ระลอกใหม่มาแล้ว WannaCry 2.0 แบบไม่มี “สวิตช์ปิดตาย”

หลังจากที่ MalwareTech นักวิจัยด้านความมั่นคงปลอดภัยค้นพบ “สวิตช์” สำหรับปิดตาย Ransomware จนการแพร่ระบาดของ WannaCry 2.0 ถูกหยุดลงชั่วคราว ล่าสุด Kaspersky Labs ค้นพบ WannaCry 2.0 เวอร์ชันใหม่ที่ไม่มี “สวิตช์ปิดตาย” เริ่มแพร่ระบาดแล้ว

WannaCry (หรือ WCry, WanaCrypt0r, WannaCrypt, Wana Decrypt0r) เป็น Ransomware ล่าสุดที่แพร่ระบาดหนักไปทั่วโลก ผ่านไป 2 วันมีผู้ตกเป็นเหยื่อแล้วกว่า 200,000 รายจาก 100 ประเทศรวมถึงประเทศไทย Ransomware ดังกล่าวอาศัย Exploit ที่ชื่อว่า EternalBlue ซึ่งเป็นเครื่องมือแฮ็คของ NSA ที่รั่วไหลสู่โลกออนไลน์โดยกลุ่มแฮ็คเกอร์ที่ชื่อว่า Shadow Brokers โดยเจาะเข้าระบบคอมพิวเตอร์ผ่านทางโปรโตคอล SMBv1 ถึงแม้ว่า Microsoft จะออกแพทช์ MS17-010 เพื่ออุดช่องโหว่นี้แล้วก็ตาม แต่หลายคนทั่วโลกยังคงไม่ได้อัปเดตแพทช์

ข่าวดี (ชั่วคราว) คือ เมื่อวานนี้ MalwareTech ได้ค้นพบ “สวิตช์” สำหรับปิดตายการทำงานของ WanaCrypt0r อย่างไม่ได้ตั้งใจ ผ่านทางการลงทะเบียนชื่อโดเมนที่ซ่อนอยู่ในตัว Ransomware ซึ่งโดเมนดังกล่าวทำหน้าที่เสมือนเป็นตัวแพร่กระจาย Ransomware ออกไปคล้าย Worm หลังจากที่ MalwareTech ได้ลองจดทะเบียนโดเมนนี้ไป ก็ทำให้การแพร่ระบาดถูกหยุดลง (แต่ไม่ได้ทำให้เครื่องที่ติดมัลแวร์ไปแล้วกลับมาใช้งานได้แต่อย่างใด)

อย่างไรก็ตาม MalwareTech ก็เตือนว่า “มันสำคัญมากที่ทุกคนจะต้องเข้าใจว่า สิ่งที่พวกเขา [แฮ็คเกอร์ที่พัฒนา Wana Decrypt0r] ต้องทำเพียงแค่แก้โค้ดเล็กน้อย และเริ่มปฏิบัติการใหม่ ดังนั้น แพทช์ระบบคอมพิวเตอร์ของคุณซะ !!”

ล่าสุด Costin Raiu ผู้อำนวยการทีมนักวิจัยของ Kaspersky Labs ออกมายืนยันว่า ค้นพบ WannaCry 2.0 เวอร์ชันใหม่ที่ไม่มีสวิตช์ปิดตายดังกล่าว จึงแจ้งเตือนให้ทุกคนรับทราบเพื่อเตรียมรับมือกับการโจมตีระลอกใหม่ที่กำลังจะเกิดขึ้น นอกจากนี้ เนื่องจาก WannaCry เป็นไฟล์ EXE ไฟล์เดียว จึงเป็นไปได้ที่จะแพร่กระจายตัวผ่านช่องทางอื่นได้เช่นกัน เช่น Spear Phishing, Drive-by Download หรือ Malicious Torrent

สำหรับคลิปตัวอย่างการทำงานของ WannaCry จาก The Hacker News มีด้วยกัน 2 คลิป ดังนี้ครับ

 

อัปเดตแพทช์โดยด่วนที่สุด

ส่วนรายละเอียดและวิธีการแก้ไขแบบระยะยาวที่ปลอดภัยกว่าอยู่ในข่าว https://www.techtalkthai.com/wana-decrypt0r-2-0-technical-note/ นะครับ โดยคร่าวๆ คือแนะนำให้อัปเดต Patch จากทาง Microsoft โดยตรงสำหรับ Windows ทุกๆ รุ่น และหากไม่สะดวกที่จะอัปเดต Patch ก็ควรปิด SMBv1 หรือปิดพอร์ต 445 แทนไปก่อนครับ ส่วนสำหรับผู้ใช้งาน Windows XP, Windows 8 และ Windows Server 2003 สามารถโหลด Patch ได้ตามข่าวนี้ครับ https://www.techtalkthai.com/microsoft-releases-patches-to-protect-from-wannacrypt-ransomware-for-windows-xp-8-and-windows-server-2003/

ทั้งนี้การ Backup ข้อมูลไว้ภายนอกเครื่องซึ่งเป็นวิธีการมาตรฐานในการรับมือกับ Ransomware เองก็ถือเป็นสิ่งที่ควรทำอย่างสม่ำเสมอเช่นกันครับ

นอกจากนี้ซอฟต์แวร์ Antivirus เกือบทุกเจ้าก็ได้เพิ่ม Signature สำหรับตรวจจับ WanaCrypt0r ลงในฐานข้อมูลแล้ว แนะนำให้ผู้ใช้ทุกคนติดตั้งโปรแกรม Antivirus และอัปเดตฐานข้อมูลล่าสุดเพื่อป้องกัน Ransomware ดังกล่าว

ดูรายละเอียดเชิงเทคนิคเกี่ยวกับ WanaCrypt0r ได้ที่https://www.techtalkthai.com/wana-decrypt0r-2-0-technical-note/

ที่มา: http://thehackernews.com/2017/05/wannacry-ransomware-cyber-attack.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

VRCOMM จับมือ Hillstone Networks ให้บริการ NGFW, ADC และ NDR ภายในแนวคิด Integrative Cybersecurity

Digital Transformation สร้างความซับซ้อนให้แก่ระบบ IT ทลายขอบเขตการรักษาความมั่นคงปลอดภัยจากแค่ห้อง Data Center สู่ระบบ Cloud และอุปกรณ์ Endpoint การรักษาความมั่นคงปลอดภัยทางไซเบอร์ในยุคดิจิทัลจึงต้องการความครอบคลุมและประสานการทำงานได้อย่างบูรณาการ VRCOMM ผู้จัดจำหน่ายโซลูชันด้าน Network …

Google ถอดซอฟต์แวร์ Antivirus ของ Kaspersky ออกจาก Play Store พร้อมปิดบัญชี

ช่วงวันหยุดสุดสัปดาห์ที่ผ่านมา Google ได้มีการถอดแอป Security ของทาง Kaspersky ออกจาก Google Play Store รวมทั้งปิดบัญชีนักพัฒนาของบริษัทสัญชาติรัสเซียไปอีกด้วย