ตอนนี้ทั่วโลกกำลังประสบกับภัยคุกคามทางอินเทอร์เนตครั้งใหม่ของ Ransomware ที่เรียกกันว่า Petya หรือ Petrwrap ที่ร้ายแรงกว่า Wannacry ที่มีมาก่อนหน้านี้ เพราะทำการล็อคไฟล์ทั้งเครื่องคอมพิวเตอร์ไม่ให้เข้าไปใช้งาน และยังวิ่งกระจายไปคุกคามเครื่องคอมพิวเตอร์ในเครือข่ายเดียวกันแบบอัตโนมัติ ล่าสุดทาง แคสเปอร์สกี้ แลป ได้ออกมาให้ข้อมูลว่า การโจมตีครั้งนี้เป็น แรนซัมแวร์ตัวใหม่ ไม่ใช่ Petya ที่เคยระบาดมาก่อนเมื่อปลายปี 2016
นักวิเคราะห์จาก Kaspersky Lab กำลังสืบสวนการโจมตีแรนซัมแวร์ระลอกใหม่ที่พุ่งเป้าโจมตีองค์กรทั่วโลก ผลการค้นหาเบื้องต้นของเราพบว่า ไม่ใช่แรนซัมแวร์ Petya อย่างที่ปรากฏในข่าวขณะนี้ แต่เป็นแรนซัมแวร์ตัวใหม่ที่เพิ่งเกิดใหม่ ไม่เคยปรากฏมาก่อน ทางแคสเปอร์สกี้ แลป จึงจะขอเรียกแรนซัมแวร์ตัวนี้ว่า NotPetya
จากข้อมูลการตรวจวัดระยะไกลอัตโนมัติของแคสเปอร์สกี้ แลป พบว่า มีผู้ใช้ที่โดนโจมตีประมาณ 2,000 ราย โดยองค์กรในประเทศรัสเซียและยูเครนได้รับผลกระทบมากที่สุด นอกจากนี้ยังพบการโจมตีในประเทศโปแลนด์ อิตาลี สหราชอาณาจักร เยอรมนี ฝรั่งเศส สหรัฐอเมริกา และอีกหลายประเทศทั่วโลก
การโจมตีครั้งนี้มีความซับซ้อนด้วยมีเวคเตอร์การโจมตีหลากหลาย แคสเปอร์สกี้ แลป ยืนยันว่า ผู้โจมตีปรับแต่งและใช้เอ็กพลอต์ EternalBlue ในการแพร่กระจายมัลแวร์ภายในเครือข่ายองค์กร
แคสเปอร์สกี้ แลป ตรวจพบภัยคุกคามนี้ในชื่อ UDS:DangeroundObject.Multi.Generic
ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป จะเร่งออกซิกเนเจอร์ใหม่ในทันที ซึ่งรวมถึงส่วนประกอบของ System Watcher และกำลังเร่งสืบค้นว่า มีวิธีการในการถอดรหัสไฟล์ที่ถูกล็อกไว้ได้หรือไม่ เพื่อพัฒนาเป็นทูลถอดรหัสต่อไป ขอแนะนำให้องค์กรบริษัทปฏิบัติตามขั้นตอนพื้นฐานคือ อัพเดทซอฟต์แวร์วินโดวส์ ตรวจสอบการทำงานของโซลูชั่นความปลอดภัย และแบ็คอัพข้อมูล
นอกจากนี้ ยังแนะนำให้ผู้ใช้ ปฏิบัติดังนี้
- ตรวจสอบว่าเปิดใช้งานมาตรการป้องกันทุกรูปแบบ และส่วนประกอบKSN/System Watcher
- ใช้ฟีเจอร์ AppLocker เพื่อปิดการใช้งานไฟล์ execution ทุกอันที่มีชื่อperfc.dat รวมถึงยูทิลิตี้ PSExec จาก Sysinternals Suite
สามารถดูข้อมูลเพิ่มเติมได้ที่ https://securelist.com/schroedingers-petya/78870/
