สิ่งที่คุณควรรู้เกี่ยวกับมัลแวร์เรียกค่าไถ่ WannaCry

 เกิดอะไรขึ้น  เมื่อวันที่ 12 พฤษภาคม 2560 เวอร์ชั่นใหม่ของมัลแวร์เรียกค่าไถ่ Ransom.CryptXXX (ตรวจพบในชื่อ Ransom.Wannacry) เริ่มแพร่ระบาดอย่างรวดเร็ว ส่งผลกระทบต่อองค์กรจำนวนมาก โดยเฉพาะอย่างยิ่งในยุโรป

มัลแวร์เรียกค่าไถ่ WannaCry คืออะไร

WannaCry เข้ารหัสไฟล์ข้อมูล และขอให้ผู้ใช้จ่ายค่าไถ่ 300 ดอลลาร์สหรัฐฯ ในรูปแบบของบิตคอยน์ (bitcoin) โดยจดหมายเรียกค่าไถ่ระบุว่ายอดเงินเรียกค่าไถ่จะเพิ่มขึ้นสองเท่าหลังจากที่เวลาผ่านไป 3 วัน และถ้าหากไม่ได้จ่ายค่าไถ่ภายใน 7 วัน ไฟล์ที่เข้ารหัสไว้ก็จะถูกลบทิ้ง

นอกจากนี้ มัลแวร์ดังกล่าวยังปล่อยไฟล์ที่มีชื่อว่า !Please Read Me!.txt ซึ่งประกอบด้วยจดหมายเรียกค่าไถ่

image007

จดหมายเรียกค่าไถ่จากโทรจัน WannaCry

WannaCry เข้ารหัสไฟล์ที่มีนามสกุลต่อไปนี้ โดยใส่ .WCRY ต่อท้ายที่ชื่อไฟล์:

.123 .bz2 .dotx .ldf .odt .ppt .sti .vmdk
.3dm .cgm .dwg .m3u .onetoc2 .pptm .stw .vmx
.3ds .class .edb .m4u .ost .pptx .suo .vob
.3g2 .cmd .eml .max .otg .ps1 .svg .vsd
.3gp .cpp .fla .mdb .otp .psd .swf .vsdx
.602 .crt .flv .mdf .ots .pst .sxc .wav
.7z .cs .frm .mid .ott .rar .sxd .wb2
.ARC .csr .gif .mkv .p12 .raw .sxi .wk1
.PAQ .csv .gpg .mml .pas .rb .sxm .wks
.accdb .db .gz .mov .pdf .rtf .sxw .wma
.aes .dbf .hwp .mp3 .pem .sch .tar .wmv
.ai .dch .ibd .mp4 .pfx .sh .tbk .xlc
.asc .der .iso .mpeg .php .sldm .tgz .xlm
.asf .dif .jar .mpg .pl .sldx .tif .xls
.asm .dip .java .msg .png .slk .tiff .xlsb
.asp .djvu .jpeg .myd .pot .sln .txt .xlsm
.avi .doc .jpg .myi .potm .snt .uop .xlsx
.backup .docb .js .nef .potx .sql .uot .xlt
.bak .docm .jsp .odb .ppam .sqlite3 .vb .xltm
.bat .docx .key .odg .pps .sqlitedb .vbs .xltx
.bmp .dot .lay .odp .ppsm .stc .vcd .xlw
.brd .dotm .lay6 .ods .ppsx .std .vdi .zip

มัลแวร์นี้แพร่กระจายไปยังคอมพิวเตอร์เครื่องอื่นๆ โดยใช้ช่องโหว่ของการเรียกใช้โค้ดระยะไกล SMB ในคอมพิวเตอร์ Microsoft Windows (MS17-010)

คุณได้รับการปกป้องให้รอดพ้นจากภัยคุกคามนี้หรือไม่

เครือข่าย Global Intelligence Network (GIN) ของไซแมนเทค (Symantec) ให้บริการตรวจจับอัตโนมัติสำหรับผลิตภัณฑ์ทั้งหมดที่รองรับเพื่อตรวจสอบว่ามีการพยายามทำให้เครื่องติดเชื้อผ่านเว็บหรือไม่

ลูกค้าของไซแมนเทคและนอร์ตันได้รับการปกป้องให้รอดพ้นจาก WannaCry โดยใช้เทคโนโลยีต่างๆ 

โปรแกรมป้องกันไวรัส

ลูกค้าควรรัน LiveUpdate และตรวจสอบว่ามีฐานข้อมูลไวรัสเวอร์ชั่นต่อไปนี้หรือสูงกว่าติดตั้งไว้บนเครื่อง เพื่อให้แน่ใจว่ามีการปกป้องที่ทันสมัยที่สุด:

  • 20170512.009

การป้องกัน SONAR

การป้องกันบนเครือข่าย

นอกจากนี้ ไซแมนเทคยังมีการป้องกัน IPS ต่อไปนี้ ซึ่งพิสูจน์แล้วว่ามีประสิทธิภาพอย่างมากสำหรับการสกัดกั้นความพยายามที่จะโจมตีช่องโหว่ MS17-010:

IPS signature ต่อไปนี้ยังช่วยสกัดกั้นกิจกรรมที่เกี่ยวข้องกับ Ransom.Wannacry:

องค์กรต่างๆ ควรตรวจสอบให้แน่ใจว่ามีการติดตั้งอัพเดตด้านความปลอดภัยล่าสุดของ Windows โดยเฉพาะอย่างยิ่ง MS17-010เพื่อป้องกันการแพร่กระจาย

ใครได้รับผลกระทบ

องค์กรจำนวนหนึ่งในหลายๆ ประเทศทั่วโลกติดเชื้อมัลแวร์ดังกล่าว โดยส่วนใหญ่เป็นองค์กรที่อยู่ในยุโรป

เป็นการโจมตีแบบเจาะจงเป้าหมายหรือไม่

ตอนนี้เชื่อว่าไม่ใช่การโจมตีแบบเจาะจงเป้าหมาย โดยปกติแล้วการโจมตีของมัลแวร์เรียกค่าไถ่มักจะไม่มีการกำหนดกลุ่มเป้าหมายที่เฉพาะเจาะจง

เหตุใดจึงก่อให้เกิดปัญหามากมายสำหรับองค์กร

WannaCry สามารถแพร่กระจายตัวเองภายในเครือข่ายองค์กร โดยที่ผู้ใช้ไม่ต้องดำเนินการใดๆ ทั้งนี้โดยอาศัยช่องโหว่ในระบบปฏิบัติการ Microsoft Windows  คอมพิวเตอร์ที่ไม่ได้ติดตั้งอัพเดตด้านความปลอดภัยล่าสุดของ Windows มีความเสี่ยงต่อการติดเชื้อ

จะสามารถกู้คืนไฟล์ที่เข้ารหัสได้หรือไม่

ตอนนี้ยังไม่สามารถถอดรหัสได้ แต่ไซแมนเทคกำลังดำเนินการตรวจสอบ  ไซแมนเทคไม่แนะนำให้จ่ายเงินค่าไถ่  ทางที่ดีควรจะกู้คืนไฟล์จากข้อมูลแบ็คอัพที่มีอยู่

แนวทางสำหรับการป้องกันมัลแวร์เรียกค่าไถ่มีอะไรบ้าง

  • มีการเผยแพร่มัลแวร์เรียกค่าไถ่เวอร์ชั่นใหม่ออกมาอยู่เรื่อยๆ ดังนั้นคุณจึงควรอัพเดตซอฟต์แวร์ด้านการรักษาความปลอดภัยให้ทันสมัยอยู่เสมอ เพื่อปกป้องตัวคุณเอง
  • ดูแลระบบปฏิบัติการและซอฟต์แวร์อื่นๆ ให้อัพเดตอยู่เสมอ  โดยมากแล้วซอฟต์แวร์อัพเดตมักจะมีแพตช์สำหรับแก้ไขช่องโหว่ที่เพิ่งค้นพบ ซึ่งคนร้ายอาจใช้ช่องโหว่ดังกล่าวในการโจมตีด้วยมัลแวร์เรียกค่าไถ่
  • อีเมลเป็นหนึ่งในช่องทางหลักที่ทำให้เกิดการติดเชื้อ  ควรระวังอีเมลที่น่าสงสัย โดยเฉพาะอย่างยิ่งอีเมลที่มีลิงก์และ/หรือไฟล์แนบ
  • ระวังเป็นพิเศษต่อไฟล์ Microsoft Office ที่แนบมากับอีเมล ซึ่งแจ้งให้คุณเปิดใช้งานมาโครเพื่อดูเนื้อหาในไฟล์  ถ้าคุณไม่แน่ใจว่าเป็นอีเมลฉบับจริงจากผู้ส่งที่ไว้ใจได้หรือไม่ ก็ไม่ควรเปิดใช้งานมาโคร และควรจะลบอีเมลดังกล่าวทันที
  • การแบ็คอัพข้อมูลสำคัญเป็นวิธีเดียวที่มีประสิทธิภาพมากที่สุดในการรับมือกับมัลแวร์เรียกค่าไถ่  คนร้ายใช้วิธีเข้ารหัสไฟล์ที่มีค่าและทำให้เหยื่อไม่สามารถเข้าใช้ไฟล์เหล่านั้นได้ แต่ถ้าเหยื่อมีสำเนาแบ็คอัพ ก็จะสามารถกู้คืนไฟล์ได้หลังจากที่ลบมัลแวร์ออกจากเครื่อง  อย่างไรก็ตาม องค์กรต่างๆ ควรตรวจสอบให้แน่ใจว่าข้อมูลแบ็คอัพได้รับการปกป้องอย่างเหมาะสมหรือจัดเก็บในแบบออฟไลน์ เพื่อที่ว่าคนร้ายจะไม่สามารถลบข้อมูลแบ็คอัพได้
  • การใช้บริการคลาวด์อาจช่วยหลีกเลี่ยงการติดเชื้อมัลแวร์เรียกค่าไถ่ เพราะส่วนใหญ่มีการเก็บรักษาไฟล์เวอร์ชั่นก่อนหน้า ช่วยให้คุณสามารถ “ย้อนกลับ” ไปสู่รูปแบบที่ไม่ได้เข้ารหัส

ตัวบ่งชี้เพิ่มเติมและข้อมูลด้านเทคนิคเกี่ยวกับ Ransom.Wannacry

เมื่อโทรจันถูกเรียกใช้ ก็จะปล่อยไฟล์ต่อไปนี้:

  • [PATH_TO_TROJAN]\!WannaDecryptor!.exe
  • [PATH_TO_TROJAN]\c.wry
  • [PATH_TO_TROJAN]\f.wry
  • [PATH_TO_TROJAN]\m.wry
  • [PATH_TO_TROJAN]\r.wry
  • [PATH_TO_TROJAN]\t.wry
  • [PATH_TO_TROJAN]\u.wry
  • [PATH_TO_TROJAN]\TaskHost
  • [PATH_TO_TROJAN]\00000000.eky
  • [PATH_TO_TROJAN]\00000000.pky
  • [PATH_TO_TROJAN]\00000000.res
  • %Temp%\0.WCRYT
  • %Temp%\1.WCRYT
  • %Temp%\2.WCRYT
  • %Temp%\3.WCRYT
  • %Temp%\4.WCRYT
  • %Temp%\5.WCRYT
  • %Temp%\hibsys.WCRYT

หมายเหตุ: [PATH_TO_TROJAN] เป็นพาธที่โทรจันถูกเรียกใช้ในตอนแรก

จากนั้น โทรจันดังกล่าวจะสร้างรายการรีจิสทรีต่อไปนี้:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”Microsoft Update Task Scheduler” = “”[PATH_TO_TROJAN]\[TROJAN_EXE_NAME]” /r”
  • HKEY_LOCAL_MACHINE\SOFTWARE\WannaCryptor\”wd” = “[PATH_TO_TROJAN]”

และโทรจันจะตั้งค่ารายการรีจิสทรีต่อไปนี้:

  • HKEY_CURRENT_USER\Control Panel\Desktop\”Wallpaper” = “%UserProfile%\Desktop\!WannaCryptor!.bmp”

โทรจันสร้าง Mutex ต่อไปนี้:

  • Global\WINDOWS_TASKOSHT_MUTEX0
  • Global\WINDOWS_TASKCST_MUTEX

จากนั้นจะหยุดกระบวนการต่อไปนี้โดยใช้ taskkil /f /iml:

  • sqlwriter.exe
  • sqlserver.exe
  • Microsoft.Exchange.*
  • MSExchange*

แล้วค้นหาและเข้ารหัสไฟล์ที่มีนามสกุลต่อไปนี้:

.123 .bz2 .dotx .ldf .odt .ppt .sti .vmdk
.3dm .cgm .dwg .m3u .onetoc2 .pptm .stw .vmx
.3ds .class .edb .m4u .ost .pptx .suo .vob
.3g2 .cmd .eml .max .otg .ps1 .svg .vsd
.3gp .cpp .fla .mdb .otp .psd .swf .vsdx
.602 .crt .flv .mdf .ots .pst .sxc .wav
.7z .cs .frm .mid .ott .rar .sxd .wb2
.ARC .csr .gif .mkv .p12 .raw .sxi .wk1
.PAQ .csv .gpg .mml .pas .rb .sxm .wks
.accdb .db .gz .mov .pdf .rtf .sxw .wma
.aes .dbf .hwp .mp3 .pem .sch .tar .wmv
.ai .dch .ibd .mp4 .pfx .sh .tbk .xlc
.asc .der .iso .mpeg .php .sldm .tgz .xlm
.asf .dif .jar .mpg .pl .sldx .tif .xls
.asm .dip .java .msg .png .slk .tiff .xlsb
.asp .djvu .jpeg .myd .pot .sln .txt .xlsm
.avi .doc .jpg .myi .potm .snt .uop .xlsx
.backup .docb .js .nef .potx .sql .uot .xlt
.bak .docm .jsp .odb .ppam .sqlite3 .vb .xltm
.bat .docx .key .odg .pps .sqlitedb .vbs .xltx
.bmp .dot .lay .odp .ppsm .stc .vcd .xlw
.brd .dotm .lay6 .ods .ppsx .std .vdi .zip

ไฟล์ที่ถูกเข้ารหัสจะมี .WCRY ต่อท้ายที่ชื่อไฟล์

จากนั้นโทรจันจะลบสำเนาของไฟล์ที่เข้ารหัส

โทรจันปล่อยไฟล์ต่อไปนี้ไว้ในทุกโฟลเดอร์ที่มีไฟล์เข้ารหัส:

  • !WannaDecryptor!.exe.lnk
  • !Please Read Me!.txt

เนื้อหาของไฟล์ !Please Read Me!.txt คือจดหมายเรียกค่าไถ่ที่ระบุรายละเอียดเกี่ยวกับวิธีการจ่ายค่าไถ่

โทรจันจะดาวน์โหลด Tor และใช้งานเพื่อเชื่อมต่อกับเซิร์ฟเวอร์โดยใช้เครือข่าย Tor

จากนั้นจะแสดงจดหมายเรียกค่าไถ่ที่อธิบายให้ผู้ใช้ทราบว่ามีอะไรเกิดขึ้น รวมถึงวิธีการจ่ายเงินค่าไถ่

Latest

ใช้ Synology NAS เป็น uptime monitoring ด้วยแอพ uptime-kuma สั่ง alert ผ่าน Line ได้ด้วย

สำหรับแอดมินที่ต้องดูแลหลายๆ เว็บไซต์ สิ่งที่จำเป็นก็คือเครื่องมือที่เรียกว่า uptime monitoring ที่คอยเตือนเมื่อเกิดเหตุการณ์เว็บล่ม เพราะบางครั้งแค่เว็บล่มเพียงไม่กี่นาที ก็ทำให้เกิดความเสียหายหลายแสนทีเดียว บริการ uptime...

เตือนภัยถึงแอดมิน ระวังเฟซบุ๊กถูกแฮกไม่รู้ตัว

ช่วงนี้มิจฉาชีพระบาดหนัก ล่าสุดผมเองก็โดนกับตัวผ่านทาง facebook เลยอยากจะมาเตือนเพื่อนๆ ทุกคน โดยบล็อกนี้ผมจะแฉวิธีการและวิธีสังเกตการหลอกเอาข้อมูลของเรา รู้ไว้จะได้รู้เท่าทันพวกมิจฉาชีพเหล่านี้ครับ 2 ขั้นตอนหลัก ที่มิจฯ...

หยอดปุกรอ!! 4 รถแบรนด์ดัง พลังงานไฮโดรเจน น่าจับตาปี 2023

สำหรับปี 2023 เป็นต้นไปนี้ เราจะเห็นรถพลังงานไฮโดรเจนเปิดตัวมากขึ้น ดูเหมือนทุกค่ายจะซุ่มทำรถไฮโดรเจนของตัวเอง แล้วเหมือนจะนัดกันเปิดตัวในปีนี้พร้อมๆ กัน

Windows Search ห่วย ใช้ Listary ช่วยคุณได้

คิดว่าหลายคนที่ใช้วินโดวส์เป็นหลัก น่าจะรู้สึกเหมือนผม คือรำคาญระบบค้นหา หรือช่อง search ของวินโดวส์ เพราะช้า แถมหาอะไรก็ไม่ค่อยเจอ ...

Newsletter

Don't miss

ใช้ Synology NAS เป็น uptime monitoring ด้วยแอพ uptime-kuma สั่ง alert ผ่าน Line ได้ด้วย

สำหรับแอดมินที่ต้องดูแลหลายๆ เว็บไซต์ สิ่งที่จำเป็นก็คือเครื่องมือที่เรียกว่า uptime monitoring ที่คอยเตือนเมื่อเกิดเหตุการณ์เว็บล่ม เพราะบางครั้งแค่เว็บล่มเพียงไม่กี่นาที ก็ทำให้เกิดความเสียหายหลายแสนทีเดียว บริการ uptime...

เตือนภัยถึงแอดมิน ระวังเฟซบุ๊กถูกแฮกไม่รู้ตัว

ช่วงนี้มิจฉาชีพระบาดหนัก ล่าสุดผมเองก็โดนกับตัวผ่านทาง facebook เลยอยากจะมาเตือนเพื่อนๆ ทุกคน โดยบล็อกนี้ผมจะแฉวิธีการและวิธีสังเกตการหลอกเอาข้อมูลของเรา รู้ไว้จะได้รู้เท่าทันพวกมิจฉาชีพเหล่านี้ครับ 2 ขั้นตอนหลัก ที่มิจฯ...

หยอดปุกรอ!! 4 รถแบรนด์ดัง พลังงานไฮโดรเจน น่าจับตาปี 2023

สำหรับปี 2023 เป็นต้นไปนี้ เราจะเห็นรถพลังงานไฮโดรเจนเปิดตัวมากขึ้น ดูเหมือนทุกค่ายจะซุ่มทำรถไฮโดรเจนของตัวเอง แล้วเหมือนจะนัดกันเปิดตัวในปีนี้พร้อมๆ กัน

Windows Search ห่วย ใช้ Listary ช่วยคุณได้

คิดว่าหลายคนที่ใช้วินโดวส์เป็นหลัก น่าจะรู้สึกเหมือนผม คือรำคาญระบบค้นหา หรือช่อง search ของวินโดวส์ เพราะช้า แถมหาอะไรก็ไม่ค่อยเจอ ...

รวม 22 คีย์ลัด Windows Key ที่ทำให้ชีวิตง่ายขึ้นพันเปอร์เซ็นต์

ปุ่ม Windows Key หน้าตาแบบนี้ ไม่ได้มีไว้ใช้แค่เรียกเมนู Start ขึ้นมาเท่านั้นนะครับ แต่ตัวมันใช้เป็นคีย์ลัดสำหรับการการทำงานบนวินโดวส์ได้หลายอย่างมาก วันนี้ผมขอรวบรวมคีย์ลัดของปุ่มนี้...

ใช้ Synology NAS เป็น uptime monitoring ด้วยแอพ uptime-kuma สั่ง alert ผ่าน Line ได้ด้วย

สำหรับแอดมินที่ต้องดูแลหลายๆ เว็บไซต์ สิ่งที่จำเป็นก็คือเครื่องมือที่เรียกว่า uptime monitoring ที่คอยเตือนเมื่อเกิดเหตุการณ์เว็บล่ม เพราะบางครั้งแค่เว็บล่มเพียงไม่กี่นาที ก็ทำให้เกิดความเสียหายหลายแสนทีเดียว บริการ uptime monitoring สมัยนี้มีหลากหลายเจ้า ปกติจะเก็บค่าบริการกันแบบ subscription รายเดือน แต่ถ้าใครไม่อยากจ่ายตังค์ วันนี้ผมมีโซลูชั่น สำหรับใครที่มีการใช้งาน NAS อยู่แล้ว เราจะเอา NAS มาทำเป็น uptime monitoring...

เตือนภัยถึงแอดมิน ระวังเฟซบุ๊กถูกแฮกไม่รู้ตัว

ช่วงนี้มิจฉาชีพระบาดหนัก ล่าสุดผมเองก็โดนกับตัวผ่านทาง facebook เลยอยากจะมาเตือนเพื่อนๆ ทุกคน โดยบล็อกนี้ผมจะแฉวิธีการและวิธีสังเกตการหลอกเอาข้อมูลของเรา รู้ไว้จะได้รู้เท่าทันพวกมิจฉาชีพเหล่านี้ครับ 2 ขั้นตอนหลัก ที่มิจฯ ใช้มาหลอกเรา ส่งข้อความมาทาง inbox แจ้งว่าเพจทำผิดกฎ หรือ ละเมิดกฎเฟซบุ๊ก ให้กดลิงค์ เพื่อยืนยันตัวตน ไม่งั้นจะบล็อกเพจถาวร พอเรากดลิงค์เข้าไป จะเจอกับหน้าเพจ (คล้าย) เฟซบุ๊ก ซึ่งมีฟอร์มให้เราใส่ข้อมูลต่างๆ รวมถึง ชื่อเพจ อีเมล...

หยอดปุกรอ!! 4 รถแบรนด์ดัง พลังงานไฮโดรเจน น่าจับตาปี 2023

สำหรับปี 2023 เป็นต้นไปนี้ เราจะเห็นรถพลังงานไฮโดรเจนเปิดตัวมากขึ้น ดูเหมือนทุกค่ายจะซุ่มทำรถไฮโดรเจนของตัวเอง แล้วเหมือนจะนัดกันเปิดตัวในปีนี้พร้อมๆ กัน

LEAVE A REPLY

Please enter your comment!
Please enter your name here