ระลอกใหม่มาแล้ว WannaCry 2.0 แบบไม่มี “สวิตช์ปิดตาย”

หลังจากที่ MalwareTech นักวิจัยด้านความมั่นคงปลอดภัยค้นพบ “สวิตช์” สำหรับปิดตาย Ransomware จนการแพร่ระบาดของ WannaCry 2.0 ถูกหยุดลงชั่วคราว ล่าสุด Kaspersky Labs ค้นพบ WannaCry 2.0 เวอร์ชันใหม่ที่ไม่มี “สวิตช์ปิดตาย” เริ่มแพร่ระบาดแล้ว

WannaCry (หรือ WCry, WanaCrypt0r, WannaCrypt, Wana Decrypt0r) เป็น Ransomware ล่าสุดที่แพร่ระบาดหนักไปทั่วโลก ผ่านไป 2 วันมีผู้ตกเป็นเหยื่อแล้วกว่า 200,000 รายจาก 100 ประเทศรวมถึงประเทศไทย Ransomware ดังกล่าวอาศัย Exploit ที่ชื่อว่า EternalBlue ซึ่งเป็นเครื่องมือแฮ็คของ NSA ที่รั่วไหลสู่โลกออนไลน์โดยกลุ่มแฮ็คเกอร์ที่ชื่อว่า Shadow Brokers โดยเจาะเข้าระบบคอมพิวเตอร์ผ่านทางโปรโตคอล SMBv1 ถึงแม้ว่า Microsoft จะออกแพทช์ MS17-010 เพื่ออุดช่องโหว่นี้แล้วก็ตาม แต่หลายคนทั่วโลกยังคงไม่ได้อัปเดตแพทช์

ข่าวดี (ชั่วคราว) คือ เมื่อวานนี้ MalwareTech ได้ค้นพบ “สวิตช์” สำหรับปิดตายการทำงานของ WanaCrypt0r อย่างไม่ได้ตั้งใจ ผ่านทางการลงทะเบียนชื่อโดเมนที่ซ่อนอยู่ในตัว Ransomware ซึ่งโดเมนดังกล่าวทำหน้าที่เสมือนเป็นตัวแพร่กระจาย Ransomware ออกไปคล้าย Worm หลังจากที่ MalwareTech ได้ลองจดทะเบียนโดเมนนี้ไป ก็ทำให้การแพร่ระบาดถูกหยุดลง (แต่ไม่ได้ทำให้เครื่องที่ติดมัลแวร์ไปแล้วกลับมาใช้งานได้แต่อย่างใด)

อย่างไรก็ตาม MalwareTech ก็เตือนว่า “มันสำคัญมากที่ทุกคนจะต้องเข้าใจว่า สิ่งที่พวกเขา [แฮ็คเกอร์ที่พัฒนา Wana Decrypt0r] ต้องทำเพียงแค่แก้โค้ดเล็กน้อย และเริ่มปฏิบัติการใหม่ ดังนั้น แพทช์ระบบคอมพิวเตอร์ของคุณซะ !!”

ล่าสุด Costin Raiu ผู้อำนวยการทีมนักวิจัยของ Kaspersky Labs ออกมายืนยันว่า ค้นพบ WannaCry 2.0 เวอร์ชันใหม่ที่ไม่มีสวิตช์ปิดตายดังกล่าว จึงแจ้งเตือนให้ทุกคนรับทราบเพื่อเตรียมรับมือกับการโจมตีระลอกใหม่ที่กำลังจะเกิดขึ้น นอกจากนี้ เนื่องจาก WannaCry เป็นไฟล์ EXE ไฟล์เดียว จึงเป็นไปได้ที่จะแพร่กระจายตัวผ่านช่องทางอื่นได้เช่นกัน เช่น Spear Phishing, Drive-by Download หรือ Malicious Torrent

สำหรับคลิปตัวอย่างการทำงานของ WannaCry จาก The Hacker News มีด้วยกัน 2 คลิป ดังนี้ครับ

 

อัปเดตแพทช์โดยด่วนที่สุด

ส่วนรายละเอียดและวิธีการแก้ไขแบบระยะยาวที่ปลอดภัยกว่าอยู่ในข่าว https://www.techtalkthai.com/wana-decrypt0r-2-0-technical-note/ นะครับ โดยคร่าวๆ คือแนะนำให้อัปเดต Patch จากทาง Microsoft โดยตรงสำหรับ Windows ทุกๆ รุ่น และหากไม่สะดวกที่จะอัปเดต Patch ก็ควรปิด SMBv1 หรือปิดพอร์ต 445 แทนไปก่อนครับ ส่วนสำหรับผู้ใช้งาน Windows XP, Windows 8 และ Windows Server 2003 สามารถโหลด Patch ได้ตามข่าวนี้ครับ https://www.techtalkthai.com/microsoft-releases-patches-to-protect-from-wannacrypt-ransomware-for-windows-xp-8-and-windows-server-2003/

ทั้งนี้การ Backup ข้อมูลไว้ภายนอกเครื่องซึ่งเป็นวิธีการมาตรฐานในการรับมือกับ Ransomware เองก็ถือเป็นสิ่งที่ควรทำอย่างสม่ำเสมอเช่นกันครับ

นอกจากนี้ซอฟต์แวร์ Antivirus เกือบทุกเจ้าก็ได้เพิ่ม Signature สำหรับตรวจจับ WanaCrypt0r ลงในฐานข้อมูลแล้ว แนะนำให้ผู้ใช้ทุกคนติดตั้งโปรแกรม Antivirus และอัปเดตฐานข้อมูลล่าสุดเพื่อป้องกัน Ransomware ดังกล่าว

ดูรายละเอียดเชิงเทคนิคเกี่ยวกับ WanaCrypt0r ได้ที่https://www.techtalkthai.com/wana-decrypt0r-2-0-technical-note/

ที่มา: http://thehackernews.com/2017/05/wannacry-ransomware-cyber-attack.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

จีเอเบิล ชี้ 3 Mega Trend ไอที เปลี่ยนโฉมธุรกิจองค์กรไทย พร้อมเป็น Tech Enabler ขับเคลื่อนองค์กรสู่อนาคต [PR]

ในยุคที่ธุรกิจองค์กรแข่งขันกันด้วยความเร็ว เพื่อให้ได้ผลลัพธ์และผลกำไรที่มากขึ้น การลดต้นทุนและการเพิ่มประสิทธิภาพในการทำงานที่เพิ่มขึ้น เป็นสิ่งที่เจ้าของธุรกิจรวมถึงผู้บริหารระดับสูงในธุรกิจองค์กรต่างๆ กำลังมองหา เพราะการดำเนินธุรกิจองค์กรในสถานการณ์ปัจจุบัน จำเป็นอย่างยิ่งที่จะต้องสร้าง Competitive Advantage เพื่อเป็นฐานในการสร้างการเติบโตอย่างยั่งยืน ซึ่งแน่นอนว่าอาวุธที่เป็นฟันเฟืองสำคัญในการผลักดันให้เกิดการเติบโตอย่างยั่งยืน นอกจากการพัฒนาคนในองค์กรให้เรียนรู้ทักษะด้านเทคโนโลยีอยู่เสมอ การเลือกใช้เทคโนโลยีที่ตรงกับกระแสทิศทางเทรนด์ได้อย่างถูกต้องเหมาะสมและตอบโจทย์ในการสร้างผลกำไรของแต่ละธุรกิจองค์กรในทุกภาคอุตสาหกรรมก็เป็นหัวใจสำคัญไม่แพ้กัน

นักวิจัยพบ whoAMI โจมตี Amazon EC2 Instance ทำ Code Execution ได้

แม้ว่านักวิจัยด้าน Security จะค้นพบช่องโหว่ whoAMI และ AWS ได้แก้ไขปัญหาที่จะทำให้สามารถทำ Code Execution ได้บน Amazon EC2 Instance ไปเรียบร้อยแล้ว แต่ดูเหมือนว่าปัญหาดังกล่าวยังคงอยู่ในฝั่งของลูกค้าองค์กรที่สภาพแวดล้อมยังคงไม่ได้อัปเดตแก้ไข