ไวรัสเรียกค่าไถ่ 2017 WannaCry หรือ WannaCrypt คืออะไร หลายๆคนคงได้ยินชื่อของมัน ซึ่งแพร่กระจายไปทั่วโลกอย่างรวดเร็ว โดยการโจมตีจุดอ่อนของ Windows ผ่านทางการแชร์ โดยช่องทาง SMB (มี v1 ,2 3) มีหลายชื่อเรียก ที่เรานิยมคือ WannaCry แปลว่า อยากร้องไห้ แต่ที่แสดงขึ้นมาหน้าจอเครื่องที่ติดเชื้อ จะขึ้นมาเป็น Wana crypt0r (wana decrypt0r= ต้องการถอดรหัสหรือเปล่า)
เราพบ WanaCrypt0r ครั้งแรกเมื่อหลายสัปดาห์ก่อน มันคือโปรแกรม มัลแวร์ (malware) ที่เรียกว่า RansomWare คือมัลแวร์ที่มีการเรียกค่าไถ่ ตอนแรกไม่มีการเคลื่อนไหวแต่อย่างใด เริ่มเจอเมื่อกลางเมย.นี้เอง จนถึงเมื่อ 13/5/2017 WannaCry ได้เริ่มแพร่ระบาดไปทั่วโลก กว่า 200,000 เครื่องใน 99 ประเทศภายในเวลาเพียง 2 วัน
ผ่านทาง Exploit(ช่องโหว่) ที่ชื่อว่า “EternalBlue” ซึ่งเป็นเครื่องมือในการแฮคเว็บไซต์ ที่พัฒนาโดย NSA (National Security Agency หน่วยงานเพื่อพัฒนาเครื่องมือสำหรับความปลอดภัย)คือโค๊ดนี้เอามาใช้แฮคชาวบ้านนั่นเอง แต่ปรากฎว่ามีการ leaks ออกมาโดย wikileaks จากบทความนี้ โดยที่กลุ่มแฮ็คเกอร์ที่ชื่อว่า Shadow Brokers เอามาเผยแพร่ออนไลน์เมื่อกลางเดือนเมษายนที่ผ่านมา โดยมัลแวร์นี้จะเจาะเข้าระบบคอมพิวเตอร์จากระยะไกลผ่านทางโปรโตคอล SMBv1 (Server Message Block)
SMB คือ โปรโตคอลสำหรับการรับส่งไฟล์ระหว่างคอมพิวเตอร์ที่อยู่ในเครือข่ายเดียวกัน มีตั้งแต่ v1-3 โดยกำเนิดมาตั้งกะ 20-30 ปีก่อนโน้นครับ ทีนี้เจ้ามัลแวร์ตัวนี้มันร้ายมาก อาศัยการส่งผ่านนี้ แพร่กระจายในวงเนตเวิร์คเครือข่ายเดียวกัน กระจายไปเหมือนซอมบี้เลย โดยเครื่องไม่ต้องมีกดอะไร แค่เปิดเครื่องก็ติดแล้ว โดยเครื่องแรกๆที่โดนเป็นขององค์กรสุขภาพ พวก NHS หน่วยงานสุขภาพ ของอังกฤษจนเป็นง่อย และแพร่อย่างรวดเร็ว
โดยการเปิดไฟล์ที่ติดเชื้อ ไฟล์ Installer จะทำการแตกไฟล์ตัวเองไว้ที่เดียวกับที่มันหลุดเข้ามา ไฟล์ที่แตกมานี้จะอยู่ในรูปของโฟลเดอร์ ZIP ที่ถูกล็อกด้วยรหัสผ่าน ซึ่งประกอบด้วยไฟล์หลายรายการที่จะถูกใช้และรันโดย WannaCry ซึ่งในโฟลเดอร์เมสเสจ(msg) จะมีไฟล์หลายภาษา (ล่าสุดมีภาษาไทยแล้ว) ที่จะขึ้นบนหน้าจอว่ามีการล็อคเข้าระหัสไฟล์เครื่องคุณ ให้จ่ายผ่านบิทคอยน์ ดังภาพ รวมถึงภาพ screen saver ด้วย
ภาพพักหน้าจอ screen saver
note
ดูการระบาดของ WannaCry ผ่านทางวิดีโอ
การป้องกัน มีสามวิธี ที่ดีสุดคือ การอัพเดต แพทช์ ที่ทาง microsoft ได้แนะนำให้แล้ว หรือ การปิดการทำงาน SMBv1 หรือ การบล็อคพอร์ท ที่ใช้งาน SMB จาก ไฟล์วอลล์ พอร์ท 445 สองวิธีหลังใช้ได้ชั่วคราว เพราะยังไม่สามารถป้องกันการเจาะระบบในอนาคตอีก จึงแนะนำให้อัพเดตวินโดวส์แพทช์ (แน่นอนว่าต้องใช้ของแท้)
ปัจจุบันโปรโตคอล SMB มี 3 เวอร์ชันด้วยกัน คือ SMBv1, SMBv2 และ SMBv3 โดย SMBv1 เก่าแก่ และไม่แนะนำให้เปิดใช้ และเจ้า WannaCry มันร้ายมาก เพราะแค่เปิดเครื่องก็อาจโดนเลยก็ได้ ไม่ต้องคลิกอะไร!
วิธีการปิด smbv1 ใน windows server 2012 ,windows 8.1 , windows 10 ฝั่ง Client
- คลิกในปุ่ม start เพื่อค้น
- พิมพ์ “turn windows features“
- จะเข้าไปยัง Control Panel->Trun Windows Features on or off –>มองลงใน tick menu ล่างๆ หาข้อความ “SMB 1.0/CIFS File Sharing Support” โดยฟีเจอร์นี้จะถูกเปิดไว้เป็นค่าเริ่มต้น ให้เอาเครื่องหมายถูกออก กด OK
- รีสตาร์ทเครื่อง
ในระบบปฏิบัติการ Windows เก่าอย่าง Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 และ Windows Server 2012 ต้องใช้ Command Prompt
- พิมพ์ ค้น จากปุ่ม start หรือใน accessory หา command prompt หรือ cmd รันโดย administrator
- พิมพ์คำสั่งด้านล่าง ทีละบรรทัด
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
แล้วรีสตาร์ท
“The exploit code used by WannaCrypt was designed to work only against unpatched Windows 7 and Windows Server 2008 (or earlier OS) systems, so Windows 10 PCs are not affected by this attack,” Microsoft says.
ผู้ใช้ Windows 10 ปลอดภัยครับ
สำหรับ ผู้ใช้วินโดวส์เก่าๆ ดีใจอย่างมาก microsoft ไม่ทิ้งครับ ออกแพทช์ฉุกเฉินมาแล้ว!! unsupported version ของ windows เช่นรุ่นที่เก่า ๆ Windows XP, Vista, Windows 8, Server 2003 and 2008 Microsoft ได้ออก Patch มาให้ดาวน์โหลดไปแก้ปัญหาแล้วครับ สามารถ download ที่นี่ https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
Update!
มีคำแนะนำเพิ่มเติม และดาวน์โหลดสคริปต์ เพิ่มเติม มาป้องกัน จาก มหาวิทยาลัยสุรนารีครับ
ดูรายละเอียดที่นี่
Update2
ตอนนี้ WannaCrypt หยุดแพร่กระจาย แต่ยังมี Wannacrypt0r 2 ออกมากระจาย ซึ่งตอนนี้ แอนตี้ไวรัสทุกบริษัท รู้จักและปิดกั้นแล้วครับ ใครมีโปรแกรมแอนตี้ไวรัส อัพเดตได้ครับ
Update3
WannaCry 2 มาแล้ว!!!
ตำรวจยุโรป Europol จับกุมผู้ต้องสงสัยที่น่าจะมีส่วนเกี่ยวข้องแล้ว 5 คน ยึดเซิร์ฟเวอร์ 39 เครื่องและโดเมนเนมอีกหลายหมื่นชื่อ เกี่ยวโยงไปถึงกลุ่มที่ชื่อ Avalanche กลุ่มเครือข่ายแฮคเกอร์ที่มีชื่อด้านการสร้าง malware พันธุ์ร้ายต่างๆ
Update4
สรุปสิ่งที่เรารู้ล่าสุดจาก WannaCry และการหลุดของเครื่องมือแฮคครั้งใหญ่จาก CIA
Comments
2 responses to “Wannacry ไวรัสเรียกค่าไถ่ 2017 คืออะไร แนะวิธีป้องกัน”
[…] หรือ WannaCrypt0r เมื่อสองสามวันที่ผ่านมา จากลิงค์นี้ครับ wannacry จะพบว่า […]
[…] สามบรรทัดแรก สรุปเหตุการณ์ที่เรารู้เกี่ยวกับการระบาดของ WannaCry ครับ คือ 1.Day1.มีการระบาดไวรัสเรียกค่าไถ่กว่า 90000เครื่องใน 99 ประเทศ 2. Day2.มีการค้นพบKill switch ทำให้การระบาดลดลง 3. Day3. มีการประกาศการระบาดของ WannaCry2.0และเพื่อนๆรุ่นใหม่ที่ไม่มี Kill Switch รวมถึง WannaCry4.0 ที่มีภาษาไทยมาถึงวันนี้ เราคงพอรู้คร่าวๆเกี่ยวกับ Malware ตัวนี้ WannaCry Ransomeware (มัลแวร์เรียกค่าไถ่) ซึ่งตอนนี้ว่ากันว่า มีการติดกว่า 2 แสนเครื่องทั่วโลก โดยลักษณะการ Attack ของมัน ได้กล่าวไว้ในข่าว รู้จัก WannaCry ไวรัสเรียกค่าไถ่ ตอนแรก […]