รู้เท่าทัน WannaCry มัลแวร์ที่จะมาเจาะข้อมูลของคุณไปรีดค่าไถ่!

posted: 1 year ago
1,523 views
รู้เท่าทัน WannaCry มัลแวร์ที่จะมาเจาะข้อมูลของคุณไปรีดค่าไถ่!

comments

กลายเป็นเรื่องราวที่ต้องเฝ้าระวังไปทั่วโลก กับ มัลแวร์ใหม่ล่าสุด ที่ระบาดใหญ่ในโซนยุโรป และกำลังจะเข้ามาระบาดในประเทศไทย กับ มัลแวร์ WCry Ransomware หรือ WannaCry ที่เราคุ้นๆ หูกันช่วงนี้

ว่าแต่มันน่ากลัวยังไง ทำไมเราถึงต้องรู้จัก และรู้เท่าทันมันนะ ? ตามเรามาเลยดีกว่า


รู้จักกันให้มากขึ้น กับ มัลแวร์ WannaCry

WCry Ransomware (หรือชื่ออื่นๆ WannaCry, WannaCrypt0r, WannaCrypt, Wana Decrypt0r) รู้จักกันสั้นๆในนาม WannaCry เป็นมัลแวร์เรียกค่าไถ่ตัวใหม่ที่เพิ่งถูกค้นพบเมื่อวันที่ 10 กุมภาพันธ์ ที่ผ่านมา และเริ่มโจมตีไปยังทั่วโลกเมื่อประมาณวันที่ 25 มีนาคม

ซึ่งการที่จู่ๆ ก็เป็นกระแสขึ้นมา หลังจากที่ผ่านมาแล้วหลายเดือน เนื่องจาก นักวิจัย MalwareHunter พบว่า มีการพัฒนา อัพเกรดเจ้ามัลแวร์ Wana Decrypt0r เวอร์ชัน 2.0 ใหม่ และเริ่มแพร่ระบาดอีกครั้ง เมื่อวันที่ 11 พฤษภาคม ที่ผ่านมา

ประสิทธิภาพของมัน เรียกได้ว่าร้ายกาจมากๆ เพราะผ่านไปแค่ 4 ชั่วโมง ก็มีผู้ตกเป็นเหยื่อ Wana Decrypt0r 2.0 จำนวนมาก มีคอมพิวเตอร์โดนโจมตีกว่า 45,000 เครื่อง มีองค์กรขนาดใหญ่ตกเป็นเหยื่อแล้วทั่วโลกกว่า 57,000 ราย และกำลังกระจายตัว ระบาดไปทั่วทั้งโลก ล่าสุดมีผู้ตกเป็นเหยื่อแล้วมากกว่า 100,000 ราย จาก 100 กว่าประเทศทั่วโลก ในส่วนของการโจมตีนั้น เป็นการเล่นงานแบบไม่มีเป้าหมาย และเน้นขู่กรรโชกเงินเป็นหลัก

โดยเจ้ามัลแวร์ WannaCry นี้ จะทำการเรียกค่าไถ่เพื่อปลดล็อคคอมพิวเตอร์ราว $300-600 ต่อเครื่อง (ประมาณ 10,500 บาท – 21,000 บาท) และที่ร้ายหนักกว่า คือ มัวแวร์ WannaCry ทำมา 27 ภาษา รับรองว่า คนที่โดนจะได้ไม่งงว่ากำลังโดนเรียกค่าไถ่ แถมมีคำแนะนำในการสมัคร Bitcoin ไว้จ่ายเงินค่าไถ่อีกต่างหาก!

WannaCry-in-1000x595


ด้วยเหตุการณ์นี้เอง ส่งผลให้บริษัทยักษ์ใหญ่หลายเจ้า อย่าง เซิร์ฟเวอร์เกมของ Garena ชื่อดังที่เกมเมอร์ทั้งหลายรู้จักนั้น ก็โดนสอยไปเรียบร้อย จนต้องปิดให้บริการไปช่วงหนึ่ง

หรือ Telefonica บริษัท ISP ชื่อดังจากสเปนต้องสั่งให้พนักงานปิดคอมพิวเตอร์และยกเลิกการเชื่อมต่อผ่าน VPN เพราะเกรงว่าจะแพร่กระจายจนคุมสถานการณ์ไม่ได้

หรือกรณีของเหยื่อที่เพิ่งโดนไปอย่าง NHS หน่วยงานด้านสาธารณสุขของสหราชอาณาจักร พบว่ามีคลินิค และโรงพยาบาลรวม 25 แห่งทั่วราชอาณาจักรตกเป็นเหยื่อ เมื่อวันที่ 13 พฤษภาคม ที่ผ่านมานี้เอง ส่งผลให้แพทย์ และพยาบาล ต้องหันไปทำงานโดยใช้กระดาษกับปากกากันชั่วคร่าว



โดยมัลแวร์ดังกล่าวจะทำการล็อกผู้ใช้ออกจากเครื่อง เข้ารหัสไฟล์ข้อมูลต่างๆ ทั้ง ข้อมูลคนไข้, ตารางนัดหมาย, ข้อมูลโทรศัพท์ภายใน หรือแม้กระทั่งอีเมล ซึ่งไฟล์ที่ถูกเข้ารหัสจะมีนามสกุลเป็น .WNCRY จากนั้นเรียกค่าไถ่เป็นเงินสูงถึง $300 และทาง NHS ต้องยอม และเลือกที่จ่ายค่าไถ่ให้แก่แฮ็คเกอร์เจ้าของ Wana Decrypt0r 2.0 เพื่อนำข้อมูลส่วนตัวของคนไข้ทั้งหลายกลับมา

นอกจากนี้ยังมีรายอื่นอีกมากมาย เช่น Gas Natural (ผู้ให้บริการแก๊สธรรมชาติ), Iberdrola (ผู้ให้บริการพลังงานไฟฟ้า), มหาวิทยาลัยหลายแห่งในประเทศจีน เป็นต้น

แน่นอนว่าร้ายกาจขนาดนี้ ในไทยก็เริ่มมีผู้ตกเป็นเหยื่อแล้วเช่นกัน


ransomwear-Wannacry-2-effect-p01

Cr. – ทวิตเตอร์ @ALiCE6TY9


เจาะระบบ แฮคกันยังไง ทำไมถึงล้วงข้อมูลได้ ?

หากจะให้อธิบายกันให้เข้าใจ แบบสั้นๆ ง่ายๆ ทั้งหมดนี้ เราก็ต้องเล่าย้อนกลับไปที่ต้นตอของเรื่อง ซึ่งเป็นผลมาจากช่องโหว่ของ Windows ที่ถูกปิดไปในเดือนมีนาคม (MS17-010)  มีการคาดว่าช่องโหว่เหล่านี้ น่าจะถูกขโมยโดยกลุ่ม Shadow Brokers เมื่อปลายปีที่แล้ว ซึ่งเราจะเรียก ช่องโหว่ บีค ความผิดพลาดพวกนี้ว่า Zero Day (ใช้กับทุกๆ ช่องโหว่ของโปรแกรม)

ช่องโหว่ Zero Day ของ  Windows นี้ ถูกขโมย แล้วเอาไปขายต่อ จนเข้าใจว่ามีการซื้อขายดังกล่าวเกิดขึ้น ทำให้พัฒนาระบบมัลแวร์ WannaCry เวอร์ชั่นใหม่ ที่เจาะทะลุลวงได้เด็ดดวงยิ่งขึ้น


NjpUs24nCQKx5e1BavhrZxRUDioFHD1xX8eaMqEZI13


กลไกการทำงานของมัลแวร์นี้ จะแฝงมากับไฟล์แนบในอีเมล เช่น ในกรณีของ NHS จะแฝงมากับอีเมล “ดู X-ray นี้หน่อยสิ” หรือ Hacker เจาะเข้ามา Server ตรงๆ ก็สามารถทำได้ (ประมาณว่า แค่ต่อเน็ต ก็ติดมัลแวร์นี้ได้)  และโดยปกติแล้ว คอมพิวเตอร์ขององค์กรมักจะมี Server หรือวง lan ของตัวเองเป็นหลัก ทำให้มัลแวร์นี้แพร่ได้เร็วมาก ซึ่งจะเจาะผ่านช่องโหว่ใน windows กันทั้งนั้น

พอมีการรันมัลแวร์ WannaCry ข้อมูลในเครื่องจะถูกเข้ารหัสทันที โดยข้อมูลทุกอย่างจะไม่โดนลบ แต่โดนล็อคไว้ ทางแก้คือต้องจ่ายเงินค่าไถ่ ในสกุล Bitcoin ให้กับทางกลุ่มแฮกเกอร์ก่อน ข้อมูลเหล่านั้นถึงจะกลับมาใช้คอมพิวเตอร์ได้ตามปกติ

หรือถ้าให้สรุปกันสั้นๆ เข้าใจง่ายๆ อีกหนคือ มัลแวร์ WannaCry จะเจาะผ่านช่องโหว่ของ Windows จากหลากหลายช่องทาง ทั้งแฝงมากับอีเมล หรือถูกแฮกโดยตรง ก่อนจะแพร่กระจาย ล็อคข้อมูลต่างๆ ไปตามเครือข่ายที่เชื่อมต่อกัน เช่น คอมฯ ในองค์กรได้อย่างรวดเร็วนั่นเอง



แบบนี้ป้องกันไม่ได้เลยเหรอ ?

มัลแวร์ WannaCry นั้น แม้จะฟังดูน่ากลัว แต่เราก็พอรับมือได้บ้าง ซึ่งคำแนะนำในตอนนี้ แบบเข้าใจง่าย และรวดเร็วที่สุด ก็คือ จำเป็นต้องทำ Windows Update โดยด่วน และต้องทำอย่างสม่ำเสมอ (ไม่เฉพาะแค่ช่วงนี้ แต่ควรทำเป็นประจำ)

ถ้า Update Windows ช่วงเดือนมีนาคม 2017 ไปแล้วโอกาสถูกเล่นงานมีน้อยลงมาก และหากให้มีประสิทธิภาพมากขึ้น คุณควรมาเช็กการอัพเดทเอง อย่ารอให้ตัวเครื่องมาถามการอัพเดท เพราะจะล่าช้า และสายเกินไป

แต่สำหรับบริษัทใหญ่ๆ ที่โดนโจมตีกันบ่อย เพราะมีการอัพเดทที่ช้า บางเครื่องคอมฯ ในหลายๆ บริษัทไม่สามารถอัพด้วยตัวเองได้อีก ทำให้เป็นอีกหนึ่งช่องโหว่ที่ทำให้ส่วนมาก การโจมตีของมัลแวร์ WannaCry จะแพร่กระจายในองค์กร มากกว่าเครื่องคอมฯ ส่วนบุคคล รวมไปถึงการเฝ้าระวัง คอมฯที่ใช้ Windows XP เพราะ Microsoft เลิกสนับสนุนแล้ว ทำให้ไม่มีตัวอัพเดทออกมาป้องกัน


wannacry-malware-ransomware-02


นอกจากนี้ ก็ควรเลิกใช้ Windows เถื่อน, รวมไปถึงการโหลดบิทแบบไม่ดูตาม้าตาเรือ เพราะสุ่มเสี่ยงต่อการถูกเจาะโดยมัลแวร์ตัวแสบนี้

ส่วนมัลแวร์ที่แอบแนบมากับอีเมล ด้วยการแนบไฟล์มา โดยเฉพาะประเภท Zip ต้องระวังให้มากๆ กระทั่ง Macro ใน Excel ก็เป็นที่อยู่ของ Malware ได้ ต่อให้เป็นไฟล์สกุลที่รู้จักก็ต้องระวัง (หากใครมีคุณพ่อคุณแม่ ก็ต้องอธิบายว่า ห้ามกดอะไรทั้งนั้น หากไม่ถามเราก่อน)

ถ้าโดนโจมตีด้วย WannaCry ณ ตอนนี้ยังไม่มีวิธีกู้ข้อมูล ทำได้แค่ถอยหลังระบบ restore เป็นวันก่อนที่จะถูกโจมตีแล้วรีบลง Patch หรืออีกหนทางง่ายๆ คือ ปิด SMBv1 ในเครื่องมันซะเลย

และเพื่อการป้องกัน ไม่ให้เกิดกรณีดังกล่าวขึ้นอีก เราก็รวมเกร็ดเล็กน้อย ที่ใช้ปิดช่องโหว่มาฝากกัน


wannacry-malware-ransomware-03


เห็นว่าหยุดระบาดได้ชั่วคราว แบบนี้ก็จบแล้วสิ?

ดูเหมือนว่าโชคจะเข้าข้าง เพราะจากรายงานล่าสุด นาย @malwaretechblog ผู้เชี่ยวชาญชาวอังกฤษ กลายเป็นฮีโร่ที่หยุดการแพร่กระจายของ WannaCry ได้ โดยเขาค้นพบว่า มีการทำ Kill Switch (ประมาณว่าปุ่มปิดฉุกเฉินของมัลแวร์ ให้หยุดทำงาน) ของ มัลแวร์ WannaCry

เมื่อเห็น นาย @malwaretechblog เห็นดังนั้น และพบอีกว่า Website นั้นยังไม่ได้ Register เลยไปลงทะเบียนเพื่อให้เว็บมีตัวตน ก่อนกดปุ่มปิดมันเสีย เพราะตัวคนคิดค้นมัลแวร์เอง ก็แอบประมาทใช่ย่อย แต่ก็ได้แค่ชั่วครั้งชั่วคราวเท่านั้น เพราะมันยังคงระบาดอยู่อย่างต่อเนื่อง



เรื่องราวการระบาดของมัลแวร์ Wannacry ยังไม่จบ เรายังต้องเฝ้าระวัง และคอยอัพเดทการใช้งานต่างๆ อย่างต่อเนื่อง เพื่อเป็นการป้องกัน  แต่ในทางกลับกัน เรื่องนี้ก็ทำให้เราตระหนักได้ถึงความสำคัญของการใช้ของแท้ ซึ่งมักจะมีการอัพเดทมาตรการป้องกันตลอดเวลา แตกต่างจากของปลอมที่ไม่มีการอัพเดท หรือช่วยเหลือใดๆ จากตัว Windows เถื่อนแม้แต่น้อย

รู้แบบนี้แล้ว หันมาใช้ของแท้กันให้มากขึ้นเถอะ เพื่อความปลอดภัยของตัวคุณเองยังไงล่ะ


avatar
by คะน้าใบเขียว
มนุษย์ผู้มีชีวิตชีวายามค่ำคืน ตอนนี้ดูเหมือนจะกำลังพยายามทำความเข้าใจกับมักเกิ้ลในยุคปัจจุบันอยู่ แต่ทุกวันนี้ นางก็ยังไม่ชินเสียทีจริงๆ นั่นแหละ

เรื่องที่คุณอาจสนใจ

loading icon