เกิดอะไรขึ้น เมื่อวันที่ 12 พฤษภาคม 2560 เวอร์ชั่นใหม่ของมัลแวร์เรียกค่าไถ่ Ransom.CryptXXX (ตรวจพบในชื่อ Ransom.Wannacry) เริ่มแพร่ระบาดอย่างรวดเร็ว ส่งผลกระทบต่อองค์กรจำนวนมาก โดยเฉพาะอย่างยิ่งในยุโรป
มัลแวร์เรียกค่าไถ่ WannaCry คืออะไร
WannaCry เข้ารหัสไฟล์ข้อมูล และขอให้ผู้ใช้จ่ายค่าไถ่ 300 ดอลลาร์สหรัฐฯ ในรูปแบบของบิตคอยน์ (bitcoin) โดยจดหมายเรียกค่าไถ่ระบุว่ายอดเงินเรียกค่าไถ่จะเพิ่มขึ้นสองเท่าหลังจากที่เวลาผ่านไป 3 วัน และถ้าหากไม่ได้จ่ายค่าไถ่ภายใน 7 วัน ไฟล์ที่เข้ารหัสไว้ก็จะถูกลบทิ้ง
นอกจากนี้ มัลแวร์ดังกล่าวยังปล่อยไฟล์ที่มีชื่อว่า !Please Read Me!.txt ซึ่งประกอบด้วยจดหมายเรียกค่าไถ่
จดหมายเรียกค่าไถ่จากโทรจัน WannaCry
WannaCry เข้ารหัสไฟล์ที่มีนามสกุลต่อไปนี้ โดยใส่ .WCRY ต่อท้ายที่ชื่อไฟล์:
| .123 | .bz2 | .dotx | .ldf | .odt | .ppt | .sti | .vmdk |
| .3dm | .cgm | .dwg | .m3u | .onetoc2 | .pptm | .stw | .vmx |
| .3ds | .class | .edb | .m4u | .ost | .pptx | .suo | .vob |
| .3g2 | .cmd | .eml | .max | .otg | .ps1 | .svg | .vsd |
| .3gp | .cpp | .fla | .mdb | .otp | .psd | .swf | .vsdx |
| .602 | .crt | .flv | .mdf | .ots | .pst | .sxc | .wav |
| .7z | .cs | .frm | .mid | .ott | .rar | .sxd | .wb2 |
| .ARC | .csr | .gif | .mkv | .p12 | .raw | .sxi | .wk1 |
| .PAQ | .csv | .gpg | .mml | .pas | .rb | .sxm | .wks |
| .accdb | .db | .gz | .mov | .rtf | .sxw | .wma | |
| .aes | .dbf | .hwp | .mp3 | .pem | .sch | .tar | .wmv |
| .ai | .dch | .ibd | .mp4 | .pfx | .sh | .tbk | .xlc |
| .asc | .der | .iso | .mpeg | .php | .sldm | .tgz | .xlm |
| .asf | .dif | .jar | .mpg | .pl | .sldx | .tif | .xls |
| .asm | .dip | .java | .msg | .png | .slk | .tiff | .xlsb |
| .asp | .djvu | .jpeg | .myd | .pot | .sln | .txt | .xlsm |
| .avi | .doc | .jpg | .myi | .potm | .snt | .uop | .xlsx |
| .backup | .docb | .js | .nef | .potx | .sql | .uot | .xlt |
| .bak | .docm | .jsp | .odb | .ppam | .sqlite3 | .vb | .xltm |
| .bat | .docx | .key | .odg | .pps | .sqlitedb | .vbs | .xltx |
| .bmp | .dot | .lay | .odp | .ppsm | .stc | .vcd | .xlw |
| .brd | .dotm | .lay6 | .ods | .ppsx | .std | .vdi | .zip |
มัลแวร์นี้แพร่กระจายไปยังคอมพิวเตอร์เครื่องอื่นๆ โดยใช้ช่องโหว่ของการเรียกใช้โค้ดระยะไกล SMB ในคอมพิวเตอร์ Microsoft Windows (MS17-010)
คุณได้รับการปกป้องให้รอดพ้นจากภัยคุกคามนี้หรือไม่
เครือข่าย Global Intelligence Network (GIN) ของไซแมนเทค (Symantec) ให้บริการตรวจจับอัตโนมัติสำหรับผลิตภัณฑ์ทั้งหมดที่รองรับเพื่อตรวจสอบว่ามีการพยายามทำให้เครื่องติดเชื้อผ่านเว็บหรือไม่
ลูกค้าของไซแมนเทคและนอร์ตันได้รับการปกป้องให้รอดพ้นจาก WannaCry โดยใช้เทคโนโลยีต่างๆ
โปรแกรมป้องกันไวรัส
ลูกค้าควรรัน LiveUpdate และตรวจสอบว่ามีฐานข้อมูลไวรัสเวอร์ชั่นต่อไปนี้หรือสูงกว่าติดตั้งไว้บนเครื่อง เพื่อให้แน่ใจว่ามีการปกป้องที่ทันสมัยที่สุด:
- 20170512.009
การป้องกัน SONAR
- เทคโนโลยีการตรวจจับพฤติกรรม SONAR จะตรวจจับ Wannacry เวอร์ชั่นต่างๆ
การป้องกันบนเครือข่าย
นอกจากนี้ ไซแมนเทคยังมีการป้องกัน IPS ต่อไปนี้ ซึ่งพิสูจน์แล้วว่ามีประสิทธิภาพอย่างมากสำหรับการสกัดกั้นความพยายามที่จะโจมตีช่องโหว่ MS17-010:
IPS signature ต่อไปนี้ยังช่วยสกัดกั้นกิจกรรมที่เกี่ยวข้องกับ Ransom.Wannacry:
องค์กรต่างๆ ควรตรวจสอบให้แน่ใจว่ามีการติดตั้งอัพเดตด้านความปลอดภัยล่าสุดของ Windows โดยเฉพาะอย่างยิ่ง MS17-010เพื่อป้องกันการแพร่กระจาย
ใครได้รับผลกระทบ
องค์กรจำนวนหนึ่งในหลายๆ ประเทศทั่วโลกติดเชื้อมัลแวร์ดังกล่าว โดยส่วนใหญ่เป็นองค์กรที่อยู่ในยุโรป
เป็นการโจมตีแบบเจาะจงเป้าหมายหรือไม่
ตอนนี้เชื่อว่าไม่ใช่การโจมตีแบบเจาะจงเป้าหมาย โดยปกติแล้วการโจมตีของมัลแวร์เรียกค่าไถ่มักจะไม่มีการกำหนดกลุ่มเป้าหมายที่เฉพาะเจาะจง
เหตุใดจึงก่อให้เกิดปัญหามากมายสำหรับองค์กร
WannaCry สามารถแพร่กระจายตัวเองภายในเครือข่ายองค์กร โดยที่ผู้ใช้ไม่ต้องดำเนินการใดๆ ทั้งนี้โดยอาศัยช่องโหว่ในระบบปฏิบัติการ Microsoft Windows คอมพิวเตอร์ที่ไม่ได้ติดตั้งอัพเดตด้านความปลอดภัยล่าสุดของ Windows มีความเสี่ยงต่อการติดเชื้อ
จะสามารถกู้คืนไฟล์ที่เข้ารหัสได้หรือไม่
ตอนนี้ยังไม่สามารถถอดรหัสได้ แต่ไซแมนเทคกำลังดำเนินการตรวจสอบ ไซแมนเทคไม่แนะนำให้จ่ายเงินค่าไถ่ ทางที่ดีควรจะกู้คืนไฟล์จากข้อมูลแบ็คอัพที่มีอยู่
แนวทางสำหรับการป้องกันมัลแวร์เรียกค่าไถ่มีอะไรบ้าง
- มีการเผยแพร่มัลแวร์เรียกค่าไถ่เวอร์ชั่นใหม่ออกมาอยู่เรื่อยๆ ดังนั้นคุณจึงควรอัพเดตซอฟต์แวร์ด้านการรักษาความปลอดภัยให้ทันสมัยอยู่เสมอ เพื่อปกป้องตัวคุณเอง
- ดูแลระบบปฏิบัติการและซอฟต์แวร์อื่นๆ ให้อัพเดตอยู่เสมอ โดยมากแล้วซอฟต์แวร์อัพเดตมักจะมีแพตช์สำหรับแก้ไขช่องโหว่ที่เพิ่งค้นพบ ซึ่งคนร้ายอาจใช้ช่องโหว่ดังกล่าวในการโจมตีด้วยมัลแวร์เรียกค่าไถ่
- อีเมลเป็นหนึ่งในช่องทางหลักที่ทำให้เกิดการติดเชื้อ ควรระวังอีเมลที่น่าสงสัย โดยเฉพาะอย่างยิ่งอีเมลที่มีลิงก์และ/หรือไฟล์แนบ
- ระวังเป็นพิเศษต่อไฟล์ Microsoft Office ที่แนบมากับอีเมล ซึ่งแจ้งให้คุณเปิดใช้งานมาโครเพื่อดูเนื้อหาในไฟล์ ถ้าคุณไม่แน่ใจว่าเป็นอีเมลฉบับจริงจากผู้ส่งที่ไว้ใจได้หรือไม่ ก็ไม่ควรเปิดใช้งานมาโคร และควรจะลบอีเมลดังกล่าวทันที
- การแบ็คอัพข้อมูลสำคัญเป็นวิธีเดียวที่มีประสิทธิภาพมากที่สุดในการรับมือกับมัลแวร์เรียกค่าไถ่ คนร้ายใช้วิธีเข้ารหัสไฟล์ที่มีค่าและทำให้เหยื่อไม่สามารถเข้าใช้ไฟล์เหล่านั้นได้ แต่ถ้าเหยื่อมีสำเนาแบ็คอัพ ก็จะสามารถกู้คืนไฟล์ได้หลังจากที่ลบมัลแวร์ออกจากเครื่อง อย่างไรก็ตาม องค์กรต่างๆ ควรตรวจสอบให้แน่ใจว่าข้อมูลแบ็คอัพได้รับการปกป้องอย่างเหมาะสมหรือจัดเก็บในแบบออฟไลน์ เพื่อที่ว่าคนร้ายจะไม่สามารถลบข้อมูลแบ็คอัพได้
- การใช้บริการคลาวด์อาจช่วยหลีกเลี่ยงการติดเชื้อมัลแวร์เรียกค่าไถ่ เพราะส่วนใหญ่มีการเก็บรักษาไฟล์เวอร์ชั่นก่อนหน้า ช่วยให้คุณสามารถ “ย้อนกลับ” ไปสู่รูปแบบที่ไม่ได้เข้ารหัส
ตัวบ่งชี้เพิ่มเติมและข้อมูลด้านเทคนิคเกี่ยวกับ Ransom.Wannacry
เมื่อโทรจันถูกเรียกใช้ ก็จะปล่อยไฟล์ต่อไปนี้:
- [PATH_TO_TROJAN]\!WannaDecryptor!.exe
- [PATH_TO_TROJAN]\c.wry
- [PATH_TO_TROJAN]\f.wry
- [PATH_TO_TROJAN]\m.wry
- [PATH_TO_TROJAN]\r.wry
- [PATH_TO_TROJAN]\t.wry
- [PATH_TO_TROJAN]\u.wry
- [PATH_TO_TROJAN]\TaskHost
- [PATH_TO_TROJAN]\00000000.eky
- [PATH_TO_TROJAN]\00000000.pky
- [PATH_TO_TROJAN]\00000000.res
- %Temp%\0.WCRYT
- %Temp%\1.WCRYT
- %Temp%\2.WCRYT
- %Temp%\3.WCRYT
- %Temp%\4.WCRYT
- %Temp%\5.WCRYT
- %Temp%\hibsys.WCRYT
หมายเหตุ: [PATH_TO_TROJAN] เป็นพาธที่โทรจันถูกเรียกใช้ในตอนแรก
จากนั้น โทรจันดังกล่าวจะสร้างรายการรีจิสทรีต่อไปนี้:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”Microsoft Update Task Scheduler” = “”[PATH_TO_TROJAN]\[TROJAN_EXE_NAME]” /r”
- HKEY_LOCAL_MACHINE\SOFTWARE\WannaCryptor\”wd” = “[PATH_TO_TROJAN]”
และโทรจันจะตั้งค่ารายการรีจิสทรีต่อไปนี้:
- HKEY_CURRENT_USER\Control Panel\Desktop\”Wallpaper” = “%UserProfile%\Desktop\!WannaCryptor!.bmp”
โทรจันสร้าง Mutex ต่อไปนี้:
- Global\WINDOWS_TASKOSHT_MUTEX0
- Global\WINDOWS_TASKCST_MUTEX
จากนั้นจะหยุดกระบวนการต่อไปนี้โดยใช้ taskkil /f /iml:
- sqlwriter.exe
- sqlserver.exe
- Microsoft.Exchange.*
- MSExchange*
แล้วค้นหาและเข้ารหัสไฟล์ที่มีนามสกุลต่อไปนี้:
| .123 | .bz2 | .dotx | .ldf | .odt | .ppt | .sti | .vmdk |
| .3dm | .cgm | .dwg | .m3u | .onetoc2 | .pptm | .stw | .vmx |
| .3ds | .class | .edb | .m4u | .ost | .pptx | .suo | .vob |
| .3g2 | .cmd | .eml | .max | .otg | .ps1 | .svg | .vsd |
| .3gp | .cpp | .fla | .mdb | .otp | .psd | .swf | .vsdx |
| .602 | .crt | .flv | .mdf | .ots | .pst | .sxc | .wav |
| .7z | .cs | .frm | .mid | .ott | .rar | .sxd | .wb2 |
| .ARC | .csr | .gif | .mkv | .p12 | .raw | .sxi | .wk1 |
| .PAQ | .csv | .gpg | .mml | .pas | .rb | .sxm | .wks |
| .accdb | .db | .gz | .mov | .rtf | .sxw | .wma | |
| .aes | .dbf | .hwp | .mp3 | .pem | .sch | .tar | .wmv |
| .ai | .dch | .ibd | .mp4 | .pfx | .sh | .tbk | .xlc |
| .asc | .der | .iso | .mpeg | .php | .sldm | .tgz | .xlm |
| .asf | .dif | .jar | .mpg | .pl | .sldx | .tif | .xls |
| .asm | .dip | .java | .msg | .png | .slk | .tiff | .xlsb |
| .asp | .djvu | .jpeg | .myd | .pot | .sln | .txt | .xlsm |
| .avi | .doc | .jpg | .myi | .potm | .snt | .uop | .xlsx |
| .backup | .docb | .js | .nef | .potx | .sql | .uot | .xlt |
| .bak | .docm | .jsp | .odb | .ppam | .sqlite3 | .vb | .xltm |
| .bat | .docx | .key | .odg | .pps | .sqlitedb | .vbs | .xltx |
| .bmp | .dot | .lay | .odp | .ppsm | .stc | .vcd | .xlw |
| .brd | .dotm | .lay6 | .ods | .ppsx | .std | .vdi | .zip |
ไฟล์ที่ถูกเข้ารหัสจะมี .WCRY ต่อท้ายที่ชื่อไฟล์
จากนั้นโทรจันจะลบสำเนาของไฟล์ที่เข้ารหัส
โทรจันปล่อยไฟล์ต่อไปนี้ไว้ในทุกโฟลเดอร์ที่มีไฟล์เข้ารหัส:
- !WannaDecryptor!.exe.lnk
- !Please Read Me!.txt
เนื้อหาของไฟล์ !Please Read Me!.txt คือจดหมายเรียกค่าไถ่ที่ระบุรายละเอียดเกี่ยวกับวิธีการจ่ายค่าไถ่
โทรจันจะดาวน์โหลด Tor และใช้งานเพื่อเชื่อมต่อกับเซิร์ฟเวอร์โดยใช้เครือข่าย Tor
จากนั้นจะแสดงจดหมายเรียกค่าไถ่ที่อธิบายให้ผู้ใช้ทราบว่ามีอะไรเกิดขึ้น รวมถึงวิธีการจ่ายเงินค่าไถ่