เตรียมรับมือกับญาติๆ ของ WannaCry Ransomware พบแฮ็คเกอร์ไทยอาจเป็นหนึ่งในผู้พัฒนา

หลังจากที่แฮ็คเกอร์ประสบความสำเร็จอย่างล้นหลามในการแพร่กระจาย WannaCry Ransowmare (หรือ WCry, WannaCrypt, WanaCryt0r, Wana Decrypt0r) วันนี้ Bleeping Computer ออกมาเปิดเผยข้อมูลเพิ่มว่า พบสายพันธุ์แยกของ Ransomware ไม่ต่ำกว่า 4 สายพันธุ์ หน้าตาคล้ายกัน ที่น่าสนใจคือเริ่มมีเครื่องมือสำหรับสร้าง WannaCry Ransomware ขึ้นมาเพื่อให้แฮ็คเกอร์สามารถปรับแต่งหน้าจอให้เป็นของตนเองได้ และบางสายพันธุ์ใช้ภาษาไทยเป็นภาษาตั้งต้นในการเรียกค่าไถ่

ญาติๆ ของ WannaCry เหล่านี้ บางสายพันธุ์อยู่ระหว่างการพัฒนา บางสายพันธุ์ก็พร้อมแพร่ระบาดแล้ว ได้แก่

DarkoderCrypt0r

จากทั้ง 4 สายพันธุ์แยก DarkoderCrypt0r มีการพัฒนาต่อยอดออกไปมากที่สุด จากรูปด้านล่างจะเห็นว่าหน้าล็อกสกรีนของ Ransomware นี้ ทางแฮ็คเกอร์ผู้พัฒนามีการปรับแต่งหัวข้อให้เป็นของตนเอง และเปลี่ยน Bitcoin Address ใหม่ รวมไปถึงมีการเข้ารหัสไฟล์บนเครื่องคอมพิวเตอร์จริง และต่อท้ายนามสกุลไฟล์ด้วย .DARKCRY ส่วนไฟล์ EXE ก็มีชื่อว่า @DaKryEncryptor@.exe

Sample: 2ffd9ba7b5dbccf734da02498fa2a6af8caaf8b9f98d4b32bc226516eee5c832

Aron WanaCrypt0r 2.0 Generator v1.0

Aron WanaCrypt0r 2.0 Generator v1.0 เป็นตัวอย่างที่น่าสนใจสำหรับเครื่องมือที่ใช้สร้าง WannaCry Ransomware เลียนแบบ โปรแกรมนี้ช่วยให้แฮ็คเกอร์สามารถสร้างหน้าต่างล็อกสกรีนของ WannaCry ได้ตามต้องการ ไม่ว่าจะเป็นข้อความ รูปภาพ หรือสีพื้นหลัง คาดว่าในอนาคตเครื่องมือนี้จะนำการปรับแต่งเหล่านี้ไปสร้างไฟล์ Executable เพื่อให้เหล่า “ผู้ที่ต้องการจะเป็นนักพัฒนา Ransomware” เอาไปใช้แพร่กระจายไปยังเหยื่อเพื่อเรียกค่าไถ่ต่อไป อย่างไรก็ตาม จนถึงตอนนี้เครื่องมือนี้ยังทำได้แค่สร้างหน้าต่างล็อกสกรีนขึ้นมาเองเท่านั้น ยังไม่สามารถสร้างไฟล์ Executable ได้แต่อย่างใด

Sample: b46c6addef8894d5079f592152481d259338175806eb9a983ddb8edb9ec5aa44

Wanna Crypt v2.5

Wanna Crypt v2.5 เป็น Ransomware ที่กำลังอยู่ในช่วงเริ่มต้นของการพัฒนา ซึ่งเมื่อทำงานแล้วจะปรากฏหน้าจอล็อกสกรีนขึ้นมาเท่านั้น แต่ยังไม่มีการเข้ารหัสไฟล์ข้อมูล

Sample: 925b3acaa3252bf4d660eab22856fff155f3106c2fee7567711cb34374b499f3

WannaCrypt 4.0

เช่นเดียวกับด้านบน WannaCrypt 4.0 ก็กำลังอยู่ในช่วงเริ่มต้นของการพัฒนา และยังไม่มีการเข้ารหัสข้อมูลแต่อย่างใด แต่ที่น่าสนใจคือภาษาตั้งต้นที่ใช้เรียกค่าไถ่คือภาษาไทย (อ่านรู้เรื่อง ไม่ใช้ Google Translate ด้วย) ซึ่ง WannaCry ต้นตำรับไม่รองรับภาษาดังกล่าว จึงเป็นไปได้ที่นักพัฒนา Ransomware คนนี้จะเป็นชาวไทย หรือมีเป้าหมายหลักที่ประเทศไทย

Sample: cd7542f2d7f2285ab524a57bc04ae1ad9306a15b9efbf56ea7b002d99d4b974f

จะเห็นได้ว่า หลังจากนี้จะไม่ได้มีแต่ WannaCry Ransomware เพียงตัวเดียวที่จะแพร่ระบาดหนักไปทั่วโลก แฮ็คเกอร์มีแนวโน้มที่จะเลียนแบบ Ransomware หรือพัฒนา Ransomware ตัวใหม่ที่อาจจะใช้ช่องโหว่อื่นในการแพร่กระจายตัวเองแทน EternalBlue จึงแนะนำให้ทุกคนเตรียมพร้อมรับมืออยู่เสมอ ไม่ว่าจะเป็นการอัปเดตแพทช์ล่าสุดบนอุปกรณ์คอมพิวเตอร์ การติดตั้งโปรแกรม Antivirus หรือการสำรองข้อมูลเป็นประจำ เหล่านี้ช่วยลดความเสี่ยงในการถูก Ransomware โจมตีได้

ดู 5 บทเรียนสำคัญจากการแพร่ระบาดของ WannaCry ที่ทุกคนควรทราบ

ที่มาและเครดิตรูปภาพ: https://www.bleepingcomputer.com/news/security/with-the-success-of-wannacry-imitations-are-quickly-in-development/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

นักวิจัยค้นพบวิธีป้องกันไม่ให้ Petya Ransomware โจมตีได้ชั่วคราวแล้ว

Amit Serper นักวิจัยด้านความมั่นคงปลอดภัยจาก Cybereason ได้ออกมาเปิดเผยถึงวิธีการป้องกันไม่ให้ Petya Ransomware ตัวใหม่ที่กำลังระบาดอยู่นี้ทำการโจมตีเครื่องคอมพิวเตอร์ได้สำเร็จ

Email สำหรับจ่ายค่าไถ่ Petya Ransomware ถูกผู้ให้บริการสั่งปิด เหยื่อยืนยันการจ่ายค่าไถ่ไม่ได้แล้ว

นับเป็นข่าวร้ายสำหรับเหยื่อของ Petya Ransomware ที่ระบาดอย่างหนักใน 3 วันที่ผ่านมา เมื่อ Posteo ผู้ให้บริการ Email ที่ผู้พัฒนา Petya ใช้ในการติดต่อเหยื่อเพื่อรับการยืนยันค่าไถ่และส่งกุญแจถอดรหัสให้ สั่งปิดอีเมล์ wowsmith123456@posteo.net …