มัลแวร์ Petrwrap เริ่มปรากฎตัวเมื่อวานนี้แล้วแพร่กระจายไปอย่างรวดเร็ว ตอนนี้ก็เริ่มมีรายงานวิเคราะห์ตัวมัลแวร์ออกมาเพิ่มเติม
- คนมักสับสนมันกับ Petya เพราะกระบวนการยึดเครื่องด้วยการเขียน Master Boot Record (MBR) เหมือนกัน แต่ไส้ในอาจจะเป็นคนละตัวกัน
- การแพร่กระจายไม่ได้ยิงผ่านอินเทอร์เน็ตตรงๆ แบบ WannaCry มีรายงานว่ามันอาศัยช่องโหว่ของ Microsoft Office และ WordPad เพื่อรันโค้ดในเครื่อง โดยแฮกเกอร์ส่งอีเมลหลอกไปยังเหยื่อ แต่ยังไม่มีห้องแลปใดยืนยันรายงานนี้
- มันใช้วิธีการเจาะเครื่องปลายทางหลากหลายรูปแบบ ทำให้แม้แต่เครื่องที่แพตช์ MS17-010 (แพตช์ EternalBlue) แล้วก็ถูกโจมตีได้
- ทางหนึ่งคือมัลแวร์โจมตีผ่าน Windows Management Instrumentation (WMIC) โดยจะหาค่าแฮชของการล็อกอินของแอดมินในเครื่อง แล้วใช้การล็อกอินนั้นโจมตีเครื่องอื่นๆ ในเครือข่าย ทำให้มัลแวร์แพร่กระจายผ่านองค์กรที่มีบัญชีของแอดมินในเครื่องลูกข่ายได้อย่างรวดเร็ว
- ระบบซอฟต์แวร์อัพเดตจากยูเครนชื่อว่า MeDoc ก็ถูกใช้แพร่กระจายมัลแวร์ด้วย
- ไฟล์ทั้งหมดถูกเข้ารหัสด้วยการเข้ารหัส AES-128 ทาง Kaspersky ยืนยันว่ากระบวนการเข้ารหัสมีความปลอดภัย (ดังนั้นการสร้างเครื่องมือถอดรหัสก็ทำไม่ได้ง่ายๆ แล้ว)
ตอนนี้คำแนะนำคงเป็นการแพตช์เครื่อง ติดตั้งอัพเดตทั้งของเครื่องเองและของโปรแกรมป้องกันไวรัสให้เป็นตัวล่าสุด, เพิ่มความระมัดระวังในการเปิดไฟล์แนบอีเมล, และสำรองข้อมูลอย่างสม่ำเสมอ พร้อมกับเก็บไฟล์สำรองแยกไว้ออฟไลน์ เช่นการใส่ฮาร์ดดิสก์ภายนอกแล้วเก็บไว้ไม่ต่อกับคอมพิวเตอร์
ที่มา - Securelist, ThreatPost, Malwarebytes, The Register