หลังจากที่แฮ็คเกอร์ประสบความสำเร็จอย่างล้นหลามในการแพร่กระจาย WannaCry Ransowmare (หรือ WCry, WannaCrypt, WanaCryt0r, Wana Decrypt0r) วันนี้ Bleeping Computer ออกมาเปิดเผยข้อมูลเพิ่มว่า พบสายพันธุ์แยกของ Ransomware ไม่ต่ำกว่า 4 สายพันธุ์ หน้าตาคล้ายกัน ที่น่าสนใจคือเริ่มมีเครื่องมือสำหรับสร้าง WannaCry Ransomware ขึ้นมาเพื่อให้แฮ็คเกอร์สามารถปรับแต่งหน้าจอให้เป็นของตนเองได้ และบางสายพันธุ์ใช้ภาษาไทยเป็นภาษาตั้งต้นในการเรียกค่าไถ่
ญาติๆ ของ WannaCry เหล่านี้ บางสายพันธุ์อยู่ระหว่างการพัฒนา บางสายพันธุ์ก็พร้อมแพร่ระบาดแล้ว ได้แก่
DarkoderCrypt0r
จากทั้ง 4 สายพันธุ์แยก DarkoderCrypt0r มีการพัฒนาต่อยอดออกไปมากที่สุด จากรูปด้านล่างจะเห็นว่าหน้าล็อกสกรีนของ Ransomware นี้ ทางแฮ็คเกอร์ผู้พัฒนามีการปรับแต่งหัวข้อให้เป็นของตนเอง และเปลี่ยน Bitcoin Address ใหม่ รวมไปถึงมีการเข้ารหัสไฟล์บนเครื่องคอมพิวเตอร์จริง และต่อท้ายนามสกุลไฟล์ด้วย .DARKCRY ส่วนไฟล์ EXE ก็มีชื่อว่า @DaKryEncryptor@.exe
Sample: 2ffd9ba7b5dbccf734da02498fa2a6af8caaf8b9f98d4b32bc226516eee5c832
Aron WanaCrypt0r 2.0 Generator v1.0
Aron WanaCrypt0r 2.0 Generator v1.0 เป็นตัวอย่างที่น่าสนใจสำหรับเครื่องมือที่ใช้สร้าง WannaCry Ransomware เลียนแบบ โปรแกรมนี้ช่วยให้แฮ็คเกอร์สามารถสร้างหน้าต่างล็อกสกรีนของ WannaCry ได้ตามต้องการ ไม่ว่าจะเป็นข้อความ รูปภาพ หรือสีพื้นหลัง คาดว่าในอนาคตเครื่องมือนี้จะนำการปรับแต่งเหล่านี้ไปสร้างไฟล์ Executable เพื่อให้เหล่า “ผู้ที่ต้องการจะเป็นนักพัฒนา Ransomware” เอาไปใช้แพร่กระจายไปยังเหยื่อเพื่อเรียกค่าไถ่ต่อไป อย่างไรก็ตาม จนถึงตอนนี้เครื่องมือนี้ยังทำได้แค่สร้างหน้าต่างล็อกสกรีนขึ้นมาเองเท่านั้น ยังไม่สามารถสร้างไฟล์ Executable ได้แต่อย่างใด
Sample: b46c6addef8894d5079f592152481d259338175806eb9a983ddb8edb9ec5aa44
Wanna Crypt v2.5
Wanna Crypt v2.5 เป็น Ransomware ที่กำลังอยู่ในช่วงเริ่มต้นของการพัฒนา ซึ่งเมื่อทำงานแล้วจะปรากฏหน้าจอล็อกสกรีนขึ้นมาเท่านั้น แต่ยังไม่มีการเข้ารหัสไฟล์ข้อมูล
Sample: 925b3acaa3252bf4d660eab22856fff155f3106c2fee7567711cb34374b499f3
WannaCrypt 4.0
เช่นเดียวกับด้านบน WannaCrypt 4.0 ก็กำลังอยู่ในช่วงเริ่มต้นของการพัฒนา และยังไม่มีการเข้ารหัสข้อมูลแต่อย่างใด แต่ที่น่าสนใจคือภาษาตั้งต้นที่ใช้เรียกค่าไถ่คือภาษาไทย (อ่านรู้เรื่อง ไม่ใช้ Google Translate ด้วย) ซึ่ง WannaCry ต้นตำรับไม่รองรับภาษาดังกล่าว จึงเป็นไปได้ที่นักพัฒนา Ransomware คนนี้จะเป็นชาวไทย หรือมีเป้าหมายหลักที่ประเทศไทย
Sample: cd7542f2d7f2285ab524a57bc04ae1ad9306a15b9efbf56ea7b002d99d4b974f
จะเห็นได้ว่า หลังจากนี้จะไม่ได้มีแต่ WannaCry Ransomware เพียงตัวเดียวที่จะแพร่ระบาดหนักไปทั่วโลก แฮ็คเกอร์มีแนวโน้มที่จะเลียนแบบ Ransomware หรือพัฒนา Ransomware ตัวใหม่ที่อาจจะใช้ช่องโหว่อื่นในการแพร่กระจายตัวเองแทน EternalBlue จึงแนะนำให้ทุกคนเตรียมพร้อมรับมืออยู่เสมอ ไม่ว่าจะเป็นการอัปเดตแพทช์ล่าสุดบนอุปกรณ์คอมพิวเตอร์ การติดตั้งโปรแกรม Antivirus หรือการสำรองข้อมูลเป็นประจำ เหล่านี้ช่วยลดความเสี่ยงในการถูก Ransomware โจมตีได้
ดู 5 บทเรียนสำคัญจากการแพร่ระบาดของ WannaCry ที่ทุกคนควรทราบ
ที่มาและเครดิตรูปภาพ: https://www.bleepingcomputer.com/news/security/with-the-success-of-wannacry-imitations-are-quickly-in-development/