แจ้งข่าวดี !! Wana Decrypt0r หยุดระบาดชั่วคราว หลังพบสวิตช์ปิดทำงานโดยไม่ตั้งใจ

กลายเป็นวีรบุรุษช่วยเหลือชาวโลกอย่างไม่ได้ตั้งใจ เมื่อนักวิจัยด้านความมั่นคงปลอดภัยนาม MalwareTech พบ “สวิตช์” สำหรับหยุดการระบาดของ Wana Decrypt0r Ransomware ชื่อดัง หลังจากแพร่กระจายตัวไปทั่วโลกแล้วกว่า 100 ประเทศ มีผู้ตกเป็นเหยื่อแล้วกว่า 100,000 ราย

อ่านรายละเอียดเกี่ยวกับ Wana Decrypt0r

MalwareTech พบว่าก่อนที่ Wana Decrypt0r (หรือ WCry, WannaCry, WannaCrypt, WanaCrypt0r) จะเริ่มเข้ารหัสไฟล์ข้อมูล Ransomware ดังกล่าวจะทำการตรวจสอบโดเมนที่ iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com ก่อน ถ้าโดเมนนี้ไม่ถูกลงทะเบียน Ransomware จะเริ่มเข้ารหัสไฟล์ข้อมูล แต่ถ้าโดเมนนี้ถูกลงทะเบียนไปแล้ว Ransomware จะหยุดกระบวนการแพร่ระบาดทันที ซึ่งทาง MalwareTech ก็ได้ลองจ่ายเงินประมาณ £10 (ประมาณ 450 บาท) เพื่อลงทะเบียนโดเมนดังกล่าว แล้วพบว่าโดเมนนี้กลายเป็น “สวิตช์” สำหรับหยุดการแพร่ระบาดของ Wana Decrypt0r ทันที

Some analysts are suggesting by sinkholing the domain we stopped the infection? Can anyone confirm?

— MalwareTech (@MalwareTechBlog) May 12, 2017

I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.

— MalwareTech (@MalwareTechBlog) May 13, 2017

Infections for WannaCry/WanaDecrpt0r are down due to @MalwareTechBlog registering initial C2 domain leading to kill-switch #AccidentalHero

— Warren Mercer (@SecurityBeard) May 12, 2017

#WannaCry propagation payload contains previously unregistered domain, execution fails now that domain has been sinkholed pic.twitter.com/z2ClEnZAD2

— Darien Huss (@darienhuss) May 12, 2017

ถึงแม้ว่าจะยังไม่มีการยืนยันอย่างเป็นทางการว่า Wana Decrypt0r หยุดแพร่ระบาดแล้ว แต่ผู้เชี่ยวชาญหลายคนก็ออกมาระบุว่าการแพร่ระบาดถูกหยุดลง จะไม่มีคอมพิวเตอร์เครื่องใหม่ที่จะติด Ransomware นี้อีกต่อไป อย่างไรก็ตาม ไม่ได้หมายความว่าผู้ที่ติด Ransomware ไปแล้วจะได้ไฟล์ข้อมูลกลับคืนมา จนถึงตอนนี้ยังไม่มีเครื่องมือสำหรับปลดรหัสไฟล์ที่ถูก Wana Decrypt0r โจมตีแต่อย่างใด ต้องอาศัยไฟล์ข้อมูลที่สำรองไว้ หรือยอมจ่ายค่าไถ่ให้แก่แฮ็คเกอร์

นอกจากนี้ เฉพาะการแพร่ระบาดของ Wana Decrypt0r เวอร์ชัน 2.0 เท่านั้นที่หยุดการทำงานไป แต่ในอนาคต เป็นไปได้ที่แฮ็คเกอร์จะพัฒนาและแพร่กระจาย Wana Decrypt0r เวอร์ชันใหม่ที่มีกลไกการทำงานที่ซับซ้อนขึ้นกว่าเดิม

อัปเดตแพทช์โดยด่วน

“มันสำคัญมากที่ทุกคนจะต้องเข้าใจว่า สิ่งที่พวกเขา [แฮ็คเกอร์ที่พัฒนา Wana Decrypt0r] ต้องทำเพียงแค่แก้โค้ดเล็กน้อย และเริ่มปฏิบัติการใหม่ ดังนั้น แพทช์ระบบคอมพิวเตอร์ของคุณซะ !!” — MalwareTech ระบุ

WanaCrypt0r แพร่ระบาดไปทั่วโลกผ่านทาง Exploit ที่ชื่อว่า “EternalBlue” ซึ่งเป็นเครื่องมือแฮ็คของ NSA ที่กลุ่มแฮ็คเกอร์ที่ชื่อว่า Shadow Brokers เอามาเผยแพร่ออนไลน์เมื่อกลางเดือนเมษายนที่ผ่านมา Exploit นี้จะเจาะเข้าระบบคอมพิวเตอร์จากระยะไกลผ่านทางโปรโตคอล SMBv1 ซึ่ง Microsoft ได้ออกแพทช์ MS17-010 เพื่ออุดช่องโหว่นี้ไปเรียบร้อยแล้ว

ล่าสุด ทาง Microsoft ได้ออกแพทช์ MS17-010 สำหรับอัปเดตให้ระบบปฏิบัติการรุ่นเก่าที่เลิกซัพพอร์ตไปแล้วเช่นกัน ไม่ว่าจะเป็น Windows XP, Windows 8 และ Windows Server 2003 เพื่อป้องกันไม่ให้ระบบคอมพิวเตอร์เหล่านี้ตกเป็นเหยื่อของ Ransomware ดังกล่าว ผู้ดูแลระบบสามารถดาวน์โหลดแพทช์ได้ที่ http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

ที่มา: https://www.bleepingcomputer.com/news/security/wana-decrypt0r-ransomware-outbreak-temporarily-stopped-by-accidental-hero-/