Petya Ransomwae အေၾကာင္း

Petya Ransomware အေၾကာင္းသိေကာင္းစရာ

ျဖစ္စဉ္အက်ဉ္းခ်ုပ္


ဇြန္လ (၂၇) ရက္ေန႔တြင္ ယူကရိန္းနိုင္ငံတြင္ Ransomware အမ်ိဳးအစားအသစ္တမ်ိဳး စတင္ပ်ံႏွံခဲ့ျပီး မ်ားမၾကာမီ တမၻာလံုးနီးပါးသို႔ ပ်ံနွံခဲ့ပါသည္။ ၄င္း Ransomware သည္ မ်ားမၾကာမီက ျဖစ္ေပၚခဲ့ေသာ “WannaCry Ransomware” နွင့္တူညီေသာ နည္းလမ္းမ်ားကို အသံုးျပဳ၍ ပ်ံနွံခဲ့ျခင္းျဖစ္ပါသည္။ ထို႔ေၾကာင့္ “WannaCry Ransomware”ကဲ့သို႔တူညီေသာ ေျဖရွင္းနိုင္မည့္ နည္းလမ္းမ်ား ေပၚထြက္လာမည္ဟု ယူဆရ ပါသည္။ Petya သည္ dll file အျဖစ္မွ စတင္ပ်ံနွံခဲ့ျပီး system ကို compromise ျဖစ္ေစရန္ process ကို execute လုပ္လိုက္မည္ ျဖစ္ပါသည္။ ထိုသို႔ execute လုပ္ျပီးေနာက္တြင္ Window’s system ၏ Master Boot Record (MBR) ကို modifies လုပ္သြားမည္ ျဖစ္ပါသည္။ Reboot က်ျပီးေနာက္တြင္ MBR မွ Ransome note သာ screen တြင္ေပၚလာမည္ျဖစ္သည္။ ၄င္း Ransome note တြင္ user မွ ၄င္းတို႔ file ကို decrypt ျဖစ္ေစရန္အတြက္ ၄င္းတို႔၏ specific Bitcoin address သို႔ US$ 300 ေပးရန္ ေတာင္းခံထားပါသည္။ အကယ္၍ user အေနျဖင့္ ၄င္းတုိ႔ေတာင္းဆုိထားေသာ ေငြေၾကးကိုေပးခဲ့လွ်င္ေတာင္မွ မိမိ file ကို ျပန္လည္ ရရွိမည္ဟု အာမခံ၍ မရပါ။

ပ်ံနွံပံုနည္းလမ္းမ်ားနွင့္ အလုပ္လုပ္ပံု

Petya Ransomware သည္ ေအာက္ေဖာ္ျပပါနည္းလမ္းမ်ားျဖင့္ ပ်ံနွံခဲ့ျခင္းျဖစ္ပါသည္။


• ယူကရိန္းနိုင္ငံ၏ accounting software တစ္ခုျဖစ္ေသာ “M.E.Doc” ၏ အားနည္းခ်က္ကို Update မျပဳလုပ္မွီ စတင္၀င္ေရာက္ခဲ့ျခင္း ျဖစ္ပါသည္။

• ထို႔ေနာက္ Petya သည္ Local Network ကို အျခား system မ်ား၏ ADMIN$ share ကို scan ဖတ္၍ ၄င္း ကိုယ္တိုင္နွင့္ အျခား host မ်ားကို “PSEXEC” ဟူေသာ Malware ျဖင့္ execute လုပ္ပါသည္။ ထိုသို႔ ျပဳလုပ္ျခင္းေၾကာင့္ infected user သည္ system ၏ share file မ်ားကို write နွင့္ execute လုပ္ခြင့္ရရွိသြားမည္ ျဖစ္ပါသည္။

• Petya သည္ Windows Management Instrumentation Command-line (WMIC) tool ကိုအသံုးျပဳ၍ local subnet အတြင္းရွိ host မ်ားကိုခ်ိတ္ဆက္ျပီး ၄င္း host မ်ားကို Remote ၀င္နိင္ရန္ မိမိကိုယ္တိုင္ execute ျပဳလုပ္ပါသည္။ ထို႔ျပင္ Mimikatz tool ကိုအသံုးျပဳ၍လည္း infected system တြင္ credential မ်ားကို extract ျပဳလုပ္ျပီးေနာက္ ၄င္းကို အသံုးျပဳကာ targeted host ေပၚတြင္ ၄င္းကိုယ္တိုင္ execute ျပဳလုပ္မည္ ျဖစ္သည္။

• Petya မွေနာက္ဆံုးတြင္ “ETERNALBLUE နွင့္ ETERNALROMANCE” exploit tool ကို အသံုးျပဳ၍ local subnet အတြင္းရွိ host မ်ားကို ၀င္ေရာက္ရန္ ၾကိဳးစားခဲ့ရာ targeted host မ်ားတြင္ MS17-010 patches ကို deploy မလုပ္ထားခဲ့လွ်င္ ေအာင္ျမင္စြာ ၀င္ေရာက္သြားနိုင္မည္ ျဖစ္သည္။

Malware နာမည္မ်ား

Petya, Petna, PetrWrap, NotPetya

အားနည္းခ်က္ရွိေသာ စက္မ်ား


• Windows 10

• Windows RT 8.1

• Windows 8.1

• Windows 7

• Windows XP

• Windows Vista

• Windows Server 2016

• Windows Server 2012 and Windows Server 2012 R2

• Windows Server 2008 and Windows Server 2008 R2

ၾကိဳတင္ကာကြယ္ျခင္း


• Windows-based system ဆိုလွ်င္ Patch Update မ်ားျပဳလုပ္ထားျခင္း။ အထူးသျဖင့္ (MS17-010) ကို update ျပဳလုပ္ထားျခင္း။
• Backup မ်ားျပဳလုပ္ထားျခင္း။
• Tcp Port 445 ကို Block ထားရပါမည္။
• SMB Protocol မ်ားကိုလဲ Disable ျပဳလုပ္ထားပါ။
(https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disab...)
• အတက္နိုင္ဆံုး လိုအပ္သည့္တိုင္ေအာင္ admin privileges ျဖင့္အသံုးမျပဳပါနွင့္။
• မလိုအပ္သည့္ service မ်ားကို disable ျပဳလုပ္ထားပါ။

ေျဖရွင္းျခင္း


• ယခုလက္ရွိတြင္ အေကာင္းဆံုးနည္းလမ္းကေတာ့ backups လုပ္ထားသည္မ်ားမွ recovery ျပန္လုပ္ျခင္း ျဖစ္ပါသည္။ Shadow Volume Copies ကိုအသံုးျပဳ၍ Fileမ်ား , Folderမ်ားကို Recover ျပဳလုပ္ျခင္းကို ေအာက္တြင္ ေဖာ္ျပေပးထားပါသည္။ (https://www.bleepingcomputer.com/tutorials/how-to-recover-files-and-fold...)
• အကယ္၍ Ransome အတြက္ ေငြေၾကးတစ္စံုတစ္ရာ ေပးေခ်ခဲ့လွ်င္ေတာင္ မိမိ၏ file ကို ျပန္လည္ ရရွိရန္မွာ မေသခ်ာေပ။

Reference

Petya Ransomware v0.3.pdf, compiled by ThaiCERT

https://www.csa.gov.sg/singcert/news/advisories-alerts/technical-advisor...