หลังจากที่ MalwareTech นักวิจัยด้านความมั่นคงปลอดภัยค้นพบ “สวิตช์” สำหรับปิดตาย Ransomware จนการแพร่ระบาดของ WannaCry 2.0 ถูกหยุดลงชั่วคราว ล่าสุด Kaspersky Labs ค้นพบ WannaCry 2.0 เวอร์ชันใหม่ที่ไม่มี “สวิตช์ปิดตาย” เริ่มแพร่ระบาดแล้ว
WannaCry (หรือ WCry, WanaCrypt0r, WannaCrypt, Wana Decrypt0r) เป็น Ransomware ล่าสุดที่แพร่ระบาดหนักไปทั่วโลก ผ่านไป 2 วันมีผู้ตกเป็นเหยื่อแล้วกว่า 200,000 รายจาก 100 ประเทศรวมถึงประเทศไทย Ransomware ดังกล่าวอาศัย Exploit ที่ชื่อว่า EternalBlue ซึ่งเป็นเครื่องมือแฮ็คของ NSA ที่รั่วไหลสู่โลกออนไลน์โดยกลุ่มแฮ็คเกอร์ที่ชื่อว่า Shadow Brokers โดยเจาะเข้าระบบคอมพิวเตอร์ผ่านทางโปรโตคอล SMBv1 ถึงแม้ว่า Microsoft จะออกแพทช์ MS17-010 เพื่ออุดช่องโหว่นี้แล้วก็ตาม แต่หลายคนทั่วโลกยังคงไม่ได้อัปเดตแพทช์
ข่าวดี (ชั่วคราว) คือ เมื่อวานนี้ MalwareTech ได้ค้นพบ “สวิตช์” สำหรับปิดตายการทำงานของ WanaCrypt0r อย่างไม่ได้ตั้งใจ ผ่านทางการลงทะเบียนชื่อโดเมนที่ซ่อนอยู่ในตัว Ransomware ซึ่งโดเมนดังกล่าวทำหน้าที่เสมือนเป็นตัวแพร่กระจาย Ransomware ออกไปคล้าย Worm หลังจากที่ MalwareTech ได้ลองจดทะเบียนโดเมนนี้ไป ก็ทำให้การแพร่ระบาดถูกหยุดลง (แต่ไม่ได้ทำให้เครื่องที่ติดมัลแวร์ไปแล้วกลับมาใช้งานได้แต่อย่างใด)
อย่างไรก็ตาม MalwareTech ก็เตือนว่า “มันสำคัญมากที่ทุกคนจะต้องเข้าใจว่า สิ่งที่พวกเขา [แฮ็คเกอร์ที่พัฒนา Wana Decrypt0r] ต้องทำเพียงแค่แก้โค้ดเล็กน้อย และเริ่มปฏิบัติการใหม่ ดังนั้น แพทช์ระบบคอมพิวเตอร์ของคุณซะ !!”
ล่าสุด Costin Raiu ผู้อำนวยการทีมนักวิจัยของ Kaspersky Labs ออกมายืนยันว่า ค้นพบ WannaCry 2.0 เวอร์ชันใหม่ที่ไม่มีสวิตช์ปิดตายดังกล่าว จึงแจ้งเตือนให้ทุกคนรับทราบเพื่อเตรียมรับมือกับการโจมตีระลอกใหม่ที่กำลังจะเกิดขึ้น นอกจากนี้ เนื่องจาก WannaCry เป็นไฟล์ EXE ไฟล์เดียว จึงเป็นไปได้ที่จะแพร่กระจายตัวผ่านช่องทางอื่นได้เช่นกัน เช่น Spear Phishing, Drive-by Download หรือ Malicious Torrent
สำหรับคลิปตัวอย่างการทำงานของ WannaCry จาก The Hacker News มีด้วยกัน 2 คลิป ดังนี้ครับ
อัปเดตแพทช์โดยด่วนที่สุด
ส่วนรายละเอียดและวิธีการแก้ไขแบบระยะยาวที่ปลอดภัยกว่าอยู่ในข่าว https://www.techtalkthai.com/wana-decrypt0r-2-0-technical-note/ นะครับ โดยคร่าวๆ คือแนะนำให้อัปเดต Patch จากทาง Microsoft โดยตรงสำหรับ Windows ทุกๆ รุ่น และหากไม่สะดวกที่จะอัปเดต Patch ก็ควรปิด SMBv1 หรือปิดพอร์ต 445 แทนไปก่อนครับ ส่วนสำหรับผู้ใช้งาน Windows XP, Windows 8 และ Windows Server 2003 สามารถโหลด Patch ได้ตามข่าวนี้ครับ https://www.techtalkthai.com/microsoft-releases-patches-to-protect-from-wannacrypt-ransomware-for-windows-xp-8-and-windows-server-2003/
ทั้งนี้การ Backup ข้อมูลไว้ภายนอกเครื่องซึ่งเป็นวิธีการมาตรฐานในการรับมือกับ Ransomware เองก็ถือเป็นสิ่งที่ควรทำอย่างสม่ำเสมอเช่นกันครับ
นอกจากนี้ซอฟต์แวร์ Antivirus เกือบทุกเจ้าก็ได้เพิ่ม Signature สำหรับตรวจจับ WanaCrypt0r ลงในฐานข้อมูลแล้ว แนะนำให้ผู้ใช้ทุกคนติดตั้งโปรแกรม Antivirus และอัปเดตฐานข้อมูลล่าสุดเพื่อป้องกัน Ransomware ดังกล่าว
ดูรายละเอียดเชิงเทคนิคเกี่ยวกับ WanaCrypt0r ได้ที่: https://www.techtalkthai.com/wana-decrypt0r-2-0-technical-note/
ที่มา: http://thehackernews.com/2017/05/wannacry-ransomware-cyber-attack.html