WannaCry หยุดแพร่ แต่WannaCry 2 มาใหม่

ถ้าตามเรื่อง ไวรัสเรียกค่าไถ่ WannaCry หรือ Wanna Crypt หรือ WannaCrypt0r เมื่อสองสามวันที่ผ่านมา จากลิงค์นี้ครับ wannacry จะพบว่า มีผู้หยุดการกระจายของมันได้ผ่านทาง Kill Switch โดยการจดโดเมนขึ้นมา 1 อัน แต่ข่าวร้ายคือ มีการยืนยันว่า มี WannaCry 2 แบบไม่มี Kill Switch และ Ransomeware อื่นๆที่คล้ายๆกัน หลุดออกมาอีก
Kill Switch คือ สิ่งที่ผู้พัฒนา RanSomeware หรือโทรจันต่างๆ ใส่ไว้เพื่อควบคุมมัน โดยของ WannaCry มีผู้พบว่า มันจะเรียกโดเมนอันหนึ่ง ที่ยังไม่มีคนจดโดเมน

hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

พอมีพ่อหนุ่มหัวใส วัย 22 เจ้าของ twitter ชื่อ MalwareTech จดชื่อโดเมนที่ว่า ปั๊บ การแพร่กระจายของมันก็หยุดลง แต่กระนั้น ก็ยังมีการแพร่ต่อของ WannaCry 2
ยิ่งกว่านั้น ยังมีการค้นพบ WannaCry ใหม่ ที่มี KillSwitch ใหม่ อีกโดเมนหนึ่งคือ

hxxp://ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com/

เราพบว่า Kill Switch เป็นสิ่งที่อยู่ใน SMB worm แต่ในตัวโมดูลของ Ransome ware ไม่ใช่ เราพบว่ามี ransome ware มากกว่านี้อีกมาก ที่ระบาดอยู่มานานแล้วด้วยซ้ำ แต่มีแค่ SMB ransomeware ที่มี kill switch บางตัว ที่เราหยุดมันได้

นักวิจัยจาก Karpersky labs ยืนยันว่า ได้ค้นพบ WannaCry 2 ที่ไม่มี kill switch เมื่อวานนี้ และที่ร้ายไปกว่านั้น เชื่อว่า สร้างมาจากทีมสร้างอื่นนอกเหนือจาก WannaCry ตัวแรก แต่โชคดีที่ยังไม่แพร่กระจายมากนัก เนื่องจากตัวโค๊ดยังมีปัญหาอยู่ และเขาเชื่อว่า อีกไม่นาน จะมีการระบาดอย่างแน่นอน
———
note
ดูการระบาดของ WannaCry ผ่านทางวิดีโอ

comment