เพียงไม่กี่วันที่ผ่านมา โทรจันเอ็นคริปเตอร์ที่ชื่อ WannaCry ได้เริ่มระบาดและแพร่กระจายไปทั่วโลก คอสติน ไรอู ผู้อำนวยการทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ แลป (ทีม GReAT) ระบุว่า ผู้เชี่ยวชาญตรวจพบเหตุการณ์โจมตีมากกว่า 45,000 รายการ ซึ่งจริงๆ แล้ว มีจำนวนมากกกว่านั้นแน่นอน
เกิดอะไรขึ้นกันแน่?
องค์กรขนาดใหญ่จำนวนมากต่างก็แจ้งการติดเชื้อเข้ามาอย่างต่อเนื่อง หนึ่งในนั้นคือโรงพยาบาลในอังกฤษที่ต้องหยุดการดำเนินงานทั้งหมด พบว่ามีเครื่องคอมพิวเตอร์ที่ติดเชื้อ Wannacry แล้วมากกว่าหนึ่งแสนเครื่องทั่วโลก
การโจมตีส่วนมากเกิดขึ้นในรัสเซีย แต่ที่ยูเครน อินเดีย และไต้หวัน ก็เสียหายมหาศาลเช่นเดียวกัน ในวันแรกของการโจมตี พบว่า มีประเทศที่ได้รับความเสียหายมากถึง 74 ประเทศ
ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ของสเปน (CCN-CERT) ออกประกาศแจ้งเตือนพร้อมระบุว่า การโจมตีแรนซัมแวร์ครั้งใหญ่นี้ส่งผลกระทบต่อองค์กรมากมายหลายแห่งในสเปน สำนักงานการบริการด้านสุขภาพแห่งชาติของสหราชอาณาจักรออกประกาศยอมรับว่า สถาบันสุขภาพ 16 แห่งติดเชื้อแรนซัมแวร์ตัวนี้แล้วเช่นกัน 
WannaCry คืออะไร
WannaCry แบ่งเป็น 2 ส่วน ส่วนแรก คือเป็นเอ็กพลอต์ที่มีจุดประสงค์เพื่อการติดเชื้อและแพร่กระจาย ส่วนที่สองคือส่วนที่เป็นเอ็นคริปเตอร์ที่ถูกดาวน์โหลดลงคอมพิวเตอร์หลังจากที่ติดเชื้อแล้ว ซึ่งนับเป็นลักษณะที่แตกต่างชัดเจนระหว่าง WannaCry กับเอ็นคริปเตอร์ตัวอื่นๆ ในการทำให้คอมพิวเตอร์ติดเชื้อด้วยเอ็นคริปเตอร์ธรรมดานั้น ยูสเซอร์จะต้องทำพลาด เช่น กด link น่าสงสัย ปล่อยในไมโครซอฟท์เวิร์ดรันมาโครแปลกปลอม หรือดาวน์โหลดไฟล์แนบน่าสงสัยจากอีเมล แต่สำหรับ WannaCry แล้ว ระบบคอมพิวเตอร์สามารถติดเชื้อได้ โดยไม่ต้องทำอะไรเลย
WannaCry เอ็กพลอต์และการแพร่กระจาย
ผู้คิดค้น WannaCry ได้ใช้ประโยชน์จากวินโดวส์เอ็กพลอต์ที่ชื่อว่า “EternalBlue” ซึ่งมีช่องโหว่ที่ไมโครซอฟท์ได้แพทช์ไว้ในซีเคียวริตี้อัพเดท MS17-010 วันที่ 14 มีนาคม 2017 การใช้เอ็กพลอต์นี้ จะสามารถรีโมทแอคเซสเข้าคอมพิวเตอร์และติดตั้งเอ็นคริปเตอร์ได้ทันที
ถ้ายูสเซอร์อัพเดทแล้ว ช่องโหว่นี้ก็จะหายไป ไม่สามารถโดนรีโมทแอคเซสเข้ามาได้ แต่ผู้เชี่ยวชาญของ GReAT ระบุว่า การแพทช์ช่องโหว่ไม่สามารถขัดขวางวิธีการอื่นๆ ของเอ็นคริปเตอร์ได้ ถ้ายูสเซอร์ทำพลาดอย่างที่กล่าวไว้ข้างต้น แพทช์ก็จะไม่ช่วยอะไร
เมื่อแฮกเข้าเครื่องได้สำเร็จ WannaCry จะพยายามแพร่กระจายตัวเองไปยังคอมพิวเตอร์เครื่องอื่นทั่วเน็ตเวิร์กในแบบเวิร์ม ตัวเอ็นคริปเตอร์จะสแกนหาคอมพิวเตอร์ที่มีช่องโหว่เดียวกันเพื่อเอ็กพลอต์โดยอาศัย “EternalBlue” และโจมตีด้วยการเอ็นคริปต์ไฟล์ในเครื่อง
ผู้เชี่ยวชาญพบว่า ตอนที่ WannaCry ทำให้เครื่องคอมพิวเตอร์ติดเชื้อ อาจจะแพร่ไปถึงเน็ตเวิร์กแลนทั้งระบบ และเอ็นคริปต์คอมพิวเตอร์ทุกเครื่องในเน็ตเวิร์กได้ ยิ่งเหยื่อเป็นบริษัทขนาดใหญ่มากเท่าใด มีคอมพิวเตอร์จำนวนมากแค่ไหน ก็จะยิ่งเสียหายมากขึ้นเท่านั้น
WannaCry ตัวเอ็นคริปเตอร์
ตัวเอ็นคริปเตอร์ของ WannaCry มีชื่อเรียกว่า WCrypt or WannaCry Decryptor (ชื่อหลอกว่าดีคริปเตอร์ แต่จริงๆ คือเป็นตัวเอ็นคริปเตอร์) ทำงานเหมือนเอ็นคริปเตอร์ตัวอื่นๆ คือการเข้ารหัสไฟล์ในคอมพิวเตอร์และเรียกร้องให้จ่ายเงินค่าไถ่เพื่อถอดรหัสคืนให้
WannaCry เข้ารหัสไฟล์ได้หลายประเภท รวมถึงไฟล์เอกสารไมโครซอฟท์ออฟฟิศ รูปภาพ วิดีโอ และไฟล์อื่นๆ ที่เก็บข้อมูลสำคัญของยูสเซอร์ เมื่อเข้ารหัสแล้วจะเปลี่ยนนามสกุลไฟล์เป็น .WCRY และยูสเซอร์ไม่สามารถเปิดไฟล์นั้นได้อีก จากนั้น ตัวโทรจันก็จะเปลี่ยนภาพบนหน้าจอเดสท็อปเป็นข้อมูลการติดเชื้อและขั้นตอนให้ยูสเซอร์ทำตามหากต้องการได้ไฟล์คืน นอกจากนี้ ยังส่งไฟล์ข้อความระบุคำเตือนเดียวกันนี้ไปยังโฟลเดอร์ต่างๆ เพื่อให้มั่นใจว่ายูสเซอร์จะต้องเห็นข้อความเรียกค่าไถ่นี้แน่นอน
โดยทั่วไปโจรไซเบอร์จะเรียกเงินค่าไถ่เป็นเงินบิตคอยน์ ค่าไถ่เริ่มต้นจะกำหนดไว้ที่ $300 แต่มักจะเพิ่มเงินค่าไถ่ขึ้นอีกเรื่อยๆ ล่าสุด WannaCry เรียกค่าไถ่สูงถึง $600 หรือประมาณ 20,000 บาท นอกจากนี้ยังขู่ว่าต้องจ่ายเงินค่าไถ่ภายใน 3 วัน และจะถอดรหัสไฟล์ให้ใน 7 วัน แคสเปอร์สกี้ แลป ไม่แนะนำให้ยูสเซอร์จ่ายค่าไถ่เป็นอันขาด เนื่องจากไม่มีอะไรรับประกันได้เลยว่า โจรไซเบอร์จะถอดรหัสไฟล์ให้ตามที่บอก และยังพบเหตุการณ์ที่โจรไซเบอร์ลบข้อมูลยูสเซอร์ทิ้ง ทำให้ไม่สามารถถอดรหัสไฟล์ได้เลย
จะป้องกันตัวเองจาก WannaCry ได้อย่างไร
โชคร้ายที่ไม่มีวิธีการถอดรหัสไฟล์ที่ถูก WannaCry เข้ารหัสไว้ วิธีการที่ดีที่สุดคือการป้องกันไม่ให้คอมพิวเตอร์ติดเชื้อได้ตั้งแต่แรก นั่นคือ
- ถ้ายูสเซอร์ใช้งานโซลูชั่นของแคสเปอร์สกี้ แลป อยู่แล้ว แนะนำให้สแกนแบบแมนวลสำหรับพื้นที่สำคัญ (critical area) และเมื่อโซลูชั่นตรวจเจอมัลแวร์ MEM:Trojan.WinEquationDrug.gen ให้รีบูตระบบทันที
- ให้ยูสเซอร์เปิดฟีเจอร์ System Watcher ของแคสเปอร์สกี้ แลป เพื่อช่วยตรวจสอบมัลแวร์ใหม่ๆ ที่อาจเกิดขึ้นได้ทันท่วงที
- รีบอัพเดทซอฟต์แวร์ของวินโดวส์ คือ ตัวซีเคียวริตี้อัพเดท Microsoft Security Bulletin MS17-01 โดยเฉพาะวินโดวส์รุ่นที่ไม่ซัพพอร์ตแล้วอย่าง Windows XP หรือ Windows 2003
- แบ็คอัพไฟล์อย่างสม่ำเสมอ และเก็บสำรองข้อมูลในอุปกรณ์อื่นๆ ที่ไม่เชื่อมต่อกับคอมพิวเตอร์ ถ้ายูสเซอร์มีไฟล์แบ็คอัพล่าสุดอยู่ เมื่อโดน WannaCry โจมตี ก็จะไม่ถึงขั้นหายนะ แต่ต้องเสียเวลาหลายชั่วโมงเพื่อติดตั้งระบบใหม่ ยูสเซอร์ของแคสเปอร์สกี้ แลป หากไม่ต้องการแบ็คอัพข้อมูลเอง สามารถเลือกใช้ฟีเจอร์แบ็คอัพอัตโนมัติของ Kaspersky Total Security ได้
- เลือกใช้แอนตี้ไวรัสที่น่าเชื่อถือ Kaspersky Internet Security สามารถตรวจจับ WannaCry ได้ทั้งจากในเครื่องและตอนพยายามแพร่กระจายทั่วเน็ตเวิร์ก ฟีเจอร์ System Watcher เป็นโมดูลบิ้วต์อิน ที่จะช่วยย้อนกลับการเปลี่ยนแปลงที่ไม่ต้องการได้ ซึ่งจะช่วยป้องกันการเข้ารหัสไฟล์ได้
โซลูชั่นของแคสเปอร์สกี้ แลป สามารถตรวจจับมัลแวร์ที่ใช้ในการโจมตี WannaCry ครั้งนี้ในชื่อต่างๆ ต่อไปนี้
- Trojan-Ransom.WinScatter.uf
- Trojan-Ransom.WinScatter.tr
- Trojan-Ransom.WinFury.fr
- Trojan-Ransom.WinGen.djd
- Trojan-Ransom.WinWanna.b
- Trojan-Ransom.WinWanna.c
- Trojan-Ransom.WinWanna.d
- Trojan-Ransom.WinWanna.f
- Trojan-Ransom.WinZapchast.i
- Win64.EquationDrug.gen
- Win32.Generic (the System Watcher component must be enabled)
ข้อมูลเพิ่มเติม
- WannaCry: Are you safe?
https://blog.kaspersky.com/wannacry-ransomware/16518/
- WannaCry ransomware used in widespread attacks all over the world