ຊ່ວງ​ເວລາ​ປະ​ມານ​ 19:30 ຂອງ​ວັນທີ​ 28/06/2017 ທີ່​ຜ່ານມາ​ ນັກ​ວິ​ໃຈ​ດ້ານ​ຄວາມ​ປອດ​ໄພ​ທົ່ວ​ໂລກ​ກວດ​ພົບ​ການ​ແຜ່ກ​ະ​ຈາຍ​ຂອງ​ມັນ​ແວ​ຣ໌​ຮຽກ​ຄ່າ​ໄຖ່​ທີ່​ມີ​ລັກສະນະ​ຄ້າຍ​ຄືກັບ​ມັນ​ແວ​ຣ໌​ຮຽກ​ຄ່າ​ໄຖ່​ Petya ແຕ່​ດ້ວຍ​ລັກສະນະ​ທີ່​ແຕກ​ຕ່າງ​ກັນ​ຄື​ມີ​ການ​ແຜ່ກ​ະ​ຈາຍ​ຢ່າງ​ວ່ອງໄວ​ແລະ​ສົ່ງ​ຜົນ​ກະທົບ​ໃນ​ວົງ​ກວ້າງ​ຫລາຍກວ່າ​ພາຍໃຕ້​ຊື່​ຂອງ​ມັນ​ແວ​ຣ໌​ທີ່​ເອີ້ນວ່າ​ Petyawrap

      ໃນ​ບົດ​ຄວາມ​ນີ້​ທີມ​ງານ​ໄອ​-ຊີ​ຄຽວ​ຈະ​ມາ​ນຳ​ສະເໜີ​ລາຍ​ລະອຽດ​ໂດຍ​ສະຫລຸບ​ ສົມ​ມ​ຸດ​ຖານ​ການ​ແຜ່ກ​ະ​ຈາຍ​ຂອງ​ມັນ​ແວ​ຣພ້ອມ​ທັງ​ວິທີ​ການ​ປ້ອງ​ກັນ​ແລະ​ຫຼຸດຜ່ອນ​ຜົນ​ກະທົບ​ໃນ​ເບື້ອງ​ຕົ້ນ​ເພື່ອ​ປ້ອງ​ກັນ​ຜູ້​ໃຊ້​ບໍລິການ​ແລະ​ຜູ້​ໃຊ້​ງານ​ທົ່ວ​ໄປ​ໃຫ້​ປອດ​ໄພ​ຈາກ​ມັນ​ແວ​​​

ສະຫລຸບ​ຫຍໍ້​

 

ມັນ​ແວ​ຣ໌​ຮຽກ​ຄ່າ​ໄຖ່​ Petyawrap ເປັນ​ມັນ​ແວ​ຣ໌​ຮຽກ​ຄ່າ​ໄຖ່​ໃນ​ຕະກູນ​ດຽວ​ກັບ​ມັນ​ແວ​ຣ໌​ຮຽກ​ຄ່າ​ໄຖ່​ Petya ຊຶ່ງ​ເຄີຍ​ມີ​ການ​ແຜ່ກ​ະ​ຈາຍ​ແລະ​ສ້າງ​ຄວາມ​ເສຍ​ຫາຍ​ມາ​ແລ້ວ​ໃນ​ຊ່ວງ​ຕົ້ນ​ປີ​ 2016 ທີ່​ຜ່ານມາ​ໂດຍ​ສ້າງ​ຄວາມ​ເສຍ​ຫາຍ​ດ້ວຍ​ການ​ເຂົ້າ​ລະ​ຫັດ​ສ່ວນ​ຂອງ​ master file table (MFT) ຊຶ່ງ​ເຮັດໃຫ້​ລະບົບ​ປະຕິບັດການ​ບໍ່​ສາມາດ​ອ່ານ​ຂໍ້​ມູນ​ຈາກ​ດິດ​ກ໌​ໄດ້​

 

ພາບ​ໜ້າດຈໍ​ຫຼັງ​ຈາກ​ທີ່​ມັນ​ແວ​ຣ໌​ Petyawrap ແຜ່ກ​ະ​ຈາຍ​ແລະ​ມີ​ການ​ບັງຄັບ​ໃຫ້​ລີບູດເລີ່ມຕົ້ນ​ລະບົບ​ໃໝ່​ ພາບ​ຈາກ​ເຈົ້າ​ Vlad Styran

ມັນ​ແວ​ຣ໌​ຮຽກ​ຄ່າ​ໄຖ່​ Petyawrap ຖືກ​ສັນ​ນິ​ຖານ​ວ່າ​ໃຊ້​ວິທີ​ການ​ແຜ່ກ​ະ​ຈາຍ​ຜ່ານ​ທາງ​ຊ່ອງ​ໂຫວ່​ EternalBlue ຊຶ່ງ​ເປັນ​ວິທີ​ການ​ດຽວ​ກັບ​ທີ່​ມັນ​ແວ​ຣ໌​ຮຽກ​ຄ່າ​ໄຖ່​ WannaCry ໃຊ້​ໃນ​ການ​ແຜ່ກຣະ​ຈາຍ​ຕົວ​ເອງ​ອັນ​ເນື່ອງ​ມາ​ຈາກ​ຄວາມ​ວ່ອງໄວ​ໃນ​ການ​ແຜ່ກະ​ຈາຍ​ແລະ​ຈຳນວນ​ຂອງ​ເຄື່ອງ​ທີ່​ຖືກ​ເຂົ້າ​ລະຫັດ​ຊຶ່ງ​ເກີດ​ຂຶ້ນ​ຢ່າງ​ວ່ອງໄວ​ (ເບິ່ງ​ເພິ່ມເຕິມ​ກ່ຽວກັບ​ EternalBlue ໄດ້​ບ່ອນນີ້​)

ພຶດຕິກຳ​ທີ່​ສາມາດ​ສັງເກດ​ເຫັນ​ໄດ້​ນອກ​​ຈາກ​ໜ້າຈໍ​ທີ່​ສະແດງ​ຂະ​ບວນ​ການ​ຈ່າຍ​ຄ່າ​ໄຖ່​

ຂອງ​ມັນ​ແວ​ຣ໌​ຮຽກ​ຄ່າ​ໄຖ່​ Petyawrap ນັ້ນ​ປະກອບ​ໄປ​ດ້ວຍ​ ລະບົບ​ມີ​ການ​ລີບູດ​ອັດ​ຕະໂນ​ມັດ​, ໄຟ​ລ໌​ທີ່​ເປັນ​ event log ຖືກ​ລົບ​ອອກ​ແລະ​ທັງຫມົດ​ໄປ​ເຖິງ​ມີ​ການສ້າງ​ໄຟ​ລ໌​ໜ້າສົງໄສ​ທີ່​ ພາດ​ %PROGRAMDATA%\dllhost.dat, C:\Windows\perfc.dat ແລະ​ມີ​ການສ້າງ​ Scheduled Tasks ເພື່ອ​ບັງຄັບ​ໃຫ້​ມີ​ການ​ລີບູດ​ລະບົບ​ພາຍ​ໃນ​ 1 ຊັ່ວ​ໂມງ​ ເປັນ​ຕົ້ນ​

ມັນ​ແວ​ຣ໌​ຮຽກ​ຄ່າ​ໄຖ່​ Petyawrap ຢັງ​ຄົງ​ສືບ​ທອດ​ພຶດຕິກຳ​ໃນ​ການ​ເປັນ​ ransomworm ຫລື​ການ​ແຜ່ກ​ະ​ຈາຍ​ຕົວ​ເອງ​ໄປ​ຫາລະບົບ​ອື່ນ​ໂດຍ​ອັດຕະ​ໂນ​ມັ​ດ​ແຕ່​ດ້ວຍ​ວິທີ​ທີ່​ແຕກ​ຕ່າງ​ກັນ​ອອກ​ໄປ​ ໂດຍ​ມັນ​ໃຊ້​ຟີ​ເຈີ​​ຂອງ​ລະບົບ​ປະຕິບັດການ​ວິນ​ໂດ​ຊຶ່ງ​ເອີ້ນວ່າ​ Windows Management Instrumentation (WMI) ແລະ​ໂປຣ​ແກຣມ​ Sysinternals Suite PSExec ໃນ​ການ​ເຂົ້າ​ເຖິງ​ເຄື່ອງ​ອື່ນ​ໃນ​ລະບົບ​ເພື່ອ​ຕິດ​ຕັ້ງ​ແລະ​ເລີ່ມ​ການ​ເຮັດ​ວຽກງານ​ຂອງ​ມັນ​ແວ​​ຜ່ານ​ທາງ​ການ​ແຊ​​ admin$ ແລະ​c$

ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ Petyawrap ບໍ່​ມີ​ການ​ຕິດ​ຕໍ່​ອອກ​ໄປ​ທີ່​ເ​ຊິ​​ເວີ​​ທີ່​ໃຊ້​ອອກ​ຄຳ​ສັ່ງ​ແລະ​ຄວບ​ຄຸມ​ຫລື​ C&C servers ເຊັ່ນ​ດຽວ​ກັບ​ WannaCry ຊຶ່ງ​ອາດ​ເປັນ​ໄປ​ໄດ້​ວ່າ​ມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່​ Petyawrap ມີກຂະ​ບວນ​ການ​ເຂົ້າ​ລະ​ຫັດ​ທີ່​ຄ້າຍ​ຄືກັນ​ກັບ​ WannaCry

ຄຳ​ແນະ​ນຳ​ໃນ​ການ​ປ້ອງ​ກັນ​ມັນ​ແວ​ຣ໌​ຮຽກ​ຄ່າ​ໄຖ່​ Petyawrap ໃນ​ເບື້ອງ​ຕົ້ນ​ຄື​ການ​ດຳ​ເນີນ​ການ​ແພດ​​ຊ່ອງ​ໂຫວ່​ EternalBlue ຫລື​ພາຍໃຕ້​ລະ​ຫັດ​ MS17-010, ຈຳ​ກັດ​ການ​ເຂົ້າ​ເຖິງ​ໂປໂຕໂກ​ນ​ SMBv1 ຊຶ່ງ​ມີ​ຊ່ອງ​ໂຫວ່​ໃຫ້​ນ້ອຍ​ທີ່ສຸດ​ຫລື​ບໍ່​ມີ​ເລີຍ​ຖ້າ​ເປັນ​ໄປ​ໄດ້​ແລະ​ທັງຫມົດ​ໄປ​ເຖິງ​ກວດ​ສອບ​ການ​ແຊ​ໄຟ​ລ໌​/ໄດ​ເລກ​ທໍ​ຣີ​ຂອງ​ລະບົບ​ໃນ​ພາດ​ທີ່​ເປັນ​ admin$ ແລະ​c$