"Petrwrap" Ransomware ตัวใหม่มาแล้ว สายการบิน , ธนาคาร , องค์กรขนาดใหญ่ ในยุโรปโดนกันตรึม!

               ประมาณช่วงเดือนถึงสองเดือนที่แล้ว ก็มีข่าวใหญ่โตเรื่อง Ransomware หรือ Malware เรียกค่าไถ่ที่มีชื่อว่า WannaCry หรือ WannaCrypt ที่ระบาดกันไปทั่วโลก จนเป็นประเด็น Talk of the Town สำนักข่าวแทบทุกช่องในไทยให้ความสนใจ .. จนกระทั่งไม่กี่วันที่ผานมา Ransomware ตัวเดียวกันที่เห็นว่าถูกป้องกันไปแล้วโดย Windows Update ขั้นพื้นฐานก็ได้กลับมาอีกครั้ง ทำให้โรงงานผลิตรถระดับใหญ่อย่าง Honda ที่ประเทศญี่ปุ่นโดนเล่นงานเข้าจนต้องปิดโรงงานกันชั่วคราวเลยทีเดียว

ผ่านมาไม่กี่วันก็มีข่าวใหม่อรกแล้วครับ คราวนี้เป็น Ransomware ตัวใหม่เลย ไม่ใช่ Wannacrypt หรือ Wannacry แล้วหล่ะ ซึ่ง ณ เวลานี้มันก็เป็นเรื่องด่วนเรื่องร้อนที่เว็ปข่าวไอทีต่างประเทศให้ความสำคัญกันมาก เนื่องจากการแพร่ระบาดของมันที่รวดเร็วจนตอนนี้มีผลกระทบมากมายในแถบยุโรป โดยผู้ที่เจ็บหนักที่สุดก็คงจะเป็นประเทศแถบ Ukraine ไม่ว่าจะเป็นธนาคารกลางของประเทศ Ukraine , ระบบ Telecom ของรัฐ , ระบบสื่อสารมวลชน , สนามบิน ก็ต่างโดนการโจมตีของ Ransomware ตัวดังกล่าวแล้วทั้งสิ้น .. ที่ร้ายแรงกว่านั้นก็คือ Nuclear Power Plant หรือโรงไฟฟ้านิวเคลียรก็โดนจนต้องสลับโหมดการทำงานไปเป็นการ Monitor แบบ Manual แทนที่จะใช้ระบบคอมพิวเตอร์เหมือนเดิม .. หรือแม้กระทั่งชีวิตประจำวันอย่างพวกเครื่อง Point of Sales หรือ ATM ทั้งหลายก็มีโดนกันบ้าง

ประเทศ Denmark เองก็โดนไม่ใช่น้อย ทั้งบริษัท Shipping ยักษ์ใหญ่อย่าง Maersk ก็ต้องปิดไซต์งานไปหลายไซต์ เพราะระบบคอมพิวเตอร์ใช้งานไม่ได้ / บริษัทน้ำมันยักษ์ใหญ่ของ Russia ที่มีชื่อว่า Rosneft ก็ได้รับผลกระทบเช่นเดียวกัน .. และทั้งหมดที่เขียนมานี่ก็เป็นแค่ตัวอย่างสำหรับเหยื่อ Ransomware ตัวใหม่นี้บางส่วนเท่านั้น ซึ่งจริงๆแล้วจากรายละเอียดของข่าวต่างประเทศที่มีการพูดถึงนั้น เยอะกว่านี้มากเลยครับ เกรงว่าจะให้ List ลงมาในนี้ อาจจะเป็นการเสียเวลาของผู้อ่านเปล่าๆ 

รายละเอียดของเจ้า Ransomware ตัวใหม่นี้ก็จะยังคงใช้ Exploit ยอดฮิตตั้งแต่สมัย WannaCry อย่าง EthernalBlue ที่ใช้ประโยชน์ของ Protocol SMB ที่เราทำการแชร์ไฟล์ผ่านระบบปฏิบัติการ Windows .. ซึ่ง Exploit นี้ก็ถูกสร้างขึ้นโดย NSA เพื่อใช้สอดส่องผู้ใช้งานอินเตอร์เน็ต / ตรงนี้ถึงแม้ว่า Microsoft จะจัดการแก้ปัญหาโดยการปล่อย Security Patch ให้กับผู้ใช้งาน Operating System ของตัวเองไล่กลับไปตั้งแต่ Windows XP แล้ว แต่ก็ต้องยอมรับว่ามันก็ยังมีบางคนที่ยังมีช่องโหว่ตรงนี้อยู่ ไม่ว่าจะเป็นด้วยเหตุผลใดก็ตาม

การทำงานของ Ransomware ที่ชื่อ Petrwrap ตัวนี้ก็เข้าใจไม่ยากครับ เมื่อคุณติดเชื้อของมันเข้าไปมันก็จะทำการเข้ารหัสไฟล์ต่างๆที่มีในคอมพิวเตอร์ ทำให้ผู้ใช้งานนั้นใช้งานเครื่องไม่ได้ จนกว่าจะมีการถอดรหัสและปลดล๊อคไฟล์ .. และจะมีหน้าต่างขึ้นมาบอกวิธีการจ่ายเงินค่าไถ่ให้ผู้ใช้โอนเงินเป็น Bitcoin จำนวน $300 ไปที่ Address ของผู้ไม่หวังดี เพื่อแลกกับการปลดล๊อคไฟล์ที่เข้ารหัสทั้งหมด .. ฟังดูแล้วมันก็เหมือนกับ Ransomware ตัวอื่นๆที่มีคนโดนมาก่อนหน้าเลยครับ ซึ่งก็ถูกแล้ว Ransomware ไหนหลักการทำงานมันก็แนวนี้หมดนั่นแหละ

ณ เวลานี้ก็ยังไม่มีใครทราบว่าผู้ปล่อย Ransomware ตัวนี้เป็นใคร แต่ข่าวนี้ก็ทำให้เราเห็นว่าควรระวังกันหน่อยแล้วครับ ใครมี Windows Update ก็ควรจะเปิดกันซะ เผื่อมี Security Patch อะไรที่จะมาอุดช่องโหว่นี้ได้ .. ตอนนี้ที่เราทำได้ก็คือเฝ้าติดตามอย่างใกล้ชิดครับ และก็ได้แต่หวังว่า Ransomware ตัวนี้จ้องเล่นงานคนเฉพาะกลุ่ม และคงไม่แพร่ระบาดมาฝั่งประเทศเรานะ

ขอขอบคุณแหล่งที่มา : https://www.overclockzone.com