Breaking News
Home / บทความน่ารู้ / แจ้งเตือนและข้อแนะนำ / สิ่งที่คุณต้องรู้เกี่ยวกับฤทธิ์เดชของแรนซั่มแวร์ Wanna Decryptor 2.0

สิ่งที่คุณต้องรู้เกี่ยวกับฤทธิ์เดชของแรนซั่มแวร์ Wanna Decryptor 2.0

สิ่งที่คุณต้องรู้เกี่ยวกับฤทธิ์เดชของแรนซั่มแวร์

Wanna Decryptor 2.0

ข้อมูลเบื้องต้น

  • มีรายงานจากหลายสำนักข่าวที่ให้ข้อมูลตรงกันว่า การโจมตีครั้งนี้เกิดขึ้นจากการใช้โค้ดของ NSA ที่รั่วไหลออกมาโดยกลุ่มแฮ็กเกอร์ที่รู้จักกันในชื่อ Shadow Broker ซึ่งสอดคล้องกับผลการตรวจสอบของทาง SophosLabs เองด้วย โดยคาดว่าจะมีรายงานที่มีข้อมูลอย่างละเอียดออกมาภายในต้นสัปดาห์หน้า
  • จะคอยอัพเดตข้อมูล Knowledge Base Article (KBA) ของตนเองสำหรับลูกค้าตลอดเมื่อเหตุการณ์นี้มีความชัดเจนมากขึ้นเรื่อยๆ โดยรายละเอียดล่าสุดที่มีการอัพเดตทุกวันนั้น มีการเรียบเรียงสรุปไว้ใน “คำแนะนำเพิ่มเติมจาก ” ที่ https://nakedsecurity..com/2017/05/12/wanna-decrypter-2-0-ransomware-attack-what-you-need-to-know/#more-guidance
  • ไมโครซอฟท์ได้ตื่นตัวเป็นพิเศษในการออกแพทช์อัพเดตด้านความปลอดภัยสำหรับแพลตฟอร์มที่เคยประกาศสิ้นสุดการสนับสนุนไปแล้ว (เช่น วินโดวส์ XP) เพื่อให้ทุกคนสามารถเข้าถึงได้ โดยยักษ์ใหญ่ด้านซอฟต์แวร์นี้ได้ออกแถลงการณ์ว่า “เราทราบว่าลูกค้าเราส่วนหนึ่ง ยังใช้งานวินโดวส์รุ่นที่ไม่ได้รับการซัพพอร์ตเป็นทางการแล้วอยู่ นั่นหมายความว่าลูกค้าเหล่านี้จะยังไม่ได้รับตัวอัพเดตด้านความปลอดภภัยที่ปล่อยออกมาเมื่อเดือนมีนาคม เมื่อพิจารณาถึงผลกระทบต่อลูกค้าเอง และธุรกิจของลูกค้ากลุ่มนี้แล้ว เราจึงตัดสินใจที่จะออกแพทช์อัพเดตด้านความปลอดภัยสำหรับแพลตฟอร์มที่สิ้นสุดเวลาซัพพอร์ตเหล่านี้ด้วย โดยสามารถดาวน์โหลดแพทช์สำหรับวินโดวส์ XP, วินโดวส์ 8, และวินโดวส์เซิร์ฟเวอร์ 2003 ได้จาก http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
  • Dave Kennedy ซีอีโอ และผู้ก่อตั้งบริษัทที่ปรึกษาด้านความปลอดภัยไอทีอย่าง TrustedSec ให้ความเห็นว่า เมื่อศึกษาจากโค้ดที่หลุดออกมาสู่สาธารณะ ที่อยู่เบื้องหลังการโจมตีครั้งใหญ่เมื่อวันศุกร์ที่ผ่านมาแล้วนั้น เรามองเห็นความเป็นไปได้ที่จะมีแฮ็กเกอร์กลุ่มอื่นนำโค้ดอันตรายนี้ไปใช้ปรับแต่งเพื่อโจมตีเองในอนาคตเพิ่มเติมด้วย เพื่อใช้เป็นช่องทางในการทำเงินของตัวเอง
  • การโจมตีครั้งนี้อาจสร้างผลกระทบที่เลวร้ายกว่าที่เป็นอยู่ ถ้าไม่มีการค้นพบโดยบังเอิญของนักวิจัยที่ใช้ชื่อทวิตเตอ์ @MalwareTechBlog ที่พบสวิตช์ที่สั่งปิดการทำงานภายในโค้ดอันตรายนี้ นักวิจัยท่านนี้ได้โพสต์รายละเอียดเกี่ยวกับการค้นพบของตนเองที่ https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html ซึ่งมีประโยคหนึ่งที่อธิบายว่า “สิ่งหนึ่งที่สำคัญอย่างยิ่งเกี่ยวกับการค้นพบนี้คือ เราทำได้เพียงแค่หยุดกิจกรรมของมัลแวร์นี้ชั่วคราวเท่านั้น แต่ยังไม่มีอะไรที่สามารถสกัดกั้นไม่ให้มัลแวร์ตรวจสอบโดเมนและพยายามเชื่อมต่อกับเซิร์ฟเวอร์สั่งการได้อีก ดังนั้นจึงจำเป็นอย่างมากที่ต้องติดตั้งแพทช์บนระบบที่ยังไม่ได้ติดตั้งโดยเร็วที่สุดเท่าที่เป็นไปได้

***

เมื่อวันศุกร์ที่ 12 พ.ค. ที่ผ่านมาถือเป็นวิกฤตการณ์ที่หนักหน่วงมากในหลายองค์กร อันเนื่องมาจากการแพร่กระจายตัวเองอย่างรวดเร็วของแรนซั่มแวร์ Wanna Decrypter 2.0 ที่เริ่มจากการโจมตีโรงพยาบาลทั่วทั้งอังกฤษ ก่อนที่จะขยายวงการโจมตีไปทั่วโลก

การโจมตีครั้งนี้พบว่ามีการใช้ประโยชน์จากช่องโหว่บนวินโดวส์ ที่ไมโครซอฟท์ได้ออกแพทช์มาแล้วตั้งแต่เมื่อมีนาคมที่ผ่านมา ช่องโหว่นี้อยู่บนเซอร์วิสที่ชื่อ Windows Server Message Block (SMB) ที่คอมพิวเตอร์ที่ใช้วินโดวส์นั้นใช้สำหรับแชร์ไฟล์และเครื่องพิมพ์ทั่วทั้งเครือข่ายขององค์กร โดยไมโครซอฟท์ได้อธิบายปัญหานี้ไว้ในหัวข้อด้านความปลอดภัยรหัส MS17-010

SophosLabs กล่าวว่า แรนซั่มแวร์นี้ ซึ่งรู้จักกันในชื่อ WannaCry, WCry, WanaCrypt และ WanaCrypt0r นั้น จะเข้ารหัสไฟล์ของเหยื่อ แล้วเปลี่ยนนามสกุลไฟล์ให้อยู่ในรูป  .wnry, .wcry, .wncry และ .wncrypt

Sophos ได้ปกป้องลูกค้าจากอันตรายนี้ โดยตรวจจับมัลแวร์เหล่านี้ภายใต้ชื่อ Troj/Ransom-EMG, Mal/Wanna-A, Troj/Wanna-C, และ Troj/Wanna-D ซึ่งลูกค้าที่ใช้ Intercept X จะพบว่าแรนซั่มแวร์นี้ถูกสกัดกั้นโดย CryptoGuard พร้อมทั้งมีการเปิดเผยรายละเอียดในรูปของ  Knowledge Base Article (KBA) ให้ลูกค้าอีกด้วย

NHS ยอมรับว่าโดยโจมตี

National Health Service hospitals (NHS) ในสหราชอาณาจักร ได้รับผลกระทบอย่างรุนแรงจากการโจมตีระยะแรก โดยทั้งระบบโทรศัพท์และบริการด้านไอทีอื่นๆ ต่างถูกกักไว้เรียกค่าไถ่ ทางฝ่ายไอทีของ NHS ได้โพสต์ประกาศว่า หน่วยงานในสังกัดหลายแห่งโดนแรนซั่มแวร์โจมตี โดยเชื่อว่าเป็นมัลแวร์ชื่อ Wanna Decryptor ซึ่งปัจจุบันยังไม่มีหลักฐานชี้ชัดว่าข้อมูลของผู้ป่วยถูกเข้าถึงด้วยหรือเปล่า แต่ก็กำลังทำงานร่วมกับศูนย์ความปลอดภัยทางไซเบอร์แห่งชาติอย่างใกล้ชิด และจะแจ้งความคืบหน้าอีกครั้งโดยเร็วที่สุด

ซึ่งทางศูนย์ความปลอดภัยทางไซเบอร์แห่งชาติ, กระทรวงสาธารณสุข, และ NHS ของสหราชอาณาจักร ต่างทำงานอย่างหนักตั้งแต่เมื่อวันศุกร์ที่ผ่านมาเพื่อช่วยเหลือโรงพยาบาลที่ได้รับผลกระทบ รวมถึงระบบไอทีที่โดนเล่นงานจนต้องปิดการใช้งานเพื่อจำกัดบริเวณการแพร่กระจายของแรนซั่มแวร์

คำแนะนำเพิ่มเติมจาก Sophos

ต่อไปนี้เป็นข้อมูลอัพเดตสายพันธุ์แรนซั่มแวร์ที่เกี่ยวข้องกับการโจมตีครั้งนี้ ที่ทาง Sophos ได้ให้การปกป้องไว้ครบถ้วนแล้ว:

ชื่อมัลแวร์ รหัส IDE ของ Sophos ได้รับการปกป้องแล้วตั้งแต่
Troj/Ransom-EMG cerb-ama.ide 12 พฤษภาคม 2560
Mal/Wanna-A wanna-d.ide 12 พฤษภาคม 2560
Troj/Wanna-C wanna-d.ide 12 พฤษภาคม 2560
Troj/Wanna-D wanna-d.ide 12 พฤษภาคม 2560
HPMal/Wanna-A pdfu-bfo.ide 13 พฤษภาคม 2560
Troj/Wanna-E rans-emh.ide 13 พฤษภาคม 2560
Troj/Wanna-G rans-emh.ide 13 พฤษภาคม 2560
Troj/Dloadr-EDC chisb-qv.ide 13 พฤษภาคม 2560
Troj/Agent-AWDS chisb-qv.ide 13 พฤษภาคม 2560
Troj/Wanna-H wanna-h.ide 14 พฤษภาคม 2560
Troj/Wanna-I wanna-i.ide 14 พฤษภาคม 2560
Troj/Ransom-EMJ wanna-i.ide 14 พฤษภาคม 2560
Troj/Wanna-J emote-cb.ide 14 พฤษภาคม 2560
Troj/Wanna-K emote-cb.ide 14 พฤษภาคม 2560

ดังที่กล่าวไว้ข้างต้น Sophos ได้อัพเดตข้อมูลเพื่อปกป้องลูกค้าเรียบร้อยแล้ว ผู้ที่ใช้งานทั้ง Intercept X และ EXP ไม่จำเป็นต้องทำอะไรเพิ่มเติม ส่วนผู้ที่ใช้โซลูชั่น Sophos Endpoint Protection และ Sophos Home ควรอัพเดตให้เป็นรุ่นล่าสุดในทันที

ชื่อผลิตภัณฑ์ การดำเนินการที่จำเป็น
Sophos Intercept X ไม่มี
Sophos EXP ไม่มี
Sophos Endpoint Protection ควรอัพเดตทันที
Sophos Home ควรอัพเดตทันที

วิธีป้องกันอันตรายนี้

เราแนะนำให้ผู้ที่ยังไม่ได้ทำดำเนินการอะไร ให้ทำดังต่อไปนี้:

  • ติดตั้งแพทช์บนระบบของคุณ แม้ว่าคุณจะยังใช้รุ่นที่ไม่ได้มีการสนับสนุนจากผู้ผลิตแล้ว อันได้แก่ วินโดวส์ XP, วินโดวส์ 8, หรือวินโดวส์เซิร์ฟเวอร์ 2003 โดยแนะนำให้อ่านคำแนะนำสำหรับลูกค้าของไมโครซอฟท์เรื่องการโจมตีจาก WannaCrypt ที่ https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
  • อ่านคำแนะนำของ Sophos บน Knowledge Base Article เกี่ยวกับแรนซั่มแวร์ Wanna Decrypt0r 2.0 ที่ https://community.sophos.com/kb/en-us/126733
  • สำรองข้อมูลเป็นประจำ และจัดเก็บข้อมูลที่สำรองล่าสุดไว้ข้างนอกองค์กร เนื่องจากมีหลากหลายช่องทางมากนอกจากแรนซั่มแวร์ที่ไฟล์สำรองไว้จะเป็นอันตราย ไม่ว่าจะเป็นอัคคีภัย, น้ำท่วม, โดนจารกรรม, แล็ปท็อปตกพื้น, หรือแม้แต่การกดลบโดยไม่ได้ตั้งใจ คุณควรเข้ารหัสข้อมูลที่สำรองไว้ เพื่อไม่ต้องกังวลว่าข้อมูลดังกล่าว หรืออุปกรณ์ที่มีข้อมูลที่สำรองไว้จะตกไปอยู่ในมือของผู้ไม่ประสงค์ดี
  • พึงระวังการเปิดไฟล์แนบที่น่าสงสัย ยังเป็นคำแนะนำพื้นฐานที่ควรปฏิบัติอย่างแข็งแกร่ง ในการที่ไม่ควรเปิดไฟล์เอกสารใดๆ จนกว่าจะแน่ใจว่าจำเป็นต้องใช้งานไฟล์นั้นจริงๆ ซึ่งท่าคุณยังสงสัยที่มาของไฟล์นั้นอยู่ก็ไม่ควรเปิดขึ้นมาเด็ดขาด
  • เลือกใช้โซลูชั่นความปลอดภัยอย่าง Sophos Intercept X และ Sophos Home Premium Beta สำหรับผู้ใช้ตามบ้าน (ไม่ใช่ลูกค้าธุรกิจ) ที่สามารถหยุดยั้งแรนซั่มแวร์ตั้งแต่ต้นเหตุ ด้วยการสกัดกั้นการเข้ารหัสไฟล์ที่ไม่ได้รับอนุญาต

Related posts

About ข่าวไอที 24 ชั่วโมง

ข่าวไอที 24 ชั่วโมง ข่าวไอที ข่าว IT ข่าวเทคโนโลยี สินค้าไอทีมาใหม่ รีวิวสินค้าไอที

Check Also

ภัยคุกคามรูปแบบใหม่บน IoT อีเมล และคลาวด์

ภัยคุกคามรูปแบบ …

 
%d bloggers like this: