร์ตทันที โดยทางเอ็ตด้ายังคงติดตามสถานการณ์อย่างใกล้ชิดตลอด 24 ชั่วโมง พร้อมกันนี้ได้ออกวิธีป้องกันและรับมือมัลแวร์ Petya แก่หน่วยงานและประชาชนทั่วไป สามารถดูรายละเอียดได้ที่ facebook.com/ETDA.Thailand และหากมีสงสัยสามารถสอบถามข้อมูลจากไทยเซิร์ต (ThaiCERT) หมายเลขโทรศัพท์ 1212

ด้านนักวิเคราะห์จากแคสเปอร์สกี้ แลป ระบุว่ากำลังสืบสวนการโจมตีแรนซัมแวร์ระลอกใหม่ที่พุ่งเป้าโจมตีองค์กรทั่วโลก ผลการค้นหาเบื้องต้นของเราพบว่า ไม่ใช่แรนซัมแวร์ Petya อย่างที่ปรากฏในข่าวขณะนี้ แต่เป็นแรนซัมแวร์ตัวใหม่ที่เพิ่งเกิดใหม่ ไม่เคยปรากฏมาก่อน ทางแคสเปอร์สกี้ แลป จึงจะขอเรียกแรนซัมแวร์ตัวนี้ว่า NotPetya

จากข้อมูลการตรวจวัดระยะไกลอัตโนมัติของแคสเปอร์สกี้ แลป พบว่า มีผู้ใช้ที่โดนโจมตีประมาณ 2,000 ราย โดยองค์กรในประเทศรัสเซียและยูเครนได้รับผลกระทบมากที่สุด นอกจากนี้ยังพบการโจมตีในประเทศโปแลนด์ อิตาลี สหราชอาณาจักร เยอรมนี ฝรั่งเศส สหรัฐอเมริกา และอีกหลายประเทศทั่วโลก

การโจมตีครั้งนี้มีความซับซ้อนด้วยมีเวคเตอร์การโจมตีหลากหลาย แคสเปอร์สกี้ แลป ยืนยันว่า ผู้โจมตีปรับแต่งและใช้เอ็กพลอต์ EternalBlue ในการแพร่กระจายมัลแวร์ภายในเครือข่ายองค์กร

โดยยังตรวจพบภัยคุกคามนี้ในชื่อ UDS:DangeroundObject.Multi.Generic ซึ่งผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป จะเร่งออกซิกเนเจอร์ใหม่ในทันที ซึ่งรวมถึงส่วนประกอบของ System Watcher และกำลังเร่งสืบค้นว่า มีวิธีการในการถอดรหัสไฟล์ที่ถูกล็อกไว้ได้หรือไม่ เพื่อพัฒนาเป็นทูลถอดรหัสต่อไป

[caption id="attachment_172422" align="aligncenter" width="503"] แนะป้องแรนซัมแวร์ตัวใหม่ ไทยเซิร์ตยันไทยไม่กระทบ/แคสเปอร์กี้พบไม่ใช่ Petya แนะป้องแรนซัมแวร์ตัวใหม่ ไทยเซิร์ตยันไทยไม่กระทบ/แคสเปอร์กี้พบไม่ใช่ Petya[/caption]

ทั้งนี้ขอแนะนำให้องค์กรบริษัทปฏิบัติตามขั้นตอนพื้นฐานคือ อัพเดทซอฟต์แวร์วินโดวส์ ตรวจสอบการทำงานของโซลูชั่นความปลอดภัย และแบ็คอัพข้อมูล และยังแนะนำให้ผู้ใช้ ปฏิบัติดังนี้ คือ 1.ตรวจสอบว่าเปิดใช้งานมาตรการป้องกันทุกรูปแบบ และส่วนประกอบ KSN/System Watcher 2.ใช้ฟีเจอร์ AppLocker เพื่อปิดการใช้งานไฟล์ execution ทุกอันที่มีชื่อ perfc.dat รวมถึงยูทิลิตี้ PSExec จาก Sysinternals Suite

จากหนังสือพิมพ์ฐานเศรษฐกิจ ปีที่ 37 ฉบับที่ 3,275 วันที่ 2 - 5 กรกฎาคม พ.ศ. 2560